검수요청.png검수요청.png

크립토락커

위키원
이동: 둘러보기, 검색
크립토락커 비트코인 결제 요구

크립토락커(CryptoLocker)는 마이크로소프트 윈도우 운영체제를 사용하는 x86 컴퓨터를 대상으로 한 랜섬웨어 트로이목마이다.

개요[편집]

크립토락커는 2013년 9월 5일경부터 본격적으로 배포되기 시작한 것으로 여겨진 인질형 악성코드로 랜섬웨어의 일종이다. OS 파일을 포함한 컴퓨터 내의 모든 파일과 네트워크 드라이브의 파일을 RSA, AES 로 암호화하고, 암호해독 키를 대가로 돈을 요구하는데, 추적을 피하기 위해 주로 비트코인 등의 암호화폐를 요구한다. 예전 버전에는 300달러라고 표기되어 있었지만, 최근에는 1BTC을 요구한다. 지불까지는 일주일 정도의 시간제한이 있으며, 정해진 시간 안에 복호화 프로그램을 구매하지 않으면 가격이 두 배로 상승한다.[1]

등장배경[편집]

2013년에 등장해 일반 사용자들에게 막대한 영향을 끼친 크립토락커는 2014년 8월 글로벌 보안 전문가들이 원 제작자의 서버를 추적해서 다운 시키고 복호화 키를 얻어내 세계적으로 잠잠해진 상태였다. 이 때문에 2015년에는 크립토락커 보다는 크립토락커와 크립토월(Cryptowall)을 조합한 테슬라크립트(TeslaCrypt)가 더 주목을 받기도 했다. 그런데 2015년 4월 19일을 기준으로 왈도체 한글로 된 크립토 락커가 발생했다. 특히 4월 21일 새벽, 인터넷 포럼인 클리앙(CLIEN)이 감염되면서, 감염 컴퓨터가 대규모로 발생하였다. 해당 크립토락커는 접속만 하면 감염되는 종류로 확인되면서, 보안 업데이트를 미룬 개인 컴퓨터와 기업 컴퓨터가 다수 감염된 것으로 보고됐다. 이는 인터넷 익스플로러플래시의 보안 약점을 파고든 공격으로, 안랩(Ahnlab)에서는 해당 공격의 유입 경로를 광고 배너 플래시를 통해 악성코드가 퍼진 것으로 추측했다.[1]

특징[편집]

공격 원리[편집]

  • 공격대상 파일 검색 : 감염이 되었다고 가정할 때 랜섬웨어가 가장 처음으로 하는 것은 공격 대상이 되는 파일을 검색하는 것이다. 공격자의 입장에서 피해자가 복원을 위해 요금을 지불하겠다는 의도를 성공적으로 발생시키기 위해서는 중요한 정보를 포함할 수 있는 파일을 최대한 많이 암호화시켜버리는 것이다. 이러한 작업을 위해서는 먼저 암호화시킬 대상 파일을 검색하는 것이 선행되어야 한다.
  • 파일 암호화 : 암호화할 파일 대상을 선별한 후 랜섬웨어는 본격적으로 데이터를 볼모로 잡기 위한 암호화 작업을 수행하게 된다. 이때 사용되는 알고리즘은 자체 제작된 알고리즘일 수도 있고, 이미 널리 이용되는 암호화 알고리즘일 수도 있다. 기본적으로 양방향 암호화는 암호화를 하기 위한 키와 복호화를 하기 위한 키가 동일하게 사용된다. 공격자 입장에서 가장 단순하게 만들 수 있는 방법은 모든 대상 파일에 대해 동일한 암호화 알고리즘을 사용해 처리하는 방법이다. 이 경우 암호화 및 복호화를 위한 키도 단 한 개뿐이어서 여러 가지 조치를 하지 않아도 되지만, 공격자가 만든 프로그램이 단시간 내에 분석이 된다면 피해자는 자신이 아른 다른 사람에 의해 자료를 복원할 가능성이 높아져 수익으로 연결이 이루어지지 않을 가능성이 높다. 공격자는 공격을 성공시켜 자신이 아닌 제3자는 암호를 풀지 못하도록 해야 수익창출의 가능성이 높아지기 때문에 수고로움을 감수하더라도 좀 더 복잡한 암호화 처리를 고려하게 된다. 한 대의 컴퓨터 안에서 다양한 암호화키를 만들어 암호화 처리가 이루어지도록 한다.
  • 고정키 암호화 : 고정키 암호화 방식은 가장 단순한 방식으로 사실상 테스트 또는 교육의 목적으로 만들어진 랜섬웨어가 아닌 이상 찾아보기 힘들며 랜섬웨어 자체 또는 처리 과정에서 각 파일이나 환경에 변화하지 않는 고정된 단일키로 암호화가 수행된다.
  • 다이나믹키 암호화 : 다이나믹키 암호화는 암호화를 위한 키가 다이나믹하게 변화하는 방식을 의미하는데 시스템의 환경이나 파일명, 속성 등을 고려해 그때마다 다른 암호화키를 만들어 사용하는 방법이다.
  • 암호화 키 생성 : 공격자는 보수를 받고 데이터를 복원해 주며 정상적으로 데이터를 복원해 주었다는 사례가 많아지면 다른 피해자가 신뢰하여 복원해 달라는 협상의 요청이 발생할 가능성이 크기 때문에 복원의 필요성을 무시할 수 없다. 공격자가 특정한 서버를 구성하고 해당 서버에 암호화 키를 전송한 후 감염된 컴퓨터에 키를 보관하지 않으면 분석을 통해 복원 프로그램이 만들어지는 것은 어느 정도 예방할 수 있지만 반대로 자신이 구축한 서버가 공격당할 여지가 생긴다.
  • 암호화 키 서버 전달 : 공격자가 자신이 공격당할 가능성에도 불구하고 어떠한 대안을 마련하여 별도의 서버에 감염된 파일을 복원하기 위한 암호화 키를 수집하고, 감염된 컴퓨터에는 남겨두지 않는다면 피해를 복원할 수 있는 가능성은 매우 낮아진다. 암호화를 위한 키의 생성은 암호 분석가가 사용하는 알고리즘이나 특정 조건 등을 모두 분석한다고 하더라도 복원을 위한 키를 가지고 있지 않기 때문에 피해를 입은 파일을 복구 할 수 없는 상황이 초래된다.
  • 파일 이동 : 어느 정도 파일의 암호화에 성공했다고 판단이 되면 공격자는 피해자에게 공격당했다는 사실을 알리기 위해 바탕화면 위치에 파일을 이동시킨다.
  • 감염 안내 및 복구 방법 메시지 출력 : 피해자가 바탕화면에 옮겨진 파일들을 발견하고 가시적으로 이상하다는 증상을 확인하게 되면 자신의 자료가 정상적으로 열리거나 확인되지 않는다는 사실에 당황하게 된다. 이때 공격자는 피해자에게 자료를 암호화 하였으니 복원을 하고싶으면 금전적인 비용을 지불하라고 하는 안내메시지를 보낸다.[2]

공격 절차[편집]

크립토락커에 감염되면 암호화된 파일들을 복원하기 위해 한화 약 438,900원의 비트코인을 요구한다. 피해자들이 쉽게 비용을 지급할 수 있도록 결제 방법을 상세하게 설명하고 있으며, 실제 복원이 가능함을 증명하기 위해 암호화된 파일 중 1개의 파일을 무료로 복호화해준다. 악성코드 제작자는 특시 사용자의 중요한 파일을 암호화하여 사용자에게 금전을 유도하고 있다. 크립토락커가 실행이 되면 자가 복제 및 자동 실행을 위한 등록을 하며, 이후 정상 ‘explorer.exe’ 프로세스를 실행하고 C&C 서버 통신 및 파일을 암호화하는 주요 기능을 포함한 PE(Portable Executable) 파일을 인젝션해 동작한다.

  • 자동 실행 : 실행 시 %WINDOWS% 폴더에 자가 복제를 수행하며 다음과 같은 레지스트리 키에 등록한다.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<랜덤명>
해당 키에 실행 파일을 등록하면 시스템을 재부팅할 때마다 자동으로 실행이 되는데, 이 경우 사용자가 직접 파일을 찾아 삭제하지 않은 상태에서 감염된 컴퓨터의 사용자가 금액을 지불하고 파일을 복구했다고 하더라도 재감염될 가능성이 높다.
  • 네트워크 접속 : 네트워크 통신 상태를 확인하기 위해 ‘www.download.windowsupdate.com’에 접속한다. 접속이 원활하게 이루어진다면 C&C 서버에 접속하여 사용자 컴퓨터 정보를 전달한다. 최초 접속 후에는 특정 아이피(IP) 대역에 따른 ‘.txt’와 ‘.html’ 파일을 받아 오는데, 아이피 대역을 확인 하는 이유는 감염 또는 제외 대상 국가를 결정하기 위해서다. 해당 파일들은 암호화한 파일이 있는 모든 폴더에 생성되며 시스템이 감염되었다는 메시지와 파일을 정상적으로 복원하기 위해 비트코인을 사용한 결제 방법이 설명되어 있다. 접속하는 주소는 파일마다 달라진다.
  • 볼륨 섀도우 카피 삭제 : 아래 명령을 실행해서 볼륨 섀도우 카피를 삭제하는데 이렇게 되면 윈도우 운영체제에서 제공하는 파일 백업 및 복원 기능을 정상적으로 사용할 수 없다.
vssadmin.exe Delete Shadows /All /Quiet
  • 파일 암호화 : 랜섬웨어의 가장 특징적인 기능으로 사용자의 중요 파일들을 암호화하는데 아래에 리스트 되어있는 확장자를 가진 파일과 폴더는 대상에서 제외된다. 그리고 이동식 드라이브네트워크 드라이브에 있는 파일도 암호화 대상이 되며 암호화가 완료된 파일에는 확장자 뒤에 ‘.encrypted’ 문자열이 붙게 된다.
  • 제외 대상 확장자 : .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp, .txt, .html
  • 제외 대상 폴더
  1.  %Program Files%0
  2.  %ProgramW6432%
  3. C:\WINDOWS
  4. C:\Documents and Settings\사용자계정\Application Data
  5. C:\Documents and Settings\사용자계정\Local Settings\Application Data
  6. C:\Documents and Settings\All Users\Application Data
  7. C:\Documents and Settings\사용자계정\Cookies
  8. C:\Documents and Settings\사용자계정\Local Settings\History
  9. C:\Documents and Settings\사용자계정\Local Settings\Temporary Internet Files[3]

대안[편집]

  • 크립토락커 예방법
  • 크립토락커를 예방하기 위해 운영체제와 각종 응용프로그램의 보안 업데이트를 주기적으로 해야 한다. 이 업데이트는 MSOS 업데이트를 포함하여 인터넷 익스플로러, 자바(Java), 플래시(Flash) 등 대표적 프로그램을 항상 업데이트하여 최신 버전을 유지해야 한다. 한글판 랜섬웨어의 공격에서도 크롬이나 파이어폭스 같은 보안이 강화된 웹브라우저를 사용한 유저들은 위험을 피할 수 있었고, 대부분의 바이러스들은 윈도우 운영체제와 인터넷 익스플로러의 취약점을 악용해 침투하기 때문에 보안이 강회된 운영체제와 웹브라우저를 사용하는 것도 하나의 예방법이 될 수 있다.
  • 중요한 문서와 파일을 백업 : 컴퓨터에 안티 바이러스 프로그램을 설치했다고 해서 랜섬웨어를 피해갈 수 있을 거라고 보장할 수 없다. 외장하드이동식 디스크 등 제3의 저장장치를 이용해 중요한 파일을 수시로 백업한다면 이후에 파일들이 손상되더라도 백업해놓은 파일로 인해 그 피해를 최소화할 수 있다.
  • 출처가 불분명한 메일 실행금지 : 백신 소프트웨어 개발 및 인터넷 보안시스템 공급업체인 안랩에서는 랜섬웨어 대분이 스팸메일을 통해 확산된다고 밝혔다. 발신인이 확인되지 않으면서 사용자의 호기심을 이끄는 메일 제목일 경우 스팸성 메일로 의심하며 클릭하지 않고 삭제하는 것이 좋으며, 지인의 메일이라도 한 번 더 확인해야 한다. 또한 중요한 문서의 경우에는 '읽기전용'으로 읽으며 수상한 웹사이트의 방문은 자제하는 것이 좋다.[4]
  • 크립토락커 치료법
트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)은 온라인뱅킹 정보탈취 악성코드 P2PZeus와 파일을 암호화한 뒤 몸값을 요구하는 크립토락커에 감염되었는지 검사하고 위협 발견 시 제거할 수 있는 온라인 보안 프로그램이다. 사용하고 있는 윈도우 시스템에 따라 32비트, 64비트로 파일을 다운받을 수 있다. 이 프로그램은 설치 과정 없이 실행 파일만 클릭하면 바로 사용할 수 있는 포터블 버전으로 편리하게 사용이 가능하며, 홈페이지에서 32비트 또는 64비트를 선택하고 ‘I Accept’ 버튼을 누르면 ‘THREAT CLEAN 32.exe’ 또는 ‘THREAT CLEAN 64.exe’ 파일을 다운로드 할 수 있다. 트렌드마이크로 위협 제거 툴을 실행하기 전에 먼저 윈도우를 재부팅하고 ‘F8’을 눌러 윈도우 부팅 옵션에서 ‘안전모드 with 네트워크’로 부팅을 한 후, 설치된 트렌드마이크로 위협 제거 툴 파일을 실행한다. 안전모드에서 트렌드마이크로 위협 제거 툴을 실행하고 프로그램 우측에 위치하는 Scan Now 버튼을 누르면 크립토락커 감염 검사가 시작된다. 또한 온라인뱅킹 정보탈취 악성코드 P2PZeus의 검사도 가능하다. 검사 후 바이러스나 악성코드가 검색되었다면 제거한 뒤에 노말 모드로 재부팅하면 크립토락커 랜섬웨어의 제거는 완료된다.
  • 감염 파일 복구
FireEye(파이어아이)와 폭스아이티(Fox IT)에서 암호화된 파일을 풀 수 있는 복원화 서비스를 제공하고 있다. 자신의 이메일 주소를 입력하고 크립토락커에 감염된 파일을 첨부하면 입력했던 메일로 해독키와 리커버리 프로그램 다운로드 링크를 받을 수 있다. 단, 감염된 파일 당 하나의 해독 키가 있기 때문에 여러 파일이 감염되었을 경우 이 과정을 여러번 반복해야 하는 번거로움이 있다.

각주[편집]

  1. 1.0 1.1 Andrew Shin, 〈랜섬웨어와 크립토락커에 대해 알아보자〉, 《티스토리》, 2015-12-09
  2. Kinesis, 〈해킹보안 : 랜섬웨어 목적 및 원리 이해하기 #02〉, 《티스토리》, 2016-07-05
  3. AhnLab 공식 홈페이지 - http://a.to/19NKfAC
  4. SK broadband 공식 블로그, 〈한국판 랜섬웨어 '크립토락커' 피해와 예방법〉, 《티스토리》, 2018-05-28

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 크립토락커 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.