본문 바로가기
카테고리 없음

알약으로 다시 화두에 오른 랜섬웨어란 무엇일까?

by 맨기자 2022. 8. 31.
반응형

 기자맨의 최근 생활뉴우스 

랜섬웨어

언어별 명칭
영어
Ransomware
중국어
勒索软件(중국, 싱가포르)
勒索軟件(홍콩, 마카오)
勒索軟體(대만)
일본어
ランサムウェア

1. 소개

 

 

2. 상세

 

    • 중요 시스템 프로그램이 열리지 않습니다.명령 프롬프트, 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능, 워드패드(WordPad), 알림 목록 등의 작업이 불가능합니다.
    • 명령 프롬프트, 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능, 워드패드(WordPad), 알림 목록 등의 작업이 불가능합니다.
    • 윈도우 복원 시점이 제거되거나 업데이트를 막아 버립니다.
    • 별도의 다른 악성코드를 심기도 합니다.
    • CPU와 RAM, 디스크 사용량이 급격하게 증가합니다.쿨러가 고속으로 회전하며 컴퓨터에서 소음이 나기 시작합니다.암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt 파일을 생성합니다. 이것은 하위 폴더, 상위 폴더 구분 없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것. 즉, 디렉토리 암호화가 완료되기 전까지는 생성하지 않는다는 것입니다. 어디까지 랜섬웨어 피해를 받았는지 확인할 수 있는 부분입니다.
    • 쿨러가 고속으로 회전하며 컴퓨터에서 소음이 나기 시작합니다.
    • 암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt 파일을 생성합니다. 이것은 하위 폴더, 상위 폴더 구분 없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것. 즉, 디렉토리 암호화가 완료되기 전까지는 생성하지 않는다는 것입니다. 어디까지 랜섬웨어 피해를 받았는지 확인할 수 있는 부분입니다.
    • 안티 바이러스가 오작동합니다. 혹은 강제로 꺼지거나 삭제됩니다.
    • 안전 모드로 진입할 수 없습니다.
    • 파일이 암호화되고 확장자가 변경되어 열 수 없습니다. 변경된 확장자를 제거해도 파일 내용은 암호화되어 있기 때문에 역시 열 수 없습니다.만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화됩니다.
    • 만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화됩니다.
    • 강제로 이동식 저장 장치의 연결을 해제시킵니다.외장 하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장 HDD가 손상되는 경우가 있습니다. 연결을 해제하고 다시 연결하고 해제하는 것이 계속 반복되기 때문에 배드 섹터가 발생할 수 있기 때문입니다.
    • 외장 하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장 HDD가 손상되는 경우가 있습니다. 연결을 해제하고 다시 연결하고 해제하는 것이 계속 반복되기 때문에 배드 섹터가 발생할 수 있기 때문입니다.
    • 재부팅을 할 때마다 랜섬웨어 안내문이 들어있는 txt 파일, html 파일이 시작 프로그램 목록에 추가됩니다.
    • 악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많습니다. 대표적인 경로는 아래와 같습니다. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있습니다.
    • 실행되면 숙주 파일이 사라지는 경향이 있습니다. 따라서 한번 암호화가 끝나면 다시 암호화가 되지 않습니다.
    • 몇몇 랜섬웨어는 외장 하드, USB 메모리, SD 카드 등의 연결된 이동식 저장 매체까지 감염시키는 경우가 있습니다. 심지어 플로피 디스크도 감염됩니다. 이를 감염되지 않은 컴퓨터에 연결하면 즉시 그 컴퓨터에도 전염되는 경우도 있습니다.

 

2.1. 치료

 

    • 안티 바이러스(백신 소프트웨어)에서 랜섬웨어가 탐지되어 차단되었다는 메시지를 보인다면 더 이상의 문제는 없으니 안티 바이러스를 통해 시스템 정밀 검사를 실행하고 추후 재발 방지 대책을 세우면 됩니다.
    • crypt, vvv, zepto, fun 등이나 알 수 없는 명칭들로 확장자가 변환되고, 랜섬웨어 협박문과 함께 타이머가 보이기 시작한다면 바로 아래 대처법을 시행해야 합니다. 최근에는 파일 확장자나 이름을 바꾸지 않으면서 암호화하는 경우가 발생됩니다.
    • 하드디스크/SSD의 MBR/GPT가 변조(암호화)되는 랜섬웨어(페트야/미샤, 골든아이, 사타나 등)에 감염되었을 경우 해당 디스크에 설치된 운영 체제로 부팅이 되지 않으므로 별도의 복구 방법을 사용해야 합니다.
    • 우선 데스크톱의 경우 전원 플러그를 뽑는 등 컴퓨터를 물리적으로 완전히 종료해야 한다(이미 감염되어 화면에 문구가 떠있다면 강제종료시 운영체제가 증발할 수 있으니 주의하자.)). 노트북이라면 배터리 일체형 제품의 경우 전원 버튼을 꾹 누르거나 배터리 분리형 노트북인 경우 배터리를 분리해 완전히 종료시킵니다.
    • 컴퓨터의 전원 버튼을 누른 후 안전 모드로 진입합니다.(Windows 7까지) 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 키로 '안전 모드(네트워킹 사용)'를 선택한 후, 'Enter' 키를 눌러 진입합니다.(Windows 8부터) 우선 이 사이트를 참고하여 안전모드(네트워킹 사용)로 부팅합니다.
    • (Windows 7까지) 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 키로 '안전 모드(네트워킹 사용)'를 선택한 후, 'Enter' 키를 눌러 진입합니다.
    • (Windows 8부터) 우선 이 사이트를 참고하여 안전모드(네트워킹 사용)로 부팅합니다.
    • 안전 모드로 진입이 완료되었을 경우, 적절한 안티 바이러스 제품으로 검사하여 랜섬웨어를 제거합니다. 결제 협박문이 남아 있을 경우, Malware Zero를 이용하여 제거한 후 시스템을 다시 시작합니다.
    • 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아 있을 것입니다. 따라서 암호화된 파일이 복호화가 가능하다면 복호화 툴을 이용합니다. 이는 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 공개하거나, 사법 당국이나 안티 바이러스 업체가 복호화 키를 찾아낸 경우에만 해당됩니다.
  • 그러나, 4번의 경우도 완벽한 건 아니라서 특정 파일이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할 수도 있습니다.

 

2.2. 주의

 

최근 랜섬웨어는 고객 응대를 한다고 하여 채팅창(사실상 게시판)을 열어두는 경우가 있는데, 거기다가 대고 공격자를 조롱하는 메시지를 보내지 않는 것이 좋습니다.
또한, 충분한 대비책(가령, 접속 위치 숨기기, 방화벽 사용 등)이 없이 공격자를 기만하는 행위는 위험합니다.
어설픈 참교육은 도리어 본인이 감시 대상이 될 수 있으며, 그로 인해 본인은 억울할지라도 조금의 혐의점이라도 있다면 꼭 해당 사건이 아닌 다른 사건을 이유로라도 경범죄 등의 수사를 받거나 처벌을 받을 가능성이 높습니다.
쉽게 말해, 본인이 랜섬웨어를 추적한다고 나서다가 어느날 경찰서에서 경범죄로 소환장이 날아온다면, 더 큰일이 벌어지기 전에 사전에 막았다는 의미이므로 불평하지 말고 오히려 감사해야 합니다.
만약 그런 장소를 발견했다면 건들지말고 경찰에 신고해야 합니다.

 

2.3. 비트코인 등장 이전

 

 

2.4. 비트코인 등장 이후

 

    • 급격한 유행이전까지는 외국 사이트 등에서나 간간이 볼 수 있었지만, 2015년 들어 한국 웹에서 급격히 유행하기 시작했습니다. 특히 보안이 취약한 사이트, 가짜 이메일, 구글 애드센스, 그 외 광고창 등에 심어져 들어와 사용자 몰래 랜섬웨어를 실행시키고 감염되는 식입니다. 이메일, 인스턴트 메세지, 웹사이트 등에서 링크를 클릭하기만 해도 플래시 취약점을 이용하여 설치됩니다. 일반적으로는 당연히 운영 체제상의 일차적인 방패인 UAC, sudo 등이 존재하지만, 예스맨의 문제도 있고 보안상의 구멍으로 우회해서 들어가는 녀석도 있습니다. 유포 방식에 따라 EXE 파일 실행을 필요로 하는 경우도 있지만, 대부분은 플래시의 취약점을 이용합니다. 이것뿐만 아니라 최근에는 랜섬웨어를 주문받아 제작하여 파는 유형까지 유행하고 있습니다.
    • 증상문서나 스프레드시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤, 돈을 보내주면 암호화를 풀어 준다고 하며 금품을 요구합니다. 크립토락커 등 랜섬웨어의 대부분은 Tor를 기반으로 한 웹페이지를 이용하기 때문에 추적이 매우 어렵고 막대한 시간이 들기 때문에 검거가 어렵습니다. 랜섬웨어가 암호화하는 파일의 종류는. xls, .doc, .pdf, .jpg, .avi, .rar, .zip, .mp4, .png, .psd, .hwp, .java, .js, c, cpp(cc), cs, py 등이 있습니다. 직장인이라면 잘 알겠지만 업무용으로 주로 쓰이는 파일들이 많습니다. 암호화라는 것이 특정 파일에만 먹히고 특정 파일에는 안 먹히는 것이 아닙니다. 제작자가 지정한 파일만 선택적으로 암호화하게 되므로 랜섬웨어의 종류에 따라 조금씩 차이가 있을 수 있습니다.
    • 각종 피해현대 사회의 상당수 기업 업무, 창작 활동 등은 대부분 컴퓨터로 이루어지고 그 결과물도 컴퓨터에 저장됩니다. 따라서 랜섬웨어가 한번 휩쓸고 지나가면 직업의 종류에 상관없이 크게 피를 보게 됩니다. 예방만이 살 길입니다. 다만 많은 경우, 돈을 지불해서 살려야 하는 중요한 파일들은 대체로 용량이 그리 크지 않다는 점을 이용해 용량이 큰 파일은 나중에 암호화하거나, 심지어는 실제로 암호화는 하지 않고 확장자만 바꾸는 등의 동작을 하는 경우가 많습니다. 그렇기에 생각보다 동영상의 피해는 별로 없을 수도 있습니다. 물론 랜섬웨어라는 건 변종에 따라 그 동작이 천차만별이니 방심은 금물입니다.경제적인 피해 외에 심리적인 피해 역시 심대합니다. 2010년대 초부터 이미 랜섬웨어의 피해를 입어왔던 해외에서는 돌아가신 어머니 사진이나 죽은 아이의 사진이 열리지 않게 되었다는 안타까운 사례가 굉장히 많습니다.만일 해커가 요구하는 대로 비트코인 등 가상 계좌로 돈을 지불하면 복호화를 해 줄지도 모르나 대부분은 해 주지 않는다고 합니다. 파일을 암호화시키는 게 아니라 애초에 복구해 줄 생각도 없이 파일을 박살내 놓고 암호화한 척 하는 랜섬웨어도 있을 정도입니다. 랜섬웨어 사태 초기에는 어쨌든 돈을 주기만 하면 풀어 주기는 한다는 인식을 퍼뜨려, 보다 많은 피해자들이 송금하게 함으로써 이익을 극대화시킬 필요가 있었습니다. 허나 랜섬웨어의 개념이 널리 퍼지고 빠르게 한탕만 하고 빠지자는 생각을 하는 유포자 또한 늘어남에 따라, 그냥 돈만 긁어모으고 먹튀를 시전하는 사례 역시 크게 증가하였으며 추적당할 위험까지 감수하며 복호화해 줄 이유도 없습니다. 크립토 월 같은 최근 랜섬웨어들은 한화 수십만 원에 달하는 거액을 요구하는 데다 복호화를 안 해 주는 경우가 더 많다고 합니다. 적은 돈도 아닌데 그 돈이 어디서 어떻게 쓰는지 모르고 있는 지라 신중히 생각해야 합니다.LAN을 이용해 네트워크를 구성한 상태에서 네트워크 내의 모든 컴퓨터가 죄다 오염되었다면 사태는 더 심각해집니다. 키가 컴퓨터마다 고유하게 설정돼서 감염된 다른 컴퓨터에 적용할 수가 없기 때문에, 공용 네트워크를 통해 랜섬웨어가 세트로 퍼질 경우 컴퓨터마다 따로 돈을 내야 합니다. 다만 쓰기 권한이 없으면 암호화를 할 수 없으므로 공용 네트워크라 하더라도 타 컴퓨터에 대한 쓰기 권한이 없다면 암호화당하지 않습니다.
    • 그 외 여담이런 특성 때문에 사상 최악의 악성코드라고 불리기도 합니다. 트로이 목마 같은 악성코드를 포함한 다른 악성코드들은 단순히 프로그램을 파괴하거나 변조하는, 의미 없는 테러와 같은 행동 양식을 보이는데 비해 이건 대놓고 컴퓨터를 인질로 삼아 돈을 요구하는 강도나 다를 바가 없기 때문입니다. 누군지도 모르는 남의 컴퓨터를 망가뜨린다는 가학적인 쾌감 정도가 고작인 기존의 바이러스들에 비해 확실한 금전적 이득을 제공할 수 있다는 것은 굉장히 큰 메리트이며 랜섬웨어가 창궐하는 데 일조하고 있습니다.여기에 이 악성코드를 없애도 암호화된 파일은 복구가 되지 않는 것은 물론, 백신 프로그램으로도 복구 소프트웨어로도 한계가 있기 때문에, 백업만이 해결책이란 것도 문제다. 백신이야 말할 것도 없지만, 일부 랜섬웨어는 파일의 내용도 변경시키기 때문입니다. 복구 프로그램은 파일의 실제 내용이 들어간 영역을 통해 복구를 수행하는데, 그 영역 자체가 변조되니 당연히 복구가 불가능합니다. 특히 덮어쓰기가 손쉬운 HDD 등에서 이러한 피해가 큽니다.주로 외국 사이트에서 랜섬웨어 제작 툴을 판매하는 모습이 주로 포착됩니다. 랜섬웨어 유포자들이 몸값을 받아내는 창구로 비트코인 계좌를 사용하면서, 컴퓨터 관련 사이트나 커뮤니티에서는 비트코인 자체에 대한 비난, 욕설까지 발생하고 있습니다. 비트코인 옹호자들은 비트코인의 투명한 운영에 대해 언급하며 옹호하기도 하는데 사실 이것도 말장난에 가깝다. 돈을 주고 받는 거래 내역은 볼 수 있는데, 정작 그 돈을 받는 지갑의 주인이 누구냐고 묻는다면 대답할 수 없기 때문입니다. 대놓고 돈을 받고 있는 셈인데 공권력이 손을 놓고 있을 리가 없습니다. 게다가, 최근에는 이더리움 채굴에 그래픽 카드가 대거 끌려가면서 그래픽 카드 가격이 폭등하고 물량은 물량대로 모자라는 상황이 발생하여, 애꿎은 소비자들만 피해를 보는 상황이 지속되자 가상 화폐에 대한 반감에 불을 더 지펴버렸습니다.

 

3. 범죄자들

 

    • 러시아 해커단해당 단체의 이름은 불명입니다. 2013년에 검거되었으며 11명으로 구성된 이 해커단은 지난 2011년 중반부터 이 랜섬웨어를 이용해 1년에 100만 유로 넘게 벌어들여 돈세탁한 뒤 러시아로 송금했습니다. 결국 1200여건의 탄원을 받은 스페인 경찰 등에 쫒기다가 우두머리 격인 27세의 러시아인을 2012년 12월즘에 아랍에미리트 두바이에서 체포. 나머지 러시아인 6명, 우크라이나인 2명, 조지아인 2명인 나머지 10명은 스페인 남부 해변 휴양지인 코스타 델 솔에서 검거했습니다. 이들이 사용한 랜섬웨어 바이러스는 컴퓨터를 작동하지 않게 만들고 경찰을 사칭하여 100유로의 벌금을 내라는 문구가 나타나도록 해 피해자들을 속였습니다.
    • 마커스 허친스인터넷 상에서의 닉네임인 MalwareTech로 유명한 영국인입니다. 워너크라이를 막아낸 영웅으로 불리웠으나. 사실은 그 이전부터 악성코드와 랜섬웨어의 한탕주의에 유혹당해 타락해 있었던 범죄자로 2017년 8월 3일에 체포되었습니다. 다른 용의자 한 명과 함께 크로노스(Kronos)라는 악성 소프트웨어를 만들어 2014년 7월∼2015년 7월 인터넷에 홍보, 판매해 돈을 챙긴걸보면 짐작이 가능합니다. 재판 결과, 원래 범죄자였으나 랜섬웨어를 막아내 공익에 기여한 점이 참작되어 2019년 구치소에서의 복역만큼 이미 형기를 채운 것으로 하고 1년간의 보호관찰(supervised release)을 선고받았습니다. 이미 허친스의 미국 여행비자가 만료되었기 때문에, 보호관찰이 끝나는 대로 영국으로 송환될 것으로 보입니다.
    • 이고르 크리우츠코브2020년 8월 27일에 겁도 없이 미국 네바다주의 테슬라 기가팩토리에 랜섬웨어를 심으려고 해당 지점의 직원에게 악성코드를 심는 대가로 100만 달러(약 11억8309만 원)를 약속했습니다. 하지만 직원은 크리우츠코브를 돕는 대신 회사에 이 사실을 알렸고, FBI에 연락해서 FBI가 2020년 9월 22일 크리우츠코브를 보안 컴퓨터에 의도적인 피해를 주려 한 혐의로 체포했습니다. 머스크 CEO는 이에 대해 “매우 감사하다”며 해당 범죄자를 체포하게 도와준 직원을 칭찬했습니다. 세상에는 아직도 인간이 있으며 인간 쓰레기를 잡은 결과다.
    • GandCrab 제작자의 파트너제작자는 아니지만 랜섬웨어 한탕주의를 위해 제작자와 접촉했습니다. 그리고 체포당한 시기는 2020년 7월에 체포당했습니다. 제작자가 아니더라도 일반인이 랜섬웨어 제작자와 접촉해서 한탕주의를 노리려던 사례로 볼수있습니다. 정작 해당 랜섬웨어의 제작자는 용의주도한지 아직도 잡히지 않았습니다.
    • 페트야 유포자51세의 우크라이나 남성으로 2017년 여름에 페트야를 유포하다가 체포되었습니다. 공식사이트에 게재된 우크라이나 경찰의 페트야 랜섬웨어 유포사건 수사결과 발표에 따르면 용의자는 악성코드를 파일공유계정에 업로드했고 그 공유링크를 악성코드 구동방법 설명과 함께 자기 블로그에 게재했다고 진술했습니다. 여기서 악성코드 다운로드는 400회 가량 발생했습니다. 몇몇 회사는 범죄활동 은폐와 탈세를 위해 고의로 악성코드를 내려받았습니다. 결과적으로는 우크라이나 지역 슈퍼마켓, 중앙은행, 국제공항, 체르노빌 원자력발전소 방사능감시시스템 등 민간과 정부 주요시설 전산시스템을 감염시켰습니다. 이후 감염 피해 사례가 유럽, 북미, 호주 등 64개국 2천건 이상으로 확대됐습니다. 페트야의 변종에 묶이기도 했다 페트야 악성코드엔 감염 피해자가 공격자에게 비트코인을 지불해도 망가진 데이터를 되살리는 기능이 없었습니다. 공격자는 어떤 PC 사용자가 비트코인을 지불했는지 알 수도 없었습니다.
    • 에빌 코프러시아에서는 유명한 갱단입니다. 아직도 잡히지않은 집단으로 드리덱스와 제우스라는 악성프로그램을 제작했고 광범위한 스케일의 랜섬웨어 캠페인 벌이다가 알려졌습니다. 2020년 7월 기준으로 여러 웹사이트들들 해킹한 후 속골리시라는 다운로더를 호스팅했으며 아무것도 모르는 사이트 방문자는 속골리시에 감염되고, 속골리시는 랜섬웨어를 추가로 설치하는 최악의 상황에 이르게됩니다. 2020년에는 도플페이머로 독일의 병원이 해킹되어 환자중 일부가 사망하는 사태도 벌어졌습니다.
    • 메이즈2019년 5월부터 11월 1일까지 활동한 해커집단으로 정작 활동은 그만두면서도 랜섬웨어 메이즈의 복호화키를 공개하지 않았습니다. 더는 활동을 안한다지만 언제 말을 바꿀지 모르는 위험한 범죄자들입니다.
    • 중국의 해커일당 3인조.이름이 알려지지 않은 거(巨)모씨, 사(謝)모씨, 담(譚)모씨로 이루어진 3인조는 장쑤성 계동시의 한 대형 마트에 랜섬웨어를 뿌리고 자신들이 해결사인것처럼 돈을 받고 치료하는 자작극을 보였다가 공안에게 체포됩니다. 중국뿐만이 아니라 전세계에도 비슷한 사건이 나오고있습니다.

 

반응형

댓글

티스토리툴바