의견.png

랜섬웨어

위키원
leejia1222 (토론 | 기여)님의 2019년 7월 19일 (금) 10:52 판 (감염경로 및 증상)
이동: 둘러보기, 검색

랜섬웨어(ransomware)란 컴퓨터나 시스템을 감염시켜 정상적으로 이용할 수 없게 만든 후 일종의 몸값(ransom)을 요구하는 악성 소프트웨어를 말한다. 멀웨어(malware)[1]의 일종이다.

개요

2017년 5월 갑자기 등장한, 매우 강력한 전염성을 가진 멀웨어(malware) 워너크라이가 등장하여 전 세계를 강타하면서 이름을 알리게 되었다. 모든 랜섬웨어가 인터넷에 접속하는 것으로 감염되는 것은 아니지만, 워너크라이(WannaCry)는 의 특성을 이용하여 전파력을 높여 막대한 피해를 안겨주어 랜섬웨어를 잘 모르는 일반인에게는 랜섬웨어가 인터넷 연결시에 감염된다고 믿는 사람들도 있을 정도의 파급력을 안겨주었다.[2]

역사

랜섬웨어는 도스(DOS)가 사용되던 시절의 카지노 바이러스와 유사한 점을 보인다. 또한 2005년부터 알려지기 시작했으며 최초의 랜섬웨어로 알려진 악성 코드로는 도스(DOS) 환경에서 작동하는 AIDS 즉, 트로이 목마이며 비트코인으로 결제해야하던 현재와 달리 우편이나 대포통장을 사용했기 때문에, 어느 정도 범죄자의 추적이 가능했었으며, 플로피 디스크로 배포가 되었기 때문에 파급력이나 전파력이 크지 않았다. 하지만 비트코인이 등장 이후 처음에는 러시아에서 랜섬웨어를 이용한 사기가 유행했으며, 2013년 하반기에는 강력한 암호화 알고리즘으로 파일을 암호화하고 토르(Tor) 기반의 결제 홈페이지를 통해 비트코인. 즉, 돈을 요구하는 랜섬웨어 크립토락커(CryptoLocker)가 등장하면서 전세계적으로 확대되었고 피해가 심각해지기 시작했다.[2][3] 이로인해 추적도 어려워졌을 뿐더러 양자컴퓨터를 갖고있지 않는 이상 복호화할 수도 없어, 현실적으로 불가능 하였다. 또한 2017년에는 미국국가안보국(NSA)의 해킹 툴을 활용한 워너크라이(WannaCry)가 등장하면서 사상최대 규모의 랜섬웨어 공격이 이루어지고 유포 하루만에 전세계 100여개국 10여만대 이상의 컴퓨터를 감염시키며 전세계를 사이버테러의 공포로 몰아 넣었으며, 그 이름을 대중에게 알리게 되었다.[4]

특징

예를 들어 사용자 PC의 특정 파일을 암호화하여 사용할 수 없게 만든 후, 해당 악성코드를 개발한 사람이 요구하는 몸값을 지불하면 해당 암호를 알려주는 방식이다. 2017년 6월 10일 호스팅 업체인 ㈜인터넷나야나의 서버 153대가 Erebus 랜섬웨어에 감염되어, 13억원에 상당하는 비트코인을 해커에게 지급하고, 복호화 키를 받아서 자료를 복구했다.

작동 원리

흐름

  1. 공격 대상 파일검색
  2. 파일 암호화
    1. 고정키 암호화
    2. 다이나믹키 암호화
      1. 암호화키 생성
      2. 암호화키 서버 전달
  3. 파일 이동
  4. 검염 안내 및 복구 방법 메시지 출력[4]

원리

암호화 알고리즘을 기반으로 파일 데이터에 암호화 알고리즘을 이용해 암호화하여 사용할 수 없도록 하는 것이다. 암호화 방식에는 크게 단방향, 양방향 방식이 있는데, 단방향 암호화란 한 번 암호화하면 다시 복호화할 수 없도록 하는 것이고 양방향 암호화는 암호화 후에도 복호화가 가능한 방식이다. 최근에는 단순히 홈페이지를 방문만 해도 랜섬웨어에 감염시키는 방법으로 일명 드라이브 바이 다운로드(Drive by Download) 기법을 이용한다. 해당 방식에서 공격자가 해당 웹사이트에서 보안이 취약한 점을 노려 악성코드를 숨겨놓고, 이 악성코드를 사용자가 자신도 모르게 다운로드하여 실행하여 감염되는 방식이다.[4]

종류

랜섬웨어는 크립토(Crypt~), 케르베르(Cerber~), 매그니베르(magniber), 락커(~Locker), MBR 훼손 계열 등이 있다. 그 외에도 많은 종류의 랜섬웨어가 존재하고 있으며 해독된 랜섬웨어까지 포함하면 더 많은 종류가 있다.[2]

크립트(Crypt~) 계열

  • 크립토락커(CryptoLocker)
2013년 발생한 인질형 랜섬웨어의 일종이다. 컴퓨터 내의 OS 파일을 포함한 모든 파일 및 네트워크 드라이브의 파일을 RSA, AES 키로 암호를 걸어 암호 해독 키를 대가로 돈을 요구한다. 금액은 해커별로 천차만별이지만, 비트코인을 통해 금액을 결제하라는 경향을 보인다. 2015년부터는 비트코인으로 1비트코인 이상(당시 한화 50만 원 가량)을 요구한다. 구매에는 일주일 정도 시간제한이 있으며 이 안에 복호화 프로그램을 구매하지 않으면 가격이 두 배로 상승한다. FBI 현상금 300만 달러의 남자, 러시아 국적의 해커 예브게니 미하일로비치 보가체프(евгений михайлович богачев)가 만들었으며, 만든 것을 해커 그룹에 팔아서 작금의 사태를 만들었다. 또한 이 악성 프로그램을 해커그룹들이 변종화시켜 유포하고 있는 상황이다. FBI 측에서는 이 사람에게 공갈, 은행사기, 컴퓨터 사기 시행 및 가담, 신원 정보 도용 및 수색 방해, 신원 정보 절도, 음모죄, 컴퓨터 사기, 금융 사기, 돈세탁, 은행사기 공모 등의 혐의를 걸었다.[5]
  • 크립토월(CryptoWall)
크립토디펜스(CryptoDefense)라고도 불리는 크립토 월은 잘 알려진 랜섬웨어들 중에서도 큰 몸값을 요구하기로 유명한 랜섬웨어이다. 적어도 500달러를 요구하고 있으며 최근 가장 빈번하게 사용되는 랜섬웨어이다.[2]
  • 크립트XXX(CryptXXX)
2015년에 유행했으나 2016년 4월 러시아의 안티바이러스 기업 카스퍼스키(kaspersky)에서 복호화 툴을 내놓으면서 잠잠해졌다. 하지만 2016년 5월부터 변종이 등장하여 다시 유행하기 시작했다. 카스퍼스키 복호화 툴은 원본 파일과 감염 파일 간에 용량 차이가 안 나는 부분을 이용해서 원본과 감염 파일 간의 대조를 통해 복구하는데 변종은 용량 200KB를 추가하여 복구 툴을 무력화시킨다. 또한 헤더 파일과 의미 없는 코드를 뒤에 추가시켜 복구를 더욱 힘들게 한다. 오리지널 크립트XXX에 감염되었다면 카스퍼스키에서 복호화 툴을 다운받아 복호화하면 되고, 변종에 감염되었다면 따로 복호화 툴은 존재하지 않으나 no more ransom의 복구 툴을 통해 복구할 수 있다.ref name="랜섬웨어나무위키"></ref>
  • 크립믹(CrypMIC)
2016년 7월부터 유행하기 시작한 CryptXXX의 카피캣이며, 아직 복구화 방법에 대해 대중화가 되어있지 않다.(2018년 7월 기준)[2]

케르베르(Cerber~) 계열

  • 케르베르 램섬웨어(Cerber Ransomware)
2016년에 유행하기 시작한 랜섬웨어로, 해당 랜섬웨어에 감염되면 인터넷이 강제종료되는 현상을 시작으로 .txt, .mp3, .mp4 등의 확장자가 .cerber 확장자로 암호화되고, 암호화된 파일이 있는 폴더에는 #DECRYPT MY FILES(내 파일을 복구하는 법)이라는 텍스트 파일과 'Attention. Your documents, photo, database and other important files have been encrypted(경고. 당신의 문서, 사진, 데이터 그리고 다른 중요한 파일들이 암호화되었습니다.)라고 반복해서 말하는 음성 파일 및 웹 링크 등이 추가된다. 해결방법으로는 해커에게 돈을 지불하거나 전문 복구 업체의 도움을 받아야하는데, 해커에게 돈을 지불해도 금전만을 챙기고 복구해주지 않고 복구 업체도 약 30% 정도의 낮은 복구 확률을 보인다. 강제로 종료할 경우 검은색 화면으로 변경되고 제어판 및 프로그램의 실행이 불가하여 PC의 기능이 마비된다. 강제 종료 이후에는 현금을 요구하는 창도 없어지지만 검은색 화면에 마우스만 떠있는 상태가 된다.[2]
  • 케르베르3(Cerber3)
케르베르 랜섬웨어의의 변종이다. 감염 시 파일의 확장자를 .cerber3로 변경하고, 평균 1BTC를 요구하며 모든 폴더 경로마다 결제를 위한 파일을 생성해둔다.[2]
  • 케르베르4, 5, 6(Cerber4, 5, 6)
케르베르 랜섬웨어의 변종으로 2016년 10월부터 지속적으로 업데이트 되고 있다. 파일명을 랜덤으로 임의 수정하고 파일의 확장자를 랜덤으로 4자리(알파벳 + 숫자)로 수정 후 암호화하여 README.hta나 README.hta 또는 R_E_A_D__T_H_I_S.[Random].hta 파일을 생성한다. 아직까지는 복호키가 없어 무료로 복구하는 방법은 없으며 복구확률도 낮으므로 백업해두는 것이 가장 좋은 방법이다.(2017년 2월 기준) 한편 케르베르(cerber~) 계열의 랜섬웨어는 초록색 글씨의 형태를 취하는데 케르베르6(Creber6)의 경우 붉은색 바탕에 흰색 글씨를 쓰는 방식을 취한다. 케르베르6(Cerber6)는 버전명을 쓰지 않는다.[2]
  • CRBR Encryptor
2017년 중반부터 새롭게 등장한 변종으로 비트코인 탈취 기능이 추가되었다.[2]

매그니베르(Magniber) 계열

  • 매그니베르 랜섬웨어(Magniber Ransomware)
Cerber 랜섬웨어의 후속작으로 볼 수 있으며, 2019년 현재까지도 많은 피해를 주고있는 랜섬웨어이다. 주로 윈도우나 IE의 오래된 보안 취약점을 이용하여 감염되며, 보안 업데이트가 미비한 PC가 감염되기 쉽다. 감염되면 redme.txt라는 랜섬노트가 생성된다. 2018년 4월 안랩에서 복호화 툴이 나왔지만 변종이 다시나오면서 현재까지 복호화 툴을 배포하지 않았다. 따라서 다른 랜섬웨어와 마찬가지로 꾸준한 업데이트와 백업이 제일 좋은 방법.[2]

락커(~Locker) 계열

  • 시놀락커(SynoLocker)
시놀로지 NAS에 감염되는 랜섬웨어다. DSM 4.3버전 이하의 취약점을 이용해 침투하기 때문에 최신 DSM을 사용하면 보안가능하다.[2]
  • 나부커(NsbLocker)
복호화키를 요구하지 않기 때문에, V3를 포함한 웬만한 백신으로 암호해제가 가능하다. 랜섬웨어 종류 중에서 가장 약하다.[2]
  • 크리트로니(CTBLocker)
2014년 7월에 공개된 랜섬웨어이다. 시비티락커(CTBLocker) 혹은 크리트로니(Critroni)라고 불리며 스팸메일로 유포되는 다운로더에 의해 생성 및 실행된다. 첨부 파일에 포함되어 있는 다운로더는 .zip 또는 .cab 형태로 압축되어 유포되며, 압축 해제된 파일은 .scr 확장자를 갖고 있다. 실행하면 %TEMP% 폴더에 정상 .rtf 파일을 생성 및 실행해서 마치 문서 파일처럼 위장하지만 백그라운드에서는 사용자 몰래 악성코드를 다운로드 한다.[6]
  • 토르락커(TorLocker)
일본의 익명 커뮤니티 사이트인 5채널(5ch)의 유저에 의해 제작된 랜섬웨어이다. 다른 랜섬웨어와 비슷한 시스템을 채택하고 있으며 주로 일본에서만 많이 감염되고 있다. 일본 사이트를 자주 경유하는 국내의 컴퓨터의 경우 감염되기 쉽고, 복호화 툴은 몇 가지가 존재하지만 100% 복구해주는 툴은 없다. 과거엔 2채널(2ch) 게시판에서 이용자끼리 서로를 괴롭히려고 만들었지만 현재도 게속 업데이트가 진행되고 있고, 2019년 초를 기점으로 변종이 생겼다. 해당 변종은 한국어가 나와있는 것으로 일본 극우에 의해 악의적으로 유포되어 범인을 한국으로 몰아가려고 하는 목적으로 쓰이고 있다.[2]
  • 록키(Locky)
록커(Locker) 계통 중에서 가장 강력한 랜섬웨어로 크립토 계열과 마찬가지로 RSA-2048과 AES-128 유형의 암호화 기법을 사용한다. 국내도 타깃으로 하고 있으며 .hwp파일까지 암호화하며 Office의 매크로를 통해 일부 기관등에 유포되어 2016년에는 해당 랜섬웨어가 악명을 떨쳤다. 주로 스팸메일로 통해 유포되며, 가끔 자신에게 쓴 메일인척 위장하는 경우도 있으므로 메일에 항상 주심해야한다. 제목이 Invoice(송장), Document(문서)로 시작한다면 의심해보는 것이 가장 좋은 방법이며 현재 zepto, thor, odin, loptr, osiris, zzzzz, aesir, shit, diablo6, lukitus, ykcol, asasin 등의 형태로 바꾸는 변종까지 등장했다. 아직까지도 그렇다할만한 복호화 키가 존재하지 않은 상태이며, 복호화 가격은 0.5~5BTC사이이다.(2017년 10월 기준)[2]

MBR 훼손 계열

  • 낫페트야(NotPetya)
2017년 6월 26일 우크라이나를 공격한 후 한동안 확산되었던 낫페트야(NotPetya)는 감염 증상이 비슷하여 처음엔 페트야(petya)의 변종이라고 불렸다. 하지만 MBR의 복사본을 보관하지 않기 때문에 복호화 키가 있어도 실제로는 복구할 수 없다는 점 등 낫페트야와 상이한 특징을 가져 보안 전문가들 사이에서도 페트야와 다른 신종 랜섬웨어라는 의견이 분분했다. 6월 30일 이후로는 랜섬웨어인 척 하는 와이퍼 악성코드일 가능성이 높아졌다. 워너크라이(WannaCry)처럼 NSA의 이터널블루를 이용하거나, 복호화 키를 줄테니 비트코인을 보내라고 하는 것은 랜섬웨어인 척 해서 실제 목적을 감추려고 한 것 같다는 의견 또한 있었다. 이후 해외 언론에서는 낫페트야는 랜섬웨어가 아닌 것으로 수정했지만, 한국 언론은 아직까지도 랜섬웨어로 보도하는 곳이 대부분이다.(2017년 10월 기준) 또한 그 해 10월에는 낫페트야와 마찬가지로 NSA의 취약점 공격 소스 중 하나인 이터널로맨스를 이용해 낫페트야의 변종으로 추정되는 랜섬웨어 배드 래빗(Bad Rabbit)이 등장했다. 생각보다 해결방법도 간단한데 UEFI 환경에서 감염이 된 경우에는 펌웨어 파티션만 새로 만들면 되기에 윈도우를 통째로 건들일 필요가 없으므로 타격이 크지 않다고 할 수 있다.[2]
  • 산타나(Santana)
페트야(Petya)와 비슷한 증상을 일으키나 암호화 방식이 다르다. 유사 카피캣으로 생각하면 된다.[2]
  • 골든아이(goldeneye)
미샤와 페트야의 업그레이드 버전이며 파일, MBR까지 통째로 암호화시켜 버린다. 그러나 사용자 계정 컨트롤에서 아니오를 누를 경우 파일만 암호화시킨다. 또한 사용자 보안 옵션을 한 단계 낮출경우 그대로 둘 수 있다.[2]

그 외

  • 폴리스랜섬, 더티디크립토, 버록, 랜섬32(ransom3), 라다먼트(radamant), 엑스크립티드(Xrypted), 코리안랜섬웨어(KoreanRansomware), 에레버스(Erebus), 워너크라이(WannaCry), 시키호(sihkiihaw), 소디노키비(Sodinokibi) 등이 있다.[2]

감염경로 및 증상

감염경로

  • 신뢰할 수 없는 사이트
  • 스팸메일
  • sns 서비스
  • 광고배너
  • P2P 사이트[4]

감염시 증상

  • 주요 시스템 파일이 열리지 않는다.
  • CPU와 램 사용량이 급격히 증가한다.
  • 백신프로그램이 강제로 종료되거나, 중지 또는 오류가 지속적으로 발생한다.
  • 파일들의 확장명이 변경된다. (예 : 한글파일의 확장자인 hwp 가 hwp.abc 나, adfdw 등과 같이 이상한 확장자로 변경된다. 확장자가 이상한 경우 파일은 열리지 않으며 사용자가 다시 원상태로 돌릴 수 없다.)
  • 윈도우 복원시점을 제거한다.[4]

예방법

  • 기존의 서버-클라이언트 구조에서는 중앙 서버가 랜섬웨어 공격을 당하면 전체 서비스가 마비되는 문제가 있다. 그러나 블록체인 방식으로 전 세계 여러 서버에 데이터를 분산 저장할 경우 랜섬웨어 공격을 막을 수 있다.
  • 방화벽 설정 변경
  • 모든 소프트웨어 최신 업데이트 유지
  • 백신소프트웨어 설치 및 최신버전 유지
  • 출처가 불분명한 첨부파일이나, URL은 열지 않는다.
  • 불법 공유사이트 이용 시 유의
  • 주기적인 백업
  • SMB 포트 차단
  • SMB 1.0/CIFS 파일 공유 지원 해제[4]

각주

  1. 멀웨어(malware)란 malicious software의 약자로서, 사용자의 컴퓨터를 감염시켜 정보를 유출하거나 파괴하는 악성 소프트웨어를 말한다. 악성코드라고도 한다. 대표적인 멀웨어에는 컴퓨터 바이러스, 랜섬웨어, 스파이웨어 등이 있다.
  2. 2.00 2.01 2.02 2.03 2.04 2.05 2.06 2.07 2.08 2.09 2.10 2.11 2.12 2.13 2.14 2.15 2.16 2.17 랜섬웨어〉, 《나무위키》
  3. 랜섬웨어(사용자 PC를 인질로 삼는 보안 공격)〉, 《네이버 지식백과》
  4. 4.0 4.1 4.2 4.3 4.4 4.5 랜섬웨어〉, 《위키백과》
  5. 나무위키 CryptoLocker - https://namu.wiki/w/CryptoLocker
  6. 시나브로(vusghtjd2), 〈시티비락커/크리트로니 (CtbLocker/Critroni)〉, 《네이버 블로그》, 2016-07-06

참고자료

같이 보기


  의견.png 이 랜섬웨어 문서는 블록체인 기술에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.