1. 랜섬웨어란?
1) 랜섬웨어란 몸값을 뜻하는 Ransom과 악성 코드를 뜻하는 Malware의 합성어이다.
2) 사용자의 동의 없이 시스템에 설치되어서 무단으로 사용자의 파일을 모두 암호화하여 인질로 잡고 금전을 요구하는 악성 프로그램을 말한다.
3) 일반적인 PC는 물론 서버, 모바일, DSLR에서까지 현존하는 거의 모든 운영체제에서 활동한다.
랜섬웨어 종류에 따라 백신 프로그램이 사전에 랜섬웨어의 암호화를 차단하기도 한다.
2017년 5월에 갑자기 등장한, 매우 강력한 전염력을 보여주는 워너크라이가 전 세계를 강타하면서 랜섬웨어가 화제가 되었다. 모든 랜섬웨어가 인터넷에 접속만 해도 감염되는 건 아니나, 워너크라이는 웜의 특성을 이용하여 전파력이 높았던 경우다. 이를 통해 랜섬웨어가 크게 알려지면서 랜섬웨어를 잘 모르던 일반인들 중에선 '랜섬웨어 = 인터넷 연결 시 감염'인 걸로 생각하는 사람들이 있으나, 이는 워너크라이가 특수한 것이고 보통은 사회공학으로 사용자를 속여서 감염시킨다. 안랩이 2017년 대처해야 할 바이러스로 랜섬웨어를 꼽았을 정도로 랜섬웨어 바이러스는 오래전부터 존재했던 위협이다.
다른 악성코드가 컴퓨터의 소프트웨어 / 하드웨어를 망가뜨리고 내부 데이터를 유출하거나 파손하는 수준인데 반해 이 쪽은 아예 협박을 하고 있다. 알기 쉽게 사람에 대한 범죄에 비유할 경우, 기존의 악성코드가 '절도'나 '손괴', 폭행 등이라면 랜섬웨어는 강도, 특히 인질 강도에 가깝다.
한편, 복호화 후에도 파일이 깨져있거나 시스템 파일을 건드리는 경우도 있기 때문에 랜섬웨어에서 복구를 진행했다 하더라도 컴퓨터가 이상작동하는 경우가 종종 보고된다. 따라서 랜섬웨어를 한번 겪은 이후에 블루스크린 등의 문제가 발생한다면 운영체제를 재설치 해줄 필요가 있다.
감염되면 CPU, 하드디스크, 메모리 사용량이 급증하고 쿨러가 미친 듯이 회전하며 파일을 암호화하기 시작한다. 종류에 따라서는 일정한 간격을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다.
더 자세히 설명하자면 파일 목록과 RSA 공개 키를 확보하고 각 파일에 AES 키를 생성하여 암호화한다. 다만 모든 랜섬웨어가 그런 것은 아니다. TLS에서 볼 수 있듯이 가장 흔한 방식이다.
암호화가 모두 완료되기 전에 재부팅하면 네 컴퓨터는 랜섬웨어에 감염되었다라는 식의 협박 텍스트 파일과 복호화 파일
을 전달할 html 페이지가 자동으로 팝업된다. 그리고 대부분의 작업을 할 수 없다. 대표적인 증상은 다음과 같다.
2. 랜섬웨어 증상
1) 중요 시스템 프로그램이 열리지 않는다.
명령 프롬프트, 제어판의 일부 기능, 레지스트리 편집기 (regedit), 시스템 부팅 유틸리티 (msconfig), Windows 작
업 관리자, 시작 (Windows 로고 모양 버튼), 프로그램 및 기능, 워드패드 (WordPad), 알림 목록 등의 작업이 불가능
하다.
2) 윈도우 복원 시점이 제거되거나 업데이트를 막아 버린다.
3) 별도의 다른 악성코드를 심기도 한다.
4) CPU와 RAM, 디스크 사용량이 급격하게 증가한다.
쿨러가 고속으로 회전하며 컴퓨터에서 소음이 나기 시작한다.
암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt 파일을 생성한다. 이것은 하위 폴더, 상위 폴더 구분 없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것. 즉, 디렉토리 암호화가 완료되기 전까지는 생성하지 않는다는 것이다. 어디까지 랜섬웨어 피해를 받았는지 확인할 수 있는 부분이다.
5) 안티 바이러스가 오작동한다. 혹은 강제로 꺼지거나 삭제된다.
6) 안전 모드로 진입할 수 없다.
7) 파일이 암호화되고 확장자가 변경되어 열 수 없다.
변경된 확장자를 제거해도 파일 내용은 암호화되어 있기 때문에 역시 열 수 없다.
만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화된다.
8) 강제로 이동식 저장 장치의 연결을 해제시킨다.
외장 하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장 HDD가 손상되는 경우가 있다. 연결을 해제하고 다시 연
결하고 해제하는 것이 계속 반복되기 때문에 배드 섹터가 발생할 수 있기 때문이다.
9) 재부팅을 할 때마다 랜섬웨어 안내문이 들어있는 txt 파일, html 파일이 시작 프로그램 목록에 추가된다.
10) 악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다. 대표적인 경로는 아래와 같다. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다.
- C:\Program Files\
- C:\Users\(사용자 이름)\Appdata\Roaming\
11) 실행되면 숙주 파일이 사라지는 경향이 있다. 따라서 한번 암호화가 끝나면 다시 암호화가 되지 않는다.
12) 몇몇 랜섬웨어는 외장 하드, USB 메모리, SD 카드 등의 연결된 이동식 저장 매체까지 감염시키는 경우가 있다.
심지어 플로피 디스크도 감염된다. 이를 감염되지 않은 컴퓨터에 연결하면 즉시 그 컴퓨터에도 전염되는 경우도 있다.
이쯤 되면 심각하게 난감해진다. 모든 시스템 접근 권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷에서 대응 방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참고해야 한다.
간혹 바이러스로 인지하지 않는 경우조차 발생한다. 대부분의 랜섬웨어는 실행된 후 어느 정도는 손해를 끼치고 나서야 탐지, 제거되는데 특성상 이미 늦은 상태인 경우가 많다. 랜섬웨어 특화 백신이 아닌 이상은 어쩔 수 없다. 다만 대부분 최상위 폴더부터 알파벳 순으로 암호화하므로 이를 이용해 감지하는 백신이 있다.
위에 서술된 것은 어디까지나 일부분을 설명한 것이며, 항상 저런 현상인 것은 절대로 아니다. 또한 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물이다. 하지만 파일의 확장자를 바꾸거나 암호화하는 것은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것이다.
또한 암호화되지 않은 똑같은 네트워크를 사용하는 컴퓨터끼리도 감염이 되어버리는 사례도 있다. 국내의 비 프렌차이즈카페에서 암호화되지 않은 무선 네트워크를 사용해 의도적으로 랜섬웨어에 감염된 다음 오랜시간 방치하여 같은 와이파이를 잡고 있었던 여러 노트북이 감염된 사례는 이미 유명하다.
한국인터넷진흥원이 운영하는 암호이용활성화 홈페이지에서 랜섬웨어 동향 및 분석 보고서를 배포하고 있다.
3. 랜서웨어 치료
안티 바이러스 (백신 소프트웨어)에서 랜섬웨어가 탐지되어 차단되었다는 메시지를 보인다면 더 이상의 문제는 없으니
안티 바이러스를 통해 시스템 정밀 검사를 실행하고 추후 재발 방지 대책을 세우면 된다.
crypt, vvv, zepto, fun 등이나 알 수 없는 명칭들로 확장자가 변환되고, 랜섬웨어 협박문과 함께 타이머가 보이
기 시작한다면 바로 아래 대처법을 시행해야 한다. 최근에는 파일 확장자나 이름을 바꾸지 않으면서 암호화하는 경우
가 발생된다.
하드디스크 / SSD의 MBR /GPT가 변조 (암호화)되는 랜섬웨어 (페트야 / 미샤, 골든아이, 사타나 등)에 감염되었을 경우 해당 디스크에 설치된 운영 체제로 부팅이 되지 않으므로 별도의 복구 방법을 사용해야 한다.
다음 방법들은 안전 모드가 작동이 가능한 경우에만 해당되며, 안전 모드를 복구할 수 없다면 랜섬웨어에 의해 암호화된 파일을 별도의 저장소에 백업하고 감염된 PC에 Windows를 재설치한 후 아래 4번 항목부터 진행해야 한다.
1. 우선 데스크톱의 경우 전원 플러그를 뽑는 등 컴퓨터를 물리적으로 완전히 종료해야 한다.
(이미 감염되어 화면에 문구가 떠있다면 강제종료시 운영체제가 증발할 수 있으니 주의하자.) 노트북이라면 배터리 일체형 제품의 경우 전원 버튼을 꾹 누르거나 배터리 분리형 노트북인 경우 배터리를 분리해 완전히 종료시킨다.
2. 컴퓨터의 전원 버튼을 누른 후 안전 모드로 진입한다.
(Windows 7까지) 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 키로 '안전 모드 (네트워킹 사용)'를 선택
한 후, 'Enter' 키를 눌러 진입한다.
(Windows 8부터) 우선 이 사이트를 참고하여 안전모드 (네트워킹 사용)로 부팅한다.
3.안전 모드로 진입이 완료되었을 경우, 적절한 안티 바이러스 제품으로 검사하여 랜섬웨어를 제거한다.
결제 협박문이 남아 있을 경우, Malware Zero를 이용하여 제거한 후 시스템을 다시 시작한다.
4. 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아 있을 것이다. 따라서 암호화된 파일이 복호화가 가능하다면 복호화 툴을 이용한다. 이는 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 공개하거나, 사법 당국이나 안티 바이러스 업체가 복호화 키를 찾아낸 경우에만 해당된다.
5. 그러나, 4번의 경우도 완벽한 건 아니라서 특정 파일이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할 수도 있다.
2016년부터 한국의 각종 안티 바이러스 (백신 소프트웨어)들도 랜섬웨어에 대응 할 수 있도록 계속해서 업데이트되고 있으며 대표적인 랜섬웨어들의 암호화 행위를 사전에 차단할 수 있게 되었다. 바탕화면이 바뀌였거나 이상한 압축 파일이 생겼는데도 변조, 암호화 된 파일이 없다면 백신에서 사전에 차단한 것이므로 3번 항목의 RIFR 또는 Malware Zero를 이용하거나 수동으로 협박문을 삭제하고, 랜섬웨어 감염 과정에서 다른 악성코드에도 감염되었는지 안티 바이러스나 Malware Zero를 이용하여 확인하고, 악성코드가 발견되면 제거한 후 사용하면 된다.
이 대처법은 걸렸다고 해도 암호화가 다 진행되지 않은 경우에 해당하는 대처법이다. 랜섬웨어가 작동하는 동안 자리를 떴다거나 하는 등으로 랜섬웨어가 걸린 지도 모른 채 있다가 전부 암호화가 되면 그때는 더 이상 방법이 없다. 그저 남아있는 악성코드가 있는지 안티 바이러스나 Malware Zero 등을 활용하여 검사, 치료하고, 랜섬웨어가 남긴 협박문을 삭제하고, 필요에 따라 윈도우 재설치, 포맷을 하여 사용하거나, 또는 막 쓰는 컴퓨터라면 그대로 사용하면 된다.
4. 랜섬웨어에 대한 궁금증
1) 모바일에는 랜섬웨어가 없다?
컴퓨터에만 랜섬웨어가 있다고 생각하는 사람들이 있는데 모바일에선 랜섬웨어가 없다고 생각하면 큰 오산이다.
현재 본사 유튜브 계정에서는 삭제된 영상이 있는데 사용된 기기는 왼쪽부터 모토 360 1세대와 갤럭시 S III (OS 버전 불명) GT-i930x이다.
위 영상은 모바일에서는 랜섬웨어가 어떻게 작동하는 지를 보여주는 영상이다. 영상을 보면, 스마트폰뿐만 아니라 연동되어 있는 스마트워치에까지 감염이 된다. 하지만 컴퓨터를 공격하는 것보다는 피해가 적다.
그럼에도 안심하면 안 된다. 실제로 제작이 이루어지고 있는 부분으로, 클라우드 스토리지에 자동으로 업로드되는 사진과 동영상들의 확장자는 그대로 두고 내부 정보만 암호화하면 클라우드 스토리지에 있는 정보까지 덮어씌울 수도 있다.
IoT 기술의 발달로 운영체제를 통한 전자제어를 하는 스마트 가전제품들도 위험해졌다.
스마트 TV에서도 랜섬웨어 감염이 보고되었다.
보일러 온도를 최고온도로 고정하고 돈을 요구하는 종류의 랜섬웨어도 보고되고 있다.
2) macOS는 랜섬웨어에 감염되지 않는다?
역시나 큰 오산이다. Mac에서도 충분히 랜섬웨어에 감염될 수 있다.
사례가 적은 이유는 단지 Windows의 점유율이 많이 높아서 해커들이 Windows용 랜섬웨어만 만드는 것뿐, 충분히 마
음만 먹으면 macOS용 랜섬웨어를 만들 수 있다. 최근에는 디자이너와 개발자가 macOS를 많이 쓰는 사례를 이용해 사
진이나 동영상 같은 그래픽 파일, 또는 소스 파일들만 골라서 암호화하는 악질 해커들도 속속 등장하는 추세이다.
Parallels Desktop 등의 가상머신을 통해 Windows를 사용하는 도중에 Windows용 랜섬웨어에 감염되어 호스트인
macOS까지 같이 피해를 보는 사례도 많다.
macOS에서 응용 프로그램을 실행하려면 반드시 사용자가 먼저 설치해야만 한다. 따라서 출처가 불분명한 dmg, pkg 파일은 설치하지 말자.
2020년을 기해 Apple이 인텔 프로세서를 버리고 자체 개발 ARM 기반 프로세서인 Apple M1을 탑재하기 시작해 감염사례가 줄어들 것으로 보였으나, M1이 탑재된 기기에서 감염된 사례가 속출해 별 효과는 없는 것으로 나타났다.
macOS는 안티바이러스 프로그램 무용론을 주장하는 사람이 많은데, 자칫하다가 감염될 수 있으니 여건이 된다면
macOS에도 안티바이러스를 설치하는 것을 권장한다.
3) 복구 업체는 자체 기술로 데이터를 복호화할 수 있다?
[랜섬웨어, 걸려봤다] "100만원이면 저희는 다 복구 가능하세요"
랜섬웨어 무차별 유포 / 복구업체 폭리에 두 번 우는 피해자
랜섬웨어 복구 업체, 알고 보니 범인들과 연락하고 있었다.
대부분의 랜섬웨어 복구 업체는 해커에게 복호화 툴을 받는 방법으로 데이터를 복구한다. 그래서 랜섬웨어 전문 데이터 복구 업체의 홈페이지나 광고에서도 가격을 표시하지 않고 일단 상담을 받아보라 한다. 그래서 이런 업체에 방문하여 복구 비용을 문의하면 최소 수십 만 원에서 최대 수백만 원을 부른다. 이유는 해커가 원하는 복호화 툴의 가격이 천차만별이고, 업체에서도 수수료를 떼 가야 하기 때문.
만약 해커가 잠적했거나, 잘 알려지지 않은 랜섬웨어에 감염되거나, 해커와 접촉할 수단이 없어졌다면 복구 업체에서도 할 수 있는게 없어서 그냥 데이터를 포기하고 포맷하라고 한다. 애초에 소규모 복구 업체에서도 복호화를 쉽게 진행할 수 있었다면 이런 식으로 해커와의 거래를 하지 않았을 것이다.
거기다 이렇게 수십~수백 만 원의 현금을 지불하고도 해커가 복호화 툴을 준다는 보장도 없다. 몇몇 해커는 복구 업체 상대로는 할인을 해주는 경우도 있지만, 작정하고 돈만 챙기고 잠적한다면 업체 입장에서도 할 수 있는게 없기 때문이다. 그렇기에 대부분의 업체에서는 일단 수수료를 먼저 받고, 해커와의 접촉에 성공하여 복호화에 성공하면 추가적으로 돈을 받는 방법으로 수익을 낸다.
여기에 수수료도 아무리 싸도 수십 만 원이 기본이고, 일부 업체에서는 해커와 접촉에 실패해도 수수료를 환불해주지 않는 불법 행위를 저지르는 경우도 있으므로 개인 입장에서는 해커가 잡히거나 랜섬웨어의 분석이 완료되어 복호화 툴이 유포되기를 기다리는 것이 상책이다.
'IT제품 리뷰' 카테고리의 다른 글
| 갤럭시 와이드6 스펙 가격 총정리 (0) | 2022.09.02 |
|---|---|
| 삼성페이 모바일 학생증 도입 (0) | 2022.09.01 |
| 퓨리케어 에어로퍼니처 공기청정기 공개 출시 알아보기 (0) | 2022.08.24 |
| lg전자 에너지 효율 높은 모던엣지 냉장고 (0) | 2022.08.23 |
| lg 오브제컬렉션 인덕션 전기레인지 가격 및 기능 총정리 (0) | 2022.08.22 |
댓글