본문 바로가기

별걸다하는 IT/기타IT

[보안] 랜섬웨어 바이러스란?! 랜섬웨어 감염 경로, 랜섬웨어 걸렸을때 대처 복구 방법, 랜섬웨어 역사 Ransomware

안녕하세요 양햄찌 블로거 입니당

오늘은 오랜만에 보안 관련 컨텐츠를 들고왔어요!

주제는 한때 핫했던 랜섬웨어~~

 

[목차]

1. 랜섬웨어란 무엇일까?

2. 나 랜섬웨어 걸렸나? 확인하는 방법

3. 랜섬웨어 감염 경로

4. 랜섬웨어의 역사

5. 랜섬웨어 걸렸을 때 대처 방법

랜섬웨어란 무엇일까?

몸값을 의미하는 Ransom과 제품을 의미하는 ware가 합쳐져서, 몸값을 요구하는 악성 프로그램, 요것이 랜섬웨어입니다.

 

출처: https://vpnoverview.com/internet-safety/malware/ransomware/

 

랜섬웨어는 사용자의 중요 파일을 암호해버린 다음에, 너 이 파일 필요해? 그럼 돈내놔~내가 풀어줄게 요런식으로 사용자의 돈을 뜯는 악성 프로그램이예요. 정보를 직접 훔치는 방식이 아닙니당

 

당연히 일반 사용자의 파일을 암호화시켜서 돈을 뜯기보단, 기업의 중요문서나 데이터들을 암호화시켜서 돈을 뜯는게 더 효율적(?)이겠죠?? 그래서 개인보다 기업에서 피해사례가 많고 피해액이 더 큽니다.

 

기사출처: https://www.mk.co.kr/news/it/view/2020/02/125596/

기업의 랜섬웨어 피해 사례는 많은 기사로도 확인할 수 있습니다.

 

나 랜섬웨어 걸렸나?? 확인하는 방법

랜섬웨어는 감염되면 확인하기 어렵지 않은대요,

 

출처: https://www.backblaze.com/blog/complete-guide-ransomware/

1. 아이콘

일단 그림에서 보는 것처럼 파일들이 이상한 아이콘으로 변경되었다던가, 깨졌다던가 들어갔는데 열리지 않는다던가 그러면 의심해봐야합니다.

 

2. 스플래싱 화면

그 다음 랜섬웨어의 가장 대표적 특징은 스플래싱 화면이나 파일인데요.

얘네 목적은 돈이니, 대게 바탕화면이 이렇게 경고(?) 알림(?)화면으로 변경되어있습니다. 

내용은 주로, 너의 파일은 모두 암호화되었으니 내가 친절하게 푸는 방법을 알려주겠다. 

파일을 복구하고 싶으면 아래 링크로 들어와라, 한 다음에 돈을 지불하도록 요구하는 방식이예요.

저렇게 화면으로 되어있는 경우도 있고,  읽으라는 제목의 파일로 어떻게 돈을 지불함으로써 복구할 수 있는지에 대한 설명을 해놓은 랜섬웨어도 있고 그럽니다.

악성프로그램이지만 돈을 얻기 위해 친절한편;;

 

랜섬웨어 감염 경로

랜섬웨어는 여러 경로로 감염되는데요,

일반 사용자인 우리의 경우, 인터넷에서 이상한 파일을 다운받아 클릭했을때가 아무래도 제일 흔한 감염경로겠죠?

출처: https://www.statista.com/statistics/700965/leading-cause-of-ransomware-infection/

2019년에 랜섬웨어 감염 경로 통계인데요,

첨부파일을 가진 이메일 스팸이나 피싱이 67퍼센트로 1위네요!

예를 들어, 요새 코로나 시기에 회사내 자택근무 방침 관련 메일이 온다면 안누를 사람이 얼마나 있을까..! ㄷㄷ

메일은 함부로 누르거나 다운로드 받지 맙시다 ㄷㄷ 하지만 아무래도 회사의 경우 업무적인 부분때문에 메일을 많이 쓰니 더 취약할 수 밖에 없겠죠.

 

피해사례. 출처: 한국랜섬웨어침해대응센터

생각보다 도처에(?) 감염되기 쉽게 널려있죠?ㅎㅎ 이상한 파일 다운받지 않도록 조심합시다.

랜섬웨어 역사 history of Ransomware

랜섬웨어는 최근에 생긴건 아니고 꽤 긴 역사(?)를 가지고 있는데요,

최근 랜섬웨어 피애액

랜섬웨어의 첫 번째 사건!

출처: https://kivuconsulting.com/the-history-of-ransomware/

가장 처음 발생한 것으로 알려진 랜섬웨어는 'AIDS 트로이목마'로 1989년에 발생했습니다.

AIDS 연구가였던 조셉 포프 박사 (Joseph Popp)는 세계보건기구가 주최한 AIDS 컨퍼런스의 참석자들에게 "AIDS Information - Inductory Diskettes"라는 라벨이 붙은 20,000개의 감염된 플로피 디스크를 보냅니다. (이메일이 아닌 우편으로!)

재밌는건 이 우편을 보낸 회사는 허구였지만, 디스크 자체에는 설문조사 응답에 따라 AIDS 감염 위험도를 측정해주는  프로그램이 진짜로 포함되어 있었습니다. 당연히 요 디스크에는 프로그램뿐만 아니라 파일 디렉터리를 숨기고 파일이름을 잠그는 악성코드가 포함되어 있었죠. 그리고 교묘하게 바로 실행되는게 아니라, 약 90번 정도 (어느정도 오차는 있었음) 특정 수만큼 컴퓨터리 리부팅되면 그때 모든 파일명들이 다 암호화되는 바이러스가 활성화되었습니다. 그리고 데이터를 다시 이전 상태로 돌려받길 원한다면 파나마(Panama)의 PO Box에 $189을 보내라고 요구했죠.

 

이 트로이목마는 시초다보니, 당연히 상대적으로 복구하기 어렵지 않았어요. 단순한 대칭형 암호학을 사용해 암호했었고, 얼마지나지 않아, 그 파일명들을 해독하는 도구들이 나왔습니다.

사진출처: https://medium.com/un-hackable/the-bizarre-pre-internet-history-of-ransomware-bb480a652b4b

조셉 포프 박사는 브릭스톤 감옥에 구금되었고, 포프는 그 돈들은 AIDS 연구에 들어가기 위함이었다고 자신을 변호했어요. 재판에서 그는 정신적으로 완전하지 않다고 판명되어(?) 무죄로 미국으로 돌아가게 됩니당. 재밌죠?

비대칭 암호화의 출현

이전에는 간단한 대칭 암호화로 비교적 복구하기가 쉬웠죠? 1996년도에 이제 비대칭 암호화방식의 랜섬웨어가 나타날거라는 경고는 있었으나, 처음으로 비대칭 암호화 (RSA)방식을 사용한 랜섬웨어가 2005, 2006년도에 출현했습니다.

대표적인건 2005년에 나타난 GPCoder와 2006년에 나타난 Archivevus가 있어요

archivevus trojan (아카이브어스 트로이목마)이라는 악성프로그램이 2006년도에 풀렸는데, RSA 암호화를 사용한 첫번째 랜섬웨어였습니다.

요 바이러스는 내문서 디렉토리에 있는 모든 것을 암호화했고 이를 풀려면 암호가 필요했는데, 암호가 30자리나 되어서 맞출 확률도 낮았습니다. 이 긴 암호를 받기 위해 공격자는 한 온라인 약국 사이트에서 요 아이템을 구매해도록 피해자들에게 요구했습니다.

랜섬웨어의 성공 그리고 확산

2011년부터 랜섬웨어는 크게 성공하여 확산하게 됩니다.

사진 출처: https://www.varonis.com/blog/a-brief-history-of-ransomware/

2011년도 3분기에는 약 60,000의 새로운 랜섬웨어가 발견되었으며, 2012 3분기에는 두배가 넘는 200,000 이상의 랜섬웨어가 발견되었다고 합니다. 그리고 더 놀라운건 2015 1분기에는 700,000가 넘는 숫자로 뛰었어요 ㅎㅎ

폴리스 랜섬웨어 Police Ransomware

2012에는 새로운 형태(?)의 랜섬웨어가 나타났는데요. 경찰기관을 사칭한 랜섬웨어가 이 시기에 급증했으며 대표적 랜섬웨어는 레베톤과 브로우락이 있습니다. 당연히 타케팅은 경찰한테 찔릴(?)일이 많은 성인사이트나 불법사이트를 운영하거나 사용하는 사람들이었습니다.

출처: https://its.fsu.edu/sites/g/files/imported/storage/images/information-security-and-privacy-office/the-evolution-of-ransomware.pdf

불법사이트 클릭하면 "FBI 연방 수사국 마크와 함께 당신은 아동 포르노나 동물 수간 등 불법 사이트를 다수 방문하였다. 따라서 당신은 ~를 위반하였으며 법조항 ~에 의해 어쩌구 저쩌구" 결국 벌금을 내라는 화면이 나옵니다.

출처: https://www.f-secure.com/en/business/resources/ransomware

폴리스 랜섬웨어는 locker 형태의 랜섬웨어를 사용했는데, locker 형태의 랜섬웨어가 기존과 다른 점은, 기존은 파일을 암호화시켜버렸다면 락커 랜섬웨어는 말그대로 컴퓨터를 잠근다는 뜻으로, 컴퓨터나 장치의 접근이나 화면을 막는다는 것입니다. 브로우락의 이름도 브라우저를 잠근다 라는 뜻에서 비롯된 것을 추측해볼 수가 있죠.

 

추가로.. 

오 랜섬웨어 일대기 그림이 있길래 가져와봤어요

랜섬웨어역사.pdf
0.31MB
the-evolution-of-ransomware.7z
9.53MB

랜섬웨어에 대해 더 자세히 알아보고 싶은 분은 위 PDF를 참고해주세요

랜섬웨어 걸렸을 때 대처방법

1. 해커 방법대로 해결하지 말기

전문가들은 해커들이 요구하는 방법대로 하지 말라고 조언하는데요, 

최근 돈을 지불하는 경로도 거의 비트코인 같이 지불 내역을 확인할 수 없거나 증명할 수 없는 방안으로 이루어지는대다가 돈을 지불해도 사실 복호화를 못하는 경우가 허다하기 때문이죠 ㅎㅎ

왜냐면 자꾸 복호화가 가능한 솔루션 프로그램들이 많이 나오니까, 애초에 복호화를 못하게 단방향 암호화를 하는 경우도 많기 때문입니다. 돈은 돈대로 잃고 해결은 못하고..!

진짜 미친듯이 중요하고 다른 해결방법을 수소문했는데 방법이 없었다..! 그럼 작은 희망이라도 중요하니 어쩔 수 없지만..

 

2. 데이터가 중요하지 않을 경우 초기화

 

데이터 날려도 상관 없으면 Windows 초기화를 해줍시다. 요새 Window 버전에서는 간단하게 시작에서 검색해 실행할 수 있어요.

 

3. 랜섬웨어 종류 파악하기

랜섬웨어별로 암호화 방식도 다 다를텐데 일단 복구하려면 어떤 랜섬웨어인지 종류를 알아야 복구할 수 있겠죠?? 

출처: id-ransomware.malwarehunterteam.com/

암호화된 파일을 넣으면 랜섬웨어 종류를 알려주는 사이트입니다.

 

4. 한국 랜섬웨어 침해 대응센터

한국 랜섬웨어 침해 대응센터에서 복호화 툴 있는지 확인해보는 방법이 있습니다.

3번 ID랜섬웨어에서 파악한 랜섬웨어 카테고리가 있는지 확인 후 있으면 복호화 프로그램을 다운받아줍시다.

링크: www.rancert.com/bbs/bbs.php?bbs_id=rest

사진 누르면 링크로 이동해요~

이 사이트에는 복호화툴 뿐만 아니라 랜섬웨어 관련 여러 정보들도 많으니 읽어보는것도 좋아요.

 

5. 안렙에서 제공하는 복구 툴

안렙에서도 특정 랜섬웨어에 대해서는 복구툴을 제공하고 있습니다.

링크: www.ahnlab.com/kr/site/securityinfo/ransomware/index.do

사진 누르면 링크로 이동

매그니베르 랜섬웨어, 크립트엑스엑스엑스 랜섬웨어, 나부커 랜섬웨어, 테슬라크립트 랜섬웨어 등은 복구가 되나 신변종 랜섬웨어는 복구가 안될 수 있다 하네요. 이 외에도 다양한 복구 툴이 있으니 검색해서 하나씩 시도해보는 수밖에 없죠 뭐..

 

랜섬웨어의 교훈은 당연히 백업이겠죠!!

윈도우 업데이트도 항상 최신으로 유지하고 데이터 백업 주기적으로 잘 해놓기!! 

 

오늘은 랜섬웨어에 대해 간단하게 알아보는 시간을 가졌어요 ㅎㅎ

해피뉴이어~! 다음 포스팅에서 봐요.