1. 랜섬웨어(Ransomware) 정의
몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말하며 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트, 네트워크망을 통해 유포됩니다.
2. 랜섬웨어 감염경로
신뢰할 수 없는, 스팸메일 및 스피어피싱, 파일공유 사이트, 사회관계망서비스(SNS), 네트워크망
1. 워너크라이(WannaCry)
‘17년 5월 12일(현지 시간 기준) 스페인, 영국, 러시아 등을 시작으로 전 세계에서 피해가 보고된 악성코드로, 다양한 문서파일(doc, ppt, hwp 등) 외 다수의 파일을 암호화
마이크로소프트 윈도 운영체제의 SMB(Sever Message Block, MS17-010)을 이용하여 악성코드를 감염시킨 후, 해당 PC 또는 서버에서 접속 가능한 IP를 스캔하여 네트워크로 전파
워너크라이 랜섬웨어에 감염되면, 파일들을 암호화한 바탕화면을 변경하고, 확장자를 .WNCRY 또는 .WNCRYT로 변경
워너크립터는 변종이 지속적으로 발견되고 있으며, 미진단 변종이 존재할 수 있으므로 MS Windows 최신 보안 패치를 반드시 적용해야 함
2. 록키(Locky)
‘16년 3월 이후 이메일을 통해 유포, 수신인을 속이기 위해 Invoice, Refund 등의 제목 사용
자바 스크립트(java script) 파일이 들어있는 압축파일들을 첨부하고 이를 실행 시에 랜섬웨어를 다운로드 및 감염
록키 랜섬웨어에 감염되면, 파일들이 암호화되고, 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 복구 관련 메시지 출력
최근의 록키 랜섬웨어는 연결 IP 정보를 동적으로 복호화하고, 특정 파라미터를 전달하여 실행하는 경우만 동작
3. 크립트XXX(CryptXXX)
지난 2016년 5월, 해외 백신사의 복호화 툴 공개 이후에 취약한 암호화 방식을 보완한 크립트XXX 3.0 버전이 유포
초기에는 앵글러 익스플로잇 키트(Angler Exploit Kit)를 이용하였으나, 최근에는 뉴트리노 익스플로잇 키트(NeutrinExploit Kit)를 사용
크립트XXX에 감염되면 파일 확장자가 .crypt 등으로 변하고, 바탕화면 복구안내 메시지 변경
비트코인 지불 안내 페이지에는 한글 번역 제공
실행파일(EXE)이 아닌 동적 링크 라이브러리(DLL)형태로 유포
정상 rundll32.exe를 svchost.exe 이름으로 복사 후 악성 DLL을 로드하여 동작
현재 버전은 네트워크 연결 없이도 파일들을 암호화
4. 케르베르(CERBER)
CERBER는 말하는 랜섬웨어로 유명
※ 감염 시에 “Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted” 음성 메시지 출력
웹사이트 방문 시 취약점을 통해 감염되며, 감염되면 파일을 암호화 하고 확장자를 .cerber로 변경, 최근 이메일 통해 유포되는 정황 발견
악성코드 내에 저장되어있는 IP 주소와 서브넷 마스크 값을 사용하여 UDP 패킷을 전송, 네트워크가 연결되지 않더라도 파일은 암호화
윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦
5. 크립토락커(CryptoLocker)
‘13년 9월 최초 발견된 랜섬웨어의 한 종류로 자동실행 등록이름이 크립토락커(CryptoLocker)로 되어있는 것이 특징
웹사이트 방문 시 취약점을 통해 감염되거나, E-Mail 내 첨부파일을 통해 감염되며, 확장자를 encrypted, ccc로 변경
파일을 암호화한 모든 폴더 내에 복호화 안내파일 2종류를 생성(DECRYPT_INSTRUCTIONS.* / HOW_TO_RESTORE_FILES.*)
윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦
6. 테슬라크립트(TeslaCrypt)
‘15년 국내에 많이 유포된 랜섬웨어로 ‘16년 5월경 종료로 인해 마스터키가 배포되었음
취약한 웹페이지 접속 및 이메일 내 첨부파일로 유포되며, 확장자를 ecc, micr등으로 변경
드라이브 명에 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정하며, 이동식 드라이브나 네트워크 드라이브는 감염 대상에서 제외
악성코드 감염 시 (Howto_Restore_FILES.*)와 같은 복호화 안내문구를 바탕화면에 생성
랜섬웨어 복구도구
1. KISA 제공 랜섬웨어 복구 프로그램
랜섬웨어 동향, 분석보고서, 복구 프로그램 제공 https://seed.kisa.or.kr/kisa/adverse/reference.do
해당 사이트는 Magniber, Simplelocker의 일부 랜섬웨어 복구 프로그램을 제공하고 있습니다.
첨부된 매뉴얼을 참고하시어 올바르게 사용하시기 바라며, 중요한 파일은 반드시 복사본으로 시도하시기 바랍니다.
관련 문의사항은 block_128@kisa.or.kr 로 문의해 주시기 바랍니다.
2. NMR(No More Ransom) 제공 랜섬웨어 복구 프로그램
랜섬웨어 최근 동향 및 복구프로그램 제공 https://www.nomoreransom.org/co/index.html
NMR은 2016년 7월 세계 각국 사법기관과 민간 보안 기업 등이 파트너로 참여하는 랜섬웨어 피해 예방 프로젝트입니다.
해당 사이트는 Rakhni, Rannoh, Damage, Crypton, Merry X-Mas, BarRax, Alcatraz, Bart, Crypt888 등의 랜섬웨어 복구프로그램을 제공하고 있습니다.
3. 이스트시큐리티 제공 랜섬웨어 복구 프로그램
랜섬웨어 최근 동향 및 복구프로그램 제공 - http://www.estsecurity.com/ransomware#decryption
해당 사이트는 CryptXXX(version 1,2,3), Chimera, Teslacrypt, CoinVault, PETYA, Linux.Encoder 등의 랜섬웨어 복구프로그램을 제공하고 있습니다.
4. 안랩 제공 랜섬웨어 복구 프로그램
랜섬웨어 최근 동향 및 복구프로그램 제공 http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
해당 사이트는 CryptXXX(version 2,3), Nabucur, TeslaCrypt의 일부 랜섬웨어 복구 프로그램을 제공하고 있습니다.
중요한 파일은 반드시 복사본으로 시도하시기 바랍니다.
5. 랜섬웨어침해대응센터 복구프로그램 안내
랜섬웨어 복호화 프로그램 안내 https://www.rancert.com/bbs/bbs.php?bbs_id=rest
6. 카스퍼스키 제공 랜섬웨어 복구 프로그램
랜섬웨어 사전예방방법 및 복구 안내(한글설명) http://www.kasperskymall.co.kr/bbs/board.php?bo_table=qa&wr_id=293
랜섬웨어 복구 프로그램 페이지 http://support.kaspersky.com/viruses/utility - https://noransom.kaspersky.com
해당 복구 프로그램은 CoinVault 랜섬웨어에 감염된 경우에만 복구 가능합니다.
7. 트랜드마이크로 제공 랜섬웨어 복구 프로그램
랜섬웨어 대응센터 https://www.trendmicro.co.kr/kr/ransomware/index.html
랜섬웨어 복구프로그램 다운로드
- http://www.trendmicro.co.kr/kr/tools/crypto-ransomware-file-decryptor-tool/index.html
해당 사이트는 CryptXXX(version 1,2,3,4,5), TeslaCrypt(version 1,2,3,4), SNSLocker 등의 랜섬웨어 복구 프로그램을 제공하고 있습니다.
중요한 파일은 반드시 복사본으로 시도하시기 바랍니다.
8. 국내 랜섬웨어 대응센터
안랩 : http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
이스트시큐리티 : http://www.estsecurity.com/ransomware#decryption
하우리 : http://www.hauri.co.kr/Ransomware/index.html
랜섬웨어침해대응센터 : https://www.rancert.com
비용을 지불하면 풀어 줄께 라고 하지만
실제로 돈을 지불해도 데이터복구를 보장 받지 못하고 오히려 다시 공격의 대상이 되어서
더 다양한 랜섬웨어의 공격을 받게 된다. 따라서 비용을 지불하지 말자
'일상다반사 > 생활정보' 카테고리의 다른 글
3차 재난지원금 대상 및 신청방법 (0) | 2020.12.30 |
---|---|
배달의 민족 5천원 할인 쿠폰 받는 방법 (배민 할인) (0) | 2020.12.29 |
배달앱 2만원이상 4회 카드결제시 1만원 환급 (외식쿠폰) (0) | 2020.12.29 |
화가 라파엘로의 생애. 작품들 아테네학당 (0) | 2020.12.28 |
귀하의 PC가 악성코드에 감염된 것으로 의심됩니다. 한국인터넷진흥원 (0) | 2020.12.26 |
2021년은 무슨띠? 하얀 소띠 신축년 삼재띠 (0) | 2020.12.26 |
산타 동영상 (증강현실) Catch Santa AR 어플 (0) | 2020.12.25 |
컴퓨터 조립하는 방법 (DIY 조립컴퓨터) 그림으로 정리 (1) | 2020.12.24 |