전국민 보안 업그레이드! 알약 블로그

주메뉴


포스팅 내용

랜섬웨어, 돈을 가져오면 인질을 풀어주마!

랜섬웨어(Ransomware), 돈을 가져오면 인질을 풀어주마! 


랜섬웨어란 납치된 사람에 대한 몸값을 뜻하는 영어 'Ransom'과 'Software'의 합성어로, 사용자 PC 혹은 PC에 저장되어 있는 문서파일을 모두 암호화시켜 놓고 돈을 요구하는 악성코드입니다. 


랜섬웨어의 역사는 10여년이 넘었습니다. 지금까지의 랜섬웨어는 쉽게 제거할 수 있었으며, 공격자가 인질로 삼은 파일을 암호화했지만 그 수준이 너무 낮아 복호화 방법을 금방 찾을 수 있었습니다. 그러나 2013년 하반기, 강력한 암호화 알고리즘으로 파일들을 암호화하고 돈을 요구하는 랜섬웨어 '크립토락커'가 등장했습니다.



크립토락커는 사용자 PC에 저장되어 있는 문서 및 사진파일에 대하여 RSA-2048 방식으로 암호화시킨 후, 피해자에게 암호 해독키를 원한다면 지정한 기한 내에 일정 금액을 송금하라고 협박합니다. 또한 기한 내에 돈을 보내지 않으면 파일을 모두 복구할 수 없도록 만들겠다고 압박합니다.


이렇게 크립토락커가 성행하자, 파이어아이와 폭스IT가 함께 협력하여 크립토락커로 인해 암호화 된 파일의 복구를 돕는 웹사이트(https://www.decrytcryptolocker.com)를 개설하였습니다. 이 곳에서 피해자가 암호화된 파일을 업로드하면, 이를 복호화하는 개인키를 내려줍니다. 


※ 참고 : DecryptoCryptoLocker 이용방법


1. 사이트를 이용하기 위해서는 기밀 정보가 포함되지 않은 암호화된 파일을 업로드하면 됩니다. (파이어아이 측은 사용자 파일을 영구저장하거나, 열람하거나, 수정하지 않을 것을 명시하고 있습니다)


2. 해당 파일에 대한 개인키를 전송받을 이메일 주소를 입력하고, Capcha 입력 란에 문자와 숫자를 정확하게 입력했는지 확인합니다.


3. 'Decrypt It!' 버튼을 클릭하면, https://www.decryptCryptoLocker.com 사이트로부터 Decryptolocker.exe 파일을 다운로드할 수 있는 방법에 대한 설명이 나옵니다. 또한 사용자가 입력한 이메일 주소로 개인키가 전송될 것입니다.


4. Windows Command Prompt를 오픈한 후, Decryptolocker.exe 툴 및 암호화된 파일이 있는 경로로 이동합니다. (해당 파일이 툴과 동일한 경로에 있지 않은 경우에는 암호화된 파일의 디렉토리를 지정해야 함에 주의하시기 바랍니다) 이후 아래의 명령어를 정확히 입력해야 합니다.


'Decryptolocker.exe -key "<Key>" <암호화된 파일명>


5. 복호화에 성공했다면, 'Successfully decrypted file : File1-1.doc'와 같은 메시지를 확인하실 수 있습니다.


출처 : 파이어아이

http://www.fireeye.com/blog/corporate/2014/08/your-locker-of-information-for-cryptolocker-decryption.html


디크립트크립토락커 서비스가 등장하여 자신들이 암호화한 파일을 복호화하자, 랜섬웨어 제작자들은 좀 더 어려운 알고리즘으로 암호화하기 시작했습니다. 그것이 바로 'Critroni 악성코드'입니다. 


Critroni악성코드는 기존 크립토락커에 사용된 암호 알고리즘보다 빠른 타원곡선 암호 알고리즘을 사용하였으며, 파일을 해독하기 위해 사용되는 개인키는 오직 Tor 네트워크를 만을 통하여 액세스 할 수 있는 원격명령 및 제어서버에 저장됩니다. 


Critroni악성코드 역시 정해진 기한 내에 돈을 보내지 않는다면 파일을 모두 복구할 수 없도록 만들겠다고 압박합니다. 그러나 이러한 랜섬웨어 제작자들이 많아지면서, 어떤 랜섬웨어 제작자들은 돈을 받고도 문서를 복호화 해주지 않아 사용자들은 금전적 손실뿐만 아니라 중요문서도 날리는 이중 시련을 겪어야 했습니다. 


피해자들은 랜섬웨어에 감염되면, 대부분 복구하기 위해 노력하기보다는 점차 파일복구를 포기했습니다. 이러한 여론(?)을 해커들도 알았는지 또다시 새로운 형태의 랜섬웨어가 등장하였습니다. 


가장 최근 출현한 랜섬웨어 'CoinVault 악성코드'는 256비트의 AES로 하드드라이브를 암호화시킨 후 다른 랜섬웨어들과 같이 돈을 요구합니다. 기존 랜섬웨어와 달리, 차이점이자 특징으로는 피해자에게 파일 1개를 무료로 복호화하는 서비스를 시행하며, 돈을 지불한다면 암호화된 파일들의 정상복구가 가능하다는 점을 어필한다는 것입니다.


한 개의 문서에 대하여 무료 복호화 서비스를 제공하는 최초의 랜섬웨어인 셈입니다. 


또다른 특이한 점은 제시한 시간 이내에 돈을 보내지 않으면 파일을 복구할 수 없도록 만드는 이전의 랜섬웨어들과는 다르게, 감염된 PC에서 24시간 카운트 다운을 진행합니다. 정해진 24시간 이내에 돈을 지불하지 않으면 금액을 조금 더 올려 또다시 24시간 카운트 다운을 시작합니다. 이러한 과정은 사용자가 돈을 지불할 때까지 지속됩니다. 


랜섬웨어의 위협에 대항하기 위해서는 무엇보다 예방이 최우선입니다. 출처가 분명하지 않은 실행파일은 다운로드 받지 말아야 하며, 중요 문서의 경우 자주 백업할 것을 권해 드립니다.





저작자 표시
신고
Posted by 알약(Alyac)

댓글을 달아 주세요

  1. xian 2016.02.15 05:59 신고  댓글주소  수정/삭제  댓글쓰기

    알약 이래놓으면 뭐하나? 데답1 노트북2개 알약 믿고선 사용했는데 3대의 컴퓨터 모두 크립토락커로 자료들 다 날릴동안 최신버젼에 실시간 감시도 해놨는데도 자료 다 날려먹도록 탐지 조차 못해놓코선...
    에휴... 살다살다 이런 거지같은 경우는 첨이네...

    • BlogIcon 알약(Alyac) 2016.02.16 18:14 신고  댓글주소  수정/삭제

      xian님 안녕하세요. 알약에서는 랜섬웨어에 발빠르게 대응하기 위하여 노력하고 있지만, 일부 최신 변종 랜섬웨어에 대해서 탐지를 못하는 경우가 있습니다. 도움을 드리지 못해 죄송합니다. ㅠ

    • ㅇㅇ 2016.11.21 22:54 신고  댓글주소  수정/삭제

      어떤 백신이든 모든 바이러스를 다 치료해낼수 있는건 아니지. 무슨 알약이 잘못했다는 듯이 댓글을 다네.. 그렇게 급했음 유료 백신 이용하지.

  2. misoG 2016.03.16 10:51 신고  댓글주소  수정/삭제  댓글쓰기

    링크 다 깨져있네요. 확인해주세요. 저도 랜섬웨어 걸려버렸네요. 알약 점점 덩치는 커져가고 이상한 광고창은 점점 많아지는데 할일은 못하고 참...알약 자체가 스팸 프로그램 같네요.

    • BlogIcon 알약(Alyac) 2016.03.16 17:43 신고  댓글주소  수정/삭제

      misoG님 안녕하세요. 위에 걸려있는 링크는 파이어아이 측에서 서비스를 종료하여 연결이 안되는 것으로 추정됩니다. 그리고 알약의 랜섬웨어 차단기능의 경우 대부분의 랜섬웨어 공격에 대해 효과적으로 차단하지만, 변종에 대해서는 일부만 차단이 가능할 수 있습니다. 도움을 드리지 못해 죄송합니다. 랜섬웨어의 경우 SW나 OS의 보안취약점을 통해서 감염되는 경우가 많은 만큼, 사용하시는 SW와 OS를 최신으로 유지하신다면 랜섬웨어의 감염가능성이 낮아질 것입니다. 감사합니다.

  3. Secret_Joker 2016.04.12 02:54 신고  댓글주소  수정/삭제  댓글쓰기

    음... 그러면 cerber 파일 감염은 어떻게 해결 되나요??

    이미 실행을 한 상태여서 랜섬웨어 감염이 진행 되고 있고
    알약에서는 아무것도 안 잡힙니다....

    cerber 파일은 복호화가 불가능하가요??

    • BlogIcon 알약(Alyac) 2016.04.14 10:54 신고  댓글주소  수정/삭제

      Secret_Joker님 안녕하세요. 현재까지 랜섬웨어 제작자가 잡혀 비밀키를 얻은 경우를 제외하고는 랜섬웨어로 암호화가 된 파일을 복구할 수 있는 방법이 없습니다. 알약의 랜섬웨어 차단기능의 경우 대부분의 랜섬웨어 공격에 대해 효과적으로 차단하지만, 변종에 대해서는 일부만 차단이 가능할 수 있습니다ㅠㅠ 도움을 드리지 못하여 죄송합니다 .

  4. ㅁㄴㅇㄹ 2016.06.05 12:07 신고  댓글주소  수정/삭제  댓글쓰기

    알약은 랜섬웨어 막을수 잇죠? 설치합니다

    • BlogIcon 알약(Alyac) 2016.06.20 10:54 신고  댓글주소  수정/삭제

      ㅁㄴㅇㄹ님 안녕하세요. 보안에서 100%차단 이라는 것은 없습니다. 하지만 최신 랜섬웨어의 변종들에 대해 빠르게 대응하고 있습니다. 믿고 설치해 주셔서 감사합니다.

  5. 호돌이 2016.06.18 22:19 신고  댓글주소  수정/삭제  댓글쓰기

    우리 옛말에 열순경이 한도둑 못잡는다 했습니다.꾸준히 예방하며 스스로 조심해 사용하는수 밖에 없죠.

    • BlogIcon 알약(Alyac) 2016.06.20 10:56 신고  댓글주소  수정/삭제

      호돌이님 안녕하세요. 맞습니다. 사용자는 아무런 예방조치를 하지 않으면서 백신만 설치했다고 안심하시는 것은 금물입니다. 백신과 더불어 사용하시는 윈도우 및 SW들의 버전을 최신으로 유지하셔야만 악성코드의 공격을 효과적으로 차단하실 수 있습니다. 감사합니다.

  6. BlogIcon 프리페어TV 2016.07.13 18:14 신고  댓글주소  수정/삭제  댓글쓰기

    알약 파이팅! 항상 믿고 사용하고 있습니다!!

    • BlogIcon 알약(Alyac) 2016.07.14 08:45 신고  댓글주소  수정/삭제

      칭찬 감사합니다 ^^ 더욱 열심히 노력하는 알약이 되겠습니다!

  7. plate 2016.08.03 13:34 신고  댓글주소  수정/삭제  댓글쓰기

    ZEPTO 감염되었는데, 실제 PC보다 넷하드에서 확 깔렸내요.
    검색해보면 전부 복구 된다고 하면서 비트코인값 못지 않게 요구하는 사이트들 밖에 없고,
    참... 딱보면 감염되면 키 구입해서 여러 의뢰인들한테 돈받는거 같은 느낌도 다분하고요.
    그런데 문제는 감염치료는 없다는거죠. 시간상봐도 대략 1시간 동안 작동하고 없어진 느낌도 있구요.
    알약 있었는데 치료는 커녕 감지도 못했다는게 ....
    랜섬웨이는 네트워크인데 퍼지는지 어쩌는지 전혀 확인이 안되어서 답답할뿐 입니다.

    • BlogIcon 알약(Alyac) 2016.08.03 17:41 신고  댓글주소  수정/삭제

      말씀하신 ZEPTO는 알약에서 LOCKY 랜섬웨어의 변종으로 탐지하고 있습니다. 다만, 감염되신 변종이 알약 DB에 반영되어 있는지 확인이 어려운 관계로, 알약 [신고하기]를 통해 신고해주시면, 분석 후 업데이트하도록 하겠습니다. 또한 이미 감염되어 암호화된 문서들은 아시겠지만 그 특성상 저희가 복호화할 수가 없는 점 깊이 양해 부탁 드리겠습니다. ㅠㅠ 랜섬웨어는 백신만으로 100% 차단하기 어려우므로, 중요한 파일은 따로 백업해두시고 주요 SW를 항상 최신버전으로 업데이트하시는 등 보안수칙을 잘 지켜주셔야 합니다. 알약에서는 최신 랜섬웨어에 빠르게 대응할 수 있도록 앞으로 더 노력하겠습니다. 감사합니다.

  8. readme바이러스 2016.08.21 19:50 신고  댓글주소  수정/삭제  댓글쓰기

    readme 랜섬웨어 바이러스로 인해 지금 현재 감염중입니다.
    일단 파일은 포기해야할것같은데 복원지점도 없고 감염된 파일은 다포기하더라도 나머지 파일이라도
    살리고 싶은데 아무리 알약을 최신업글레이드하고 정밀검사를 해도 단하나도 잡아내질못하네요

    • BlogIcon 알약(Alyac) 2016.08.22 09:56 신고  댓글주소  수정/삭제

      안녕하세요. 알약입니다. 랜섬웨어는 행위 후 자가삭제 되는 경우가 빈번합니다. ㅠㅠ 안타깝지만 말씀주신 내용만으로는 저희가 구체적인 도움을 드릴 수가 없습니다. 알약 [신고하기]를 통해 관련 증상과 내용을 적어주시면, 저희가 확인 후 조치 방법 등을 안내해 드리도록 하겠습니다. 감사합니다.

  9. Cerber Ransomware 2016.10.26 23:22 신고  댓글주소  수정/삭제  댓글쓰기

    Cerber Ransomware 에 감염 되어 특정확장자 파일들이 다 잠겨 버리고 대부분의 폴더에hta라는 확장자 설명서가 생성 되어있네요. Cerber Decryptor구매하라고 합니다.

    감염된 컴퓨터의 파일을 다른컴퓨터로 전송하면 그 컴퓨터도 감염이 되는건가요?
    아니면 잠그기만하고 더이상 확산 되진 않나요?

    • BlogIcon 알약(Alyac) 2016.10.27 09:06 신고  댓글주소  수정/삭제

      안녕하세요. 감염된 컴퓨터에 알약 정밀검사를 진행하셨는지요? 말씀하신 내용만으로는 상세한 증상 파악이 어렵습니다. ㅠㅠ 알약 [신고하기]를 통해 관련 파일이나, 상세 내용을 함께 신고해주시면, 저희가 신속하게 연락 드려 확인 후 조치를 취해드리겠습니다.
      더불어 랜섬웨어의 피해를 예방하기 위해서 반드시 주요 SW를 항상 최신 버전으로 유지해주세요! 더불어 중요한 파일은 따로 백업해두시는 등의 조치를 간곡히 당부 드립니다. 감사합니다.

  10. 하하 2016.11.15 13:30 신고  댓글주소  수정/삭제  댓글쓰기

    README.hta 이런식의 파일이 생기면서 54vGJQZdK7.8f33 이런식으로 엑셀파일만 변경되었습니다.
    랜섬웨어 인거 같고
    치료는 한거 같은데 복호화 자체는 지금 나온걸로 안되는거 같습니다.
    지금 나온방법들을 다 써봐도 안되더라구요
    이것도 기다리면 복호화툴이나 그런게 나올수 있을가요???

    그리고 이게 랜섬웨어는 맞는거겠죠??

    • BlogIcon 알약(Alyac) 2016.11.15 17:38 신고  댓글주소  수정/삭제

      안녕하세요. 복호화 툴 공개에 관련해서는 저희가 정확한 답변을 드리기가 어렵습니다. ㅠㅠ 그러나 공개되는 복호화 툴이 있다면 알약 블로그를 통해 신속하게 알려드릴 수 있도록 노력하겠습니다. 암호화된 파일이 중요한 것이라면, 따로 보관하시길 권해 드립니다.
      더불어 감염된 랜섬웨어에 대해서 더 궁금한 부분이 있으시면 알약 [신고하기]를 통해 신고해주세요. 저희가 상세한 사항을 확인 후 좀 더 정확하게 안내 드리도록 하겠습니다. 감사합니다.

티스토리 방명록 작성