상세 컨텐츠

본문 제목

랜섬웨어, 돈을 가져오면 인질을 풀어주마!

전문가 기고

by 알약(Alyac) 2014. 12. 10. 10:24

본문

랜섬웨어(Ransomware), 돈을 가져오면 인질을 풀어주마! 


랜섬웨어란 납치된 사람에 대한 몸값을 뜻하는 영어 'Ransom'과 'Software'의 합성어로, 사용자 PC 혹은 PC에 저장되어 있는 문서파일을 모두 암호화시켜 놓고 돈을 요구하는 악성코드입니다. 


랜섬웨어의 역사는 10여년이 넘었습니다. 지금까지의 랜섬웨어는 쉽게 제거할 수 있었으며, 공격자가 인질로 삼은 파일을 암호화했지만 그 수준이 너무 낮아 복호화 방법을 금방 찾을 수 있었습니다. 그러나 2013년 하반기, 강력한 암호화 알고리즘으로 파일들을 암호화하고 돈을 요구하는 랜섬웨어 '크립토락커'가 등장했습니다.



크립토락커는 사용자 PC에 저장되어 있는 문서 및 사진파일에 대하여 RSA-2048 방식으로 암호화시킨 후, 피해자에게 암호 해독키를 원한다면 지정한 기한 내에 일정 금액을 송금하라고 협박합니다. 또한 기한 내에 돈을 보내지 않으면 파일을 모두 복구할 수 없도록 만들겠다고 압박합니다.


이렇게 크립토락커가 성행하자, 파이어아이와 폭스IT가 함께 협력하여 크립토락커로 인해 암호화 된 파일의 복구를 돕는 웹사이트(https://www.decryptcryptolocker.com)를 개설하였습니다. 이 곳에서 피해자가 암호화된 파일을 업로드하면, 이를 복호화하는 개인키를 내려줍니다. 


※ 참고 : DecryptoCryptoLocker 이용방법


1. 사이트를 이용하기 위해서는 기밀 정보가 포함되지 않은 암호화된 파일을 업로드하면 됩니다. (파이어아이 측은 사용자 파일을 영구저장하거나, 열람하거나, 수정하지 않을 것을 명시하고 있습니다)


2. 해당 파일에 대한 개인키를 전송받을 이메일 주소를 입력하고, Capcha 입력 란에 문자와 숫자를 정확하게 입력했는지 확인합니다.


3. 'Decrypt It!' 버튼을 클릭하면, https://www.decryptCryptoLocker.com 사이트로부터 Decryptolocker.exe 파일을 다운로드할 수 있는 방법에 대한 설명이 나옵니다. 또한 사용자가 입력한 이메일 주소로 개인키가 전송될 것입니다.


4. Windows Command Prompt를 오픈한 후, Decryptolocker.exe 툴 및 암호화된 파일이 있는 경로로 이동합니다. (해당 파일이 툴과 동일한 경로에 있지 않은 경우에는 암호화된 파일의 디렉토리를 지정해야 함에 주의하시기 바랍니다) 이후 아래의 명령어를 정확히 입력해야 합니다.


'Decryptolocker.exe -key "<Key>" <암호화된 파일명>


5. 복호화에 성공했다면, 'Successfully decrypted file : File1-1.doc'와 같은 메시지를 확인하실 수 있습니다.


출처 : 파이어아이

http://www.fireeye.com/blog/corporate/2014/08/your-locker-of-information-for-cryptolocker-decryption.html


디크립트크립토락커 서비스가 등장하여 자신들이 암호화한 파일을 복호화하자, 랜섬웨어 제작자들은 좀 더 어려운 알고리즘으로 암호화하기 시작했습니다. 그것이 바로 'Critroni 악성코드'입니다. 


Critroni악성코드는 기존 크립토락커에 사용된 암호 알고리즘보다 빠른 타원곡선 암호 알고리즘을 사용하였으며, 파일을 해독하기 위해 사용되는 개인키는 오직 Tor 네트워크를 만을 통하여 액세스 할 수 있는 원격명령 및 제어서버에 저장됩니다. 


Critroni악성코드 역시 정해진 기한 내에 돈을 보내지 않는다면 파일을 모두 복구할 수 없도록 만들겠다고 압박합니다. 그러나 이러한 랜섬웨어 제작자들이 많아지면서, 어떤 랜섬웨어 제작자들은 돈을 받고도 문서를 복호화 해주지 않아 사용자들은 금전적 손실뿐만 아니라 중요문서도 날리는 이중 시련을 겪어야 했습니다. 


피해자들은 랜섬웨어에 감염되면, 대부분 복구하기 위해 노력하기보다는 점차 파일복구를 포기했습니다. 이러한 여론(?)을 해커들도 알았는지 또다시 새로운 형태의 랜섬웨어가 등장하였습니다. 


가장 최근 출현한 랜섬웨어 'CoinVault 악성코드'는 256비트의 AES로 하드드라이브를 암호화시킨 후 다른 랜섬웨어들과 같이 돈을 요구합니다. 기존 랜섬웨어와 달리, 차이점이자 특징으로는 피해자에게 파일 1개를 무료로 복호화하는 서비스를 시행하며, 돈을 지불한다면 암호화된 파일들의 정상복구가 가능하다는 점을 어필한다는 것입니다.


한 개의 문서에 대하여 무료 복호화 서비스를 제공하는 최초의 랜섬웨어인 셈입니다. 


또다른 특이한 점은 제시한 시간 이내에 돈을 보내지 않으면 파일을 복구할 수 없도록 만드는 이전의 랜섬웨어들과는 다르게, 감염된 PC에서 24시간 카운트 다운을 진행합니다. 정해진 24시간 이내에 돈을 지불하지 않으면 금액을 조금 더 올려 또다시 24시간 카운트 다운을 시작합니다. 이러한 과정은 사용자가 돈을 지불할 때까지 지속됩니다. 


랜섬웨어의 위협에 대항하기 위해서는 무엇보다 예방이 최우선입니다. 출처가 분명하지 않은 실행파일은 다운로드 받지 말아야 하며, 중요 문서의 경우 자주 백업할 것을 권해 드립니다.





관련글 더보기

댓글 영역