HOME > 랜섬웨어복구
랜섬웨어란

언제든지 상담을 환영합니다.

랜섬웨어란?

Ransom(인질)과 Ware(제품)의 합성어로 컴퓨터 사용자의 PC나 문서를 ‘인질’로 잡고 돈을 요구한다고 해서 붙여졌습니다.
컴퓨터 사용자의 문서를 '인질'로 잡고 돈을 요구한다고 해서 이같은 이름이 붙었습니다.
이 악성 프로그램은 어도비 리더, 자바, 퀵 타임 플레이어(Quicktime Player), 어도비 플래시(Adobe Flash)의 취약점을 이용해 감염된 웹사이트 또는 e-mail 첨부파일을 통해 확산되는 중입니다.

인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레드시트, 그림파일 등을 암호화해 열지 못하도록 만든 후, 돈을 보내주면 해독용 열쇠 프로그램을 전송해준다며 금품을 요구합니다.

일반적으로 트로이목마(trojan horse)와 같은 웜바이러스(worm) 형태로 네트워크 취약점이나 다운로드된 파일을 통해서 전파됩니다. 이전의 경우 시스템이 운영체제를 실행시키지 못하게 제한을 거는 방식이 대부분이였지만, 요즘은 가장 복잡한 형태로 파일들을 암호화하여 파일을 열지 못하도록 하는 랜섬웨어가 대부분입니다.

일단 감염이 되면 doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd 등의 다양한 확장자를 가진 파일들을 사용자의 동의 없이 암호화(RSA-1024, AES-256 알고리즘 사용)한 후, 데이터 복구 소프트웨어로 복구하지 못하도록 원본 데이터를 덮어쓰기하여 피해를 발생시킵니다.

비트코인이 출연하며 익명의 금전 거래가 가능해 진 이후 2013년경 비트코인을 요구하는 CryptoLocker가 출현하고, 2014년 Synology의 NAS를 대상으로 하는 SynoLocker 등의 전파로 또다시 랜섬웨어에 의한 피해가 급증하였습니다. 2012년 이후 출현한 주요 랜섬웨어로는 Reveton, CryptoLocker, TorrentLocker, Cryptowall 등이 있으며 2013년 ¼분기에 발견된 랜섬웨어의 수는 25만 개 이상으로, 2012년 ¼ 분기에 비해 2배 이상 증가하였으며 2016년에 이르러서는 50만건 이상으로 그 피해조차 확인하기 어려운 실정입니다.

최근 랜섬웨어의 감염경로는 E-mail, 소셜네트워크서비스(SNS), 메신저, 플래쉬 동영상, 플래쉬 광고창, P2P 서비스(웹디스크, 토렌트)등을 통해 전송된 백도어 프로그램이 실행되어 감염되며, 웹사이트 방문을 통해 감염되기도 합니다. 백신 프로그램으로 악성코드를 없애도 암호화된 파일은 복구되지 않기 때문에 모든 언론에서 ‘사상 최악의 악성코드’라고 칭하며 연일 주의를 당부하는 뉴스를 보도하고 있습니다. 해커들은 파일을 열 수 있게 해준다는 조건으로 돈을 요구하는데, 기한이 지나면 액수가 더 올라가고 그 기간마저 지나면 파일을 복구할 수 없다고 협박하기도 하며, 어떤 랜섬웨어는 파일을 훼손시켜 복구할 수 없는 상태에서 거짓으로 돈을 요구하기도 하기 때문에 이런 피해는 모든 사람에게 돌아갈 수 밖에 없습니다.
랜섬웨어 종류

언제든지 상담을 환영합니다.

로키 랜섬(Locky Ransom)

2016년 3월부터 본격적인 활동을 시작한 랜섬웨어입니다.
감염 경로는 스팸메일로 시작해, 해외거래가 많은 요즘 시대를 이용한 결제메일(배송장, 페이먼트, 인보이스 등)까지, 사용자의 이름까지 기입해 놓기 때문에 아무런 의심도 하지 않고 열어보기 때문에 방심하면 감염되기 쉬워 위험합니다.
특징은 File Name을 변조, 확장자를 (.Locky)로 변경시켜 사용할 수 없게 만듭니다. 더욱 심각한건 네트워크 상에 공유 폴더가 모두 감염된다는 부분입니다.
랜섬웨어는 대부분 감염된 파일만 가지고는 다른 컴퓨터로 감염되지 않습니다. 그리고 아직까지 Locky 랜섬웨어의 경우 미확인 메일 열람을 주의하는것 만으로도 충분히 예방할 수 있는 랜섬웨어입니다. 이 Locky 랜섬웨어의 피해는 특별히 무역이나 글로벌 기업등에서 피해가 상당히 많았던게 특징입니다.

테슬라크립트 랜섬(Teslacrypt Ransom)

로키 랜섬 전부터 활동하던 랜섬웨어입니다. 지금도 활동하고 있어, 악명이 높기로 유명합니다.
감염 경로는 스팸메일로 시작해, 해외거래가 많은 요즘 시대를 이용한 결제메일(배송장, 페이먼트, 인보이스 등)까지, 사용자의 이름까지 기입해 놓기 때문에 아무런 의심도 하지 않고 열어보기 때문에 방심하면 감염되기 쉬워 위험합니다.특징은 File Name을 변조, 확장자에 (.CCC/VVV/XXX/TTT/MICRO/MP3)를 붙여 열어볼 수 없도록 만듭니다(현재 테슬라크립트 4.0까지 진화하면서 확장자 변경 없이 원본 그대로 유지하고 있습니다.

크립토락커 랜섬(CryptoLocker Ransom)

2015년 7월부터 활동하기 시작했으며, 활동주기가 불규칙합니다.
활동주기가 불규칙해서인지는 몰라도 잊을만하면 다시 등장하는 랜섬으로 다른 랜섬웨어보다 협상금액이 크다는 점이 포인트입니다.
감염 경로는 스팸메일로 시작해, 해외거래가 많은 요즘 시대를 이용한 결제메일(배송장, 페이먼트, 인보이스 등)까지, 사용자의 이름까지 기입해 놓기 때문에 아무런 의심도 하지 않고 열어보기 때문에 방심하면 감염되기 쉬워 위험합니다. 또한 제한시간이 있기 때문에 시간 안에 복호화 하지 않을 경우 비용이 두배로 올라가게 됩니다. 이 랜섬웨어의 예방을 위해서는 익스플로어와 플래시 플레이어를 최신버전으로 사용해야 합니다. 하지만 계속적으로 진보하고 있는 랜섬웨어에 대응하기엔 역부족입니다. 따라서 사용자가 확인되지 않은 사이트 접속 및 사용자를 유혹하는 컨텐츠를 제공하는 사이트 접속에 주의하여야 합니다.
특징은 확장자를 Encrypted로 변조시키는 것입니다.

케르베르 랜섬(Cerber Ransom)

가장 최근에 발견된 최신형 랜섬입니다.
강력한 AES-256 알고리즘으로 문서, 그림, 음성파일, 영상파일, 아카이브, 백업을 포함한 수십 개의 파일 형태를 암호화합니다.감염 경로는 스팸메일로 시작해, 해외거래가 많은 요즘 시대를 이용한 결제메일(배송장, 페이먼트, 인보이스 등)까지, 사용자의 이름까지 기입해 놓기 때문에 아무런 의심도 하지 않고 열어보기 때문에 방심하면 감염되기 쉬워 위험합니다.
암호화로 코딩된 사실을 보이스로 알려주기에 이제껏텍스트(Text)로 알려준 정보와는 다른 형태를 보이고 있습니다. 웹에서 플래시 제로데이 취약점을 통해 유포돼 국내 피해자들이 급증하고 있습니다.
이 랜섬웨어에 감염되면 모든 파일이 아닌 일부 데이터를 암호화하고, ‘DECRYPT MY FILES’라는 이름을 가진 TXT, HTML, VBS파일을 생성합니다.
VBS 스크립트는 윈도우 내장 스피치 API를 호출해 “문서와 사진, 데이터베이스와 다른 주요 파일들이 암호화됐다”라고 말해 랜섬웨어에 감염된 사실을 10회 반복하여 알립니다. 확장자가 모두 'Cerber' 로 변하게 되며 파일명 조차도 바뀌기 때문에 원래 파일명을 알아낼 수 없게 만들어 사용자로 하여금 데이터 복구 진행 선택을 혼란스럽게 만듭니다.
플래시 플레이어나 웹 브라우저의 보안 업데이트를 항상 최신 버전으로 유지하고, 백신 및 랜섬웨어 대응 프로그램 설치 및 실시간 감시만이 유일한 예방책입니다.

페트야 랜섬(Petya Ransom)

독일에서 처음 발견된 랜섬웨어로 무작위로 발송된 피싱 이메일을 무심코 클릭했을 때 해당 PC를 감염시키는 방식으로 침투하는 랜섬웨어입니다. 때문에 출처가 불확실한 이메일의 경우 해당 첨부파일을 실행하지 않는 것이 최선의 예방책이라고 할 수 있습니다. 현재는 드롭박스 링크가 첨부된 메일을 보낸다고 하지만, 향후에는 클라우드 서비스 링크와 비슷한 유형으로 전파될 우려도 있습니다.
페트야 랜섬이 기존 랜섬과 가장 큰 차이점은 기존에는 파일에 침투하여 해당 파일만 실행이 되지 않았던 반면 페트야 랜섬은 하드웨어 자체를 인질로 삼아 비용을 요구합니다. 페트야 랜섬에 감염되면 MBR(마스터 부트 레코드) 영역의 로더를 악성로더로 대체시켜강제 재부팅을 시도하게끔 만듭니다. 그 후 윈도우 기본 기능인 체크디스크 기능처럼 보이는 화면으로 전환하면서 강제로 하드디스크 내 MFT(마스터 파일 테이블) 자체를 암호화시켜버리는 것입니다.
현재 드롭박스 측에서 해당 악성코드를 제거한 상태이지만 기존에 테슬라크립트 랜섬웨어처럼 언제 다시 변형되어 다시 발생될지 모릅니다.

크립토월 랜섬(Cryptowall Ransom)

국내에서 상당히 오랜 기간동안 변종을 생산하며 피해자를 꾸준히 만든 랜섬웨어로 최초 VVV,CCC,ZZZ 등과 같은 이름으로 파일의 이름을 바꿔가며 점점 발전 형태를 갖췄으며 이때 당시는 RSA-2048 알고리즘을 사용하다 최근 발생된 MP3, MICRO 등의 확장자로 변종되며 단순히 웹사이트를 검색하는 것 만으로도 컴퓨터를 감염시키고 사용자의 파일을 모두 바꿔버립니다.
최근에 발견되는 크립토월은 확장자의 변화 없이 모든 폴더마다 {RecOveR} 등의 텍스트, PNG, HTML 파일을 생성해 결재를 유도합니다. 약 150시간 정도를 설정하여 일정시간안에 결재가 되지 않으면 비용을 두배로 올리는 특징을 가지고 있습니다.
예방을 위해서는 익스플로어 및 윈도우 최신버전 업데이트와 백신프로그램이 필요합니다.
가급적이면 확인되지 않은 사이트 방문을 자제하는 것만이 예방책입니다.
랜섬웨어 예방법

언제든지 상담을 환영합니다.

중요한 자료는 수시로 백업한다.

일단 랜섬웨어에 걸리면 데이터를 복구할 수는 있지만 100% 복구가 된다는 보장이 없고, 복구비용 또한 만만치 않기 때문에 중요한 자료들은 수시로 다른 저장매체에 백업해놓아야 합니다. 요즘 랜섬웨어의 극성으로 인해 나스(NAS)라는 저장매체가 주목을 받고 있습니다. 외장하드와 같이 데이터를 백업시켜놓는 것은 물론 네트워크로 연결되어 있어 인터넷만 가능한 곳이라면 언제 어디서든지 데이터를 다운받을 필요 없이 바로 실행할 수 있습니다. 그래서 요즘 기업에서 업무용으로 많이 사용하고 있습니다.

불분명한 사이트나 E-mail을 클릭하지 않는다.

랜섬웨어는 직접적으로 시스템에 침투한다기보다는 사용자의 부주의로 불분명한 사이트나 E-mail, 토렌트 등을 클릭했을 때 활성화되기 때문에 아무리 백신프로그램이 깔려있고 보안이 잘 되어있다 하더라도 클릭을 하는 순간 이를 막을 수 있는 방법이 없습니다.

프로그램을 최신 버전으로 업데이트한다.

프로그램의 버전이 낮을수록 보안에 취약해서 랜섬웨어에 걸리는 순간 암호화가 되버릴 확률이 높습니다. 가능하면 각 프로그램마다 최신 버전으로 업그레이드하여 피해를 최소화해야 합니다.
랜섬웨어 대처방안

언제든지 상담을 환영합니다.