전국민 보안 업그레이드! 알약 블로그

주메뉴


포스팅 내용

랜섬웨어 'Crypt0L0cker'주의!

랜섬웨어 'Crypt0L0cker'주의!


안녕하세요. 알약입니다. 

지난주 금요일부터 현재(21일)까지 랜섬웨어 'Crypt0L0cker'가 유포되고 있어 사용자들의 주의가 요구됩니다.


랜섬웨어란?

지난 포스팅 참고 ▶ http://blog.alyac.co.kr/217


이번에 발견된 랜섬웨어는 드라이브 바이 다운로드 형식으로 유포되고 있습니다. 드라이브 바이 다운로드는 OS 및 SW의 보안취약점을 통해 변조된 웹사이트를 방문할 시 악성코드가 유포되는 방식입니다. 사용자가 악성 프로그램이나 악성 첨부파일 등을 실행시키지 않아도, 사용자 컴퓨터에 설치된 OS나 SW 취약점을 통해 감염될 수 있습니다. 즉, 보안 취약점이 있는 OS나 SW를 사용하고 있는 사용자는 악성코드에 감염된 홈페이지에 방문만 해도 악성코드에 감염이 될 수 있습니다.


'Crypt0L0cker' 랜섬웨어에 감염되면, 다른 랜섬웨어들과 마찬가지로 컴퓨터에 있는 중요 문서파일, 이미지 파일, 압축파일 등이 암호화됩니다. 또한, 공격자는 공유폴더 및 네트워크 드라이브에 있는 파일들도 암호화를 시킵니다. 여기서 특이한 점은, 다른 랜섬웨어들과는 다르게 감염 후 한글로 작성된 금전 요구 메시지를 띄운다는 것입니다. 이를 통해 국내 사용자를 타겟으로 랜섬웨어를 유포한 것을 알 수 있습니다. 'Crypt0L0cker'의 경우 현재까지 한국 외에도 일본과 대만, 말레이시아 등에도 유포되어 현지어로 만들어진 금전 요구 메시지를 띄우는 것도 확인되었습니다.




랜섬웨어 피해를 최소화시키기 위한 방법


1. 중요한 파일들은 백업해 놓는 습관 기르기
현재까지 랜섬웨어에 의해 암호화된 파일을 완벽히 복호화하는 방법은 없습니다. 따라서 감염됐을 시 미리 백업해둔 파일을 이용해 파일을 복원하는 것이 가장 좋은 방법입니다. 중요한 파일들은 항상 백업해두는 습관을 기르는 것이 중요합니다.


2. 네트워크 폴더 사용자 접근 권한 변경
네트워크 폴더를 사용할 경우에는 해당 폴더로의 접근 권한을 읽기 권한만 부여해 피해가 확산되는 것을 최소화 시킬 수 있습니다. 그러나 되도록이면 네트워크 폴더를 사용하지 않는 것을 권장해 드립니다.  


3. 자주 사용하는 SW 최신으로 업데이트하기
드라이브 바이 다운로드 형태로 유포되는 랜섬웨어들과 같은 경우, 사용자 PC에 설치되어 있는 SW의 취약점을 이용한 공격으로 취약한 버전의 SW를 패치하지 않으면 랜섬웨어에 감염될 확률이 높습니다. 따라서 자주 사용하는 SW(Abode Flash Player, IE, java 등)를 최신 버전으로 업데이트 해주는 것이 중요합니다. 


4. 윈도우OS 최신으로 업데이트하기
MS는 매월 둘째 주 화요일 보안 업데이트를 진행하고 있습니다. 또한 고위험의 취약점이 발견되었을 경우, 비정기적으로 임시 보안업데이트를 진행하고 있습니다. 이러한 업데이트는 이미 알려진 취약점에 대하여 패치를 진행하는 것으로, 사용자 여러분들께서는 반드시 윈도우 보안업데이트를 최신 버전으로 유지해 주셔야 합니다. 윈도우 보안 업데이트는 [제어판] ▶ [Windows Update(윈도우7 기준)]에서 확인하실 수 있으며, [알약] ▶ [윈도우 보안 업데이트]를 통해서도 확인 및 진행하실 수 있습니다. 




5. 취약점 공격 차단 프로그램 설치하기 

알약 익스플로잇 쉴드와 같은 취약점 공격 차단 프로그램을 설치하여 취약점을 통해 감염되는 악성코드를 차단합니다. 



6. 중요파일 권한 변경

랜섬웨어로 인해 암호화되는 파일에는 읽기/쓰기 권한이 부여되어 있습니다. 사용자가 임의로 중요 파일에 대한 쓰기 권한을 제거한 후 읽기권한만 부여한다면, 랜섬웨어에 감염되어도 파일들을 안전하게 보호할 수 있습니다. 파일 우클릭 ▶ [속성] ▶ [읽기전용] 체크를 통해 파일 권한을 변경할 수 있습니다.



그러나 사용자 역시 해당 파일에 대해서는 읽기 권한만 부여되기 때문에 수정이나 다른 작업을 진행하기 위해서는 파일에 대한 권한을 다시 수정해야 한다는 불편함이 있습니다.



감염이 되었어요. 어떻게 해야 하나요?


1. 윈도우 시점복구 기능 사용

MS에서는 윈도우 시점복구 기능을 제공하고 있습니다. 윈도우 시점복구는 특정 과거 시점으로 되돌려 주는 것으로, 윈도우 보안 업데이트를 진행 시 자동으로 윈도우 시점복구를 생성합니다. 특정 시점복구 이후에 생성된 파일은 복구할 수 없다는 한계가 존재하지만, 시점복구 이전의 파일들에 대해서 복원이 가능합니다. 단 사용자의 문서나 사진파일의 경우, 시점복구 이후에도 복원이 이뤄지지 않는 문제가 있으므로 백업이 가장 중요합니다. 

 


시점복구 방법 자세히 알아보기 ▶ http://blog.alyac.co.kr/168



2. 사용자 파일 백업 및 복원 기능 사용

윈도우에서 제공하는 '사용자 파일 백업 및 복원 기능'을 이용해 랜섬웨어에 감염되기 이전의 사용자 파일을 불러올 수 있습니다. 단 이 기능도 사용자 파일 백업 기능을 통해 미리 사용자 파일을 백업한 경우만 복원이 가능합니다.

만약 윈도우의 모든 파일을 복구시키지 않고 몇몇 중요한 파일들만 복구하고 싶은 경우에는 ShadowExplorer 툴을 사용하여 파일을 복구시킬 수 있습니다.


 ShadowExplorer Tool 다운로드 바로가기 


단, 해당 툴을 사용하기 위해서는 반드시 랜섬웨어 감염 전부터 '사용자 파일 백업' 기능이 사전에 활성화되어 있어야 하며, 데이터가 백업된 날짜가 악성코드에 감염되기 이전 시점이어야 합니다. 



3. 복호화 사이트 방문

랜섬웨어는 비대칭 암호화 방식을 사용하고 있으므로 개인키가 있어야만 암호화된 파일을 복호화시킬 수 있습니다. 최근 이러한 랜섬웨어가 기승을 부리자, 해외 보안업체 중 일부는 경찰과 협력해 공격자들의 개인키들을 수집하여 암호화된 파일을 복호화해주는 서비스를 제공하고 있습니다. 그러나 개인키가 수집되지 않은 랜섬웨어로 암호화된 파일들은 복호화시킬 수 없으므로 참고해 주시기 바랍니다.


◆ 크립토락커 복호화 사이트 바로가기 


◆ CoinVault 복호화 사이트 바로가기 



현재 알약에서는 해당 악성코드를 Trojan.Ransom.CTBLocker, Trojan.Ransom.cryptolocker로 탐지하고 있으며, 변종이 발견되는 대로 업데이트 할 예정입니다. 


저작자 표시
Posted by 알약(Alyac)

댓글을 달아 주세요

  1. asdf 2015.10.23 22:24  댓글주소  수정/삭제  댓글쓰기

    랜썸웨어 만든 새끼들 다 죽여버리고 싶군요. 왜 이딴거 쳐 만들어놨는지...

    • BlogIcon 알약(Alyac) 2015.10.29 09:43  댓글주소  수정/삭제

      안녕하세요. 랜섬웨어에 감염되지 않도록 보안패치는 항상 최신업데이트해주시고, 중요자료는 반드시 백업해주시길 부탁드릴께요. 알약맨도 랜섬웨어 만든 제작자들 면상(?) 좀 보고 싶습니다. T.T

  2. ㄹㅇㄴㅁ 2015.10.29 14:45  댓글주소  수정/삭제  댓글쓰기

    신종으로 걸렸나봐여 알약 업데이트 되어있고 정밀검사 했는데 발견이 안되었어여....... 전 주비디오에서 무한도전 보다가 걸렸음 ㅜㅜ

    • BlogIcon 알약(Alyac) 2015.11.16 11:23  댓글주소  수정/삭제

      ㄹㅇㄴㅁ님. 랜섬웨어에 의해 피해를 당하셨다니 안타깝습니다. T.T 알약 에서는 알려진 대부분의 랜섬웨어를 탐지하고 있으나 공격자들이 계속적으로 백신을 회피하기 위해 변종을 생산해내고 있는 상황입니다. 가장 근본적인 대책은 OS나 SW의 보안패치를 최신으로 업데이트하는 것이며, 중요자료에 대한 백업도 지속적으로 진행 부탁드립니다. 도움을 드리지 못해 죄송합니다.

  3. BlogIcon 손연주 2015.11.14 21:37  댓글주소  수정/삭제  댓글쓰기

    제 중요한 외장하드가 다 막혀있는데 업체에 맡기면 풀수있을까요....? 모든게 다 거기에 있어요.. .

    • BlogIcon 알약(Alyac) 2015.11.16 11:27  댓글주소  수정/삭제

      손연주님, 소중한 자료가 보관되어 있는 외장하드가 랜섬웨어에 의해 공격을 받으셨다니 정말 안타깝습니다. T.T 데이터 전문복구업체라고 하더라도, 랜섬웨어에 의해 암호화된 자료의 경우 거의 복구가 불가능합니다. 오피스프로그램 내에 임시저장된 자료등을 통해 일부 문서가 복구되는 경우가 있지만, 가능성은 높지 않음을 미리 인지하시면 좋을 거 같습니다. 도움을 드리지 못하는 점 송구합니다.

  4. BlogIcon 궁금 2015.11.19 07:51  댓글주소  수정/삭제  댓글쓰기

    문의드립니다 회사에서 drm이 적용되어있는 파일도 감염되니요?

    • BlogIcon 알약(Alyac) 2015.11.19 17:46  댓글주소  수정/삭제

      안녕하세요 궁금님. 일반적으로는 drm이 적용되어 있는 파일도 랜섬웨어에 감염되지만, 제품마다 다를 수 있으므로 사용하시고 있는 drm을 개발한 업체에 문의하시면 더 정확한 답변을 얻을 수 있을 것입니다. 감사합니다.

  5. 알약맨도와줘요 2015.11.19 19:38  댓글주소  수정/삭제  댓글쓰기

    .ccc로 다 바뀌었고 비트코인 500불 요구해요ㅜ
    업무용 영상파일이 다 잠겨서 정말 큰일나게 생겼어요.
    500불 지불할 생각도 있는데..........누군 풀었고 누군 먹튀당했고 ... 이런말이많네요.
    알약맨 이거 지불해봐야겠죠.....? 500불보다 더 큰 돈을 날릴수도있어서ㅜㅜ

    • BlogIcon 알약(Alyac) 2015.11.20 18:04  댓글주소  수정/삭제

      안녕하세요. 랜섬웨어에 의해 피해를 당하셨다니 안타깝습니다. T.T 랜섬웨어 공격자에게 비트코인을 지불했을 때 일부 경우 파일들을 복구시켜 주는 경우도 있지만, 그렇지 않은 경우가 대부분 입니다. 암호화된 파일은 공격자 외에는 복구가 사실상 어렵지만 작성한 문서 파일을 기존에 삭제한 내역 또는 오피스 프로그램내 임시저장이 되어 있는 경우는 일부 복구가 가능한 것으로 알고 있습니다. 관련 내용에 대해서는 데이터 복구 전문업체에 문의해 보시면 좀 더 상세한 내용을 안내받으실 수 있을 것 같습니다. 도움이 되지 못해 송구합니다.

  6. BlogIcon 좋은날에 2015.12.04 22:43  댓글주소  수정/삭제  댓글쓰기

    랜섬웨어 감염됐으니 돈내놓으란 메세지가 뜨는데 동영상 사진 파일 모두다 이전처럼 정상적으로 열리는데 이게 뭔 일인가요?ㅡㅡ

    • 알약사용 2015.12.05 00:35  댓글주소  수정/삭제

      랜섬웨어에 감염됐으면 보통 파일 확장자도 변형되어 있습니다.파일 확장자가 변형되어 있지 않다면 아직은 감염되지 않은 파일인것 같구요 더 이상 감염이 확산되기 전에 OS 설치 드라이브 포맷한뒤 OS 재설치 하는것이 좋을듯 싶은데요

    • BlogIcon 알약(Alyac) 2015.12.08 09:28  댓글주소  수정/삭제

      좋은날에님 안녕하세요. 랜섬웨어에 감염되었는데 파일들이 정상적으로 동작한다면, 악성코드 제작자가 제작 과정에서 실수로 제대로 만들지 않은 것으로 추정됩니다. 혹시 불안하시다면 help@alyac.co.kr로 블로그 안내받고 이메일 보낸다는 내용으로 원격요청 이메일을 보내주시면, 저희쪽에서 원격으로 확인해 드리겠습니다. 랜섬웨어에 감염되었다는 것은, 좋은날에님의 컴퓨터에 SW취약점이 존재하거나, 의심스러운 첨부파일을 실행하신 것으로 추정됩니다. 출처가 불분명한 사용자에게서 온 첨부파일들은 실행하지 마시고, 현재 사용하시는 SW를 최신으로 업데이트 해주시기 바랍니다. 일일이 SW를 업그레이드 하시는게 힘드시다면, 알약 익스플로잇 쉴드를 이용하셔서 진행해 주셔도 됩니다. 사용방법은 아래 링크를 참고해 주시기 바랍니다. http://blog.alyac.co.kr/69 감사합니다.

  7. BlogIcon 나은총 2015.12.23 01:55  댓글주소  수정/삭제  댓글쓰기

    안녕하세요 아빠 컴퓨터에 랜섬웨어에 감염되서 문서파일 전체가 열리지 않습니다. 뭘어떻게 해야될지 모르겟네요..시간이 지나면 지날수록 바이러스가 퍼지나여? 도와주세요ㅠㅠ

    • BlogIcon 알약(Alyac) 2016.01.07 10:53  댓글주소  수정/삭제

      나은총님 안녕하세요. 혹시 어떠한 랜섬웨어에 걸리셨나요? CoinVault나 BitCryptor 랜섬웨어의 경우 공격자가 검거되어 서버에 있던 복호화키를 모두 수집하여 복호화 솔루션이 제공(http://blog.alyac.co.kr/451)되고 있으나 CryptoWall의 경우 아직 공격자가 검거되거나 복호화키가 수집된 경로가 없습니다. 도움을 드리지 못해 죄송합니다.

  8. 홍석주 2016.01.01 11:44  댓글주소  수정/삭제  댓글쓰기

    크립토 락커 방법이없을까요

    저는 풋볼매니져 씨디게임데이터랑 동영상파일이랑 뭐 요런것들만 데이터가 복구되면 되는데

    방법이없나요 , 알약 원격센터도 1월 1일 휴무고 방법없나요 답변부탁해요

    • BlogIcon 알약(Alyac) 2016.01.07 10:54  댓글주소  수정/삭제

      홍석주님 안녕하세요. 현재까지 랜섬웨어에 감염되어 파일을 복구할 수 있는 방법이 없습니다. ㅠㅠ 도움을 드리지 못해 죄송합니다.

  9. BlogIcon 전제은 2016.01.05 21:45  댓글주소  수정/삭제  댓글쓰기

    2009년에 확장자 바꾸는 트로이목마 와 뭐가 다른건가요?

    • BlogIcon 알약(Alyac) 2016.01.07 11:13  댓글주소  수정/삭제

      전제은님 안녕하세요. 확장자를 바꾸는 트로이목마는 원본파일을 변경하지 않고 확장자만 변경하는 반면, 랜섬웨어는 파일 원본 자체를 암호화 시킵니다. 감사합니다.

  10. 흑기사 2016.01.27 16:57  댓글주소  수정/삭제  댓글쓰기

    저도 랜섬웨이에 바이러스 협박보내더라고요 짜증나네요 몸값요구협박파일 다감염시키고 게임도 다막아버리고 다른나라해커새끼들 잡아주세요 존나 짜증나네요 깔은적도 없는데 알약으로 효과있을까요

    • BlogIcon 알약(Alyac) 2016.02.02 10:44  댓글주소  수정/삭제

      흑기사님 안녕하세요. 랜섬웨어에 감염되는 경로는 다양하며, 흑기사님이 직접 설치하지 않으셨더라도 SW취약점을 통하여 웹서핑만으로 감염되는 사례도 빈번합니다. 알약을 설치하시고 자주 사용하는 SW 버전을 최신으로 유지해 주시기 바라며, 중요한 정보들은 주기적으로 백업을 해주셔야합니다^^ 감사합니다.

  11. 하나둘1 2016.02.03 14:22  댓글주소  수정/삭제  댓글쓰기

    한 컴퓨터에 랜섬웨어가 걸린 파일이 있고 랜섬웨어에 안 걸린 파일이 있는데...랜섬웨어에 감염 되었던 컴퓨터에 암호화 안된 파일을 새 pc에서 사용이 가능한지 궁금합니다....

    • BlogIcon 알약(Alyac) 2016.02.11 10:09  댓글주소  수정/삭제

      하나둘1님 안녕하세요. 랜섬웨어에 감염되었던 PC에 암호화 되지 않은 파일이 있는데, 이 파일을 다른 PC에서 열어봐도 되는지를 물어보신건가요? 네 암호화 되지 않은 파일을 다른 PC에서 열어보아도 괜찮습니다^^ 감사합니다.

  12. 후들들 2016.03.09 00:19  댓글주소  수정/삭제  댓글쓰기

    스마트폰에 렌섬웨어가 감지되었다고 안내가 뜬이후로 이미지 캡처분들이 지워도지워도 다시 생성되는데 어떻게 해야하나요?
    스마트폰 sd 카드도 검사해보니 렌섬웨어 안내가 뜨는데 어찌해야하나요..제발 좀 가르쳐주세요~~~

  13. BlogIcon 아놔슈발 2016.05.11 14:14  댓글주소  수정/삭제  댓글쓰기

    랜섬웨어 개에에에에에에에에시이이이이이비ㅜ루무ㅏㅜㄹㅋ쿠ㅏ쿠ㅏㅣ쿠ㅏ카 빡쳐 ㅡㅡ

  14. BlogIcon ㄴㅇㄹ 2016.05.11 14:15  댓글주소  수정/삭제  댓글쓰기

    랜섬웨어 만든 해커새기들 몽땅다 잡혓으면 좋겟다 호호

티스토리 방명록 작성