티스토리 뷰


랜섬웨어 (Ransomware) 복구 치료 예방법


랜섬웨어에 걸려 보신 적이 있으신가요? 주로 토렌트, 무료 방송보기 사이트, 스팸메일, 파일공유 사이트 등을 접속하여 링크를 실행하거나 파일을 실행하게 되면 걸리는 경우가 많은데요. 저는 예전에 걸렸다가 중요한 사진, 오피스 파일을 다 날린 적이 있어서 참 난감했었습니다.

해가 갈 수록 피해사례가 늘고 있는데요, 주위 친구들을 대상으로 주로 이루어졌던 피해가 요즘은 관공서나 기업을 위주로 이루어지고 있다고 해서 정말 큰일입니다.

 

랜섬웨어란?

ransom 뜻 - 1. (납치, 유괴된 사람에 대한) 몸값, 2. 몸값을 지불하다

뜻 그대로 몸값을 요구하는 행위를 소프트웨어를 통해 한다는 뜻인데요. 해커가 랜섬웨어를 심어놓은 파일이나 링크 등을 사용자가 실행하면, 랜섬웨어에 감염이 되어 파일이 암호화되고, 해커는 그 암호화된 파일을 복구시켜주는 대가로 몸값(비트코인)을 요구하는 것입니다.

 이 랜섬웨어는 해커(크래커)가 만들어서 스팸메일이나 토렌트, 무료게임 등과 같은 어둠의 경로를 통해 주로 유포시키는데요. 일단 한번 감염이 되면 암호화가 엄청 복잡하게 되버려서 만든 해커가 아니면 복호화를 할 수 없기 때문에, 해당 랜섬웨어의 복호화 툴을 해커에게 돈(주로 비트코인)을 주고 사는 방법이 유일한 파일 복구 방법입니다.

 안타깝게도 이 비트코인은 랜섬웨어 수법이 활개를 치게 되면서 가치가 계속 올라버려 요즘은 거의 1비트코인에 100만원 가까이 한다고 하네요. (바이러스만 퍼뜨리면 급한곳에서 알아서 돈을 주니 해커들에게는 꽤 짭짤한 돈벌이 수단...)

증상

예를 들어 요즘 자주 발생하는 Cerber ransomware을 예로 들어보면,

_HELP_HELP_HELP.hta .readme _HELP_DECRYPT.hta .potato Help_to_decrypt_your_files.txt TRY-READ-ME-TO-DEC.html MongoDB Spora Samsam .locked osiris venus Warning Sage2.0 .paytounlock

폴더 내부에 있는 파일을 위와 같은 파일로 갑자기 변화시킵니다. 바탕화면이 경고 화면으로 바뀌고, 파일을 원상복구 시키고 싶다면 1비트코인를 자신에게 달라고 요구합니다. 기한 내에 주지 않으면 2비트코인을 줘야 복호화가 가능하다고 합니다. 수 많은 변종도 거의 같은 수법으로 돈을 요구하고 있습니다. 악성행위를 완료하면 스스로 사라지기 때문에, 백신으로 스캔해도 감염된 파일이 없는 경우가 많기 때문에 이상한 파일이 갑자기 생성되었다면 랜선을 즉시 뽑아야 합니다.


대처방법

- 만약 이상한 파일이 컴퓨터에 생성된 것을 확인했다면, 즉시 랜선을 뽑고 한국인터넷진흥원 (365일 24시간 상담센터 118, 110)에 문의하면 무료 상담을 받을 수 있습니다.

1. 만약 암호화된 파일이 1비트코인(약 100만원)보다 가치가 높고, 꼭 필요한 파일이라면 돈을 내고 복호화 하는 것이 유일한 방법입니다. 하지만 돈을 주고도 실제 파일을 복구할 수 없는 경우도 있다고 하닌

2. 그렇지 않다면 포맷을 하는 것이 차선책입니다.

개인용 컴퓨터인 경우에는 거의 포맷을 하고 말지만, 기업의 경우에는 눈물을 삼키며 비트코인을 내고 복호화를 해야합니다. 그렇기 때문에 최근 동향은 기업을 주 대상으로 랜섬웨어를 배포한다고 하니, 출처가 불문명한 이메일 링크는 클릭하면 안되겠습니다.

가끔 해커가 잡히게 되는 경우에는 보안업체에서 랜섬웨어 복호화 툴을 만들어 무료로 배포를 하긴 하지만(CryptXXX 3.x, 2.x, Nabucur, TeslaCrypt 등), 수많은 랜섬웨어들이 있고, 현재 활동하고 있는 랜섬웨어의 경우는 복호화 프로그램이 없는 경우가 많기 때문에 미리 예방을 하는 것이 가장 중요합니다.

※ AhnLab에서 제공하는 전용 백신에 자신이 걸린 랜섬웨어가 있는지 확인해 봅니다. 악성코드 진단 및 치료를 모든 사용자에게 무료로 제공하니, 이용 해 보시기 바랍니다.
(https://www.ahnlab.com/kr/site/download/product/productVaccineList.do)

※이스트시큐리티 제공 랜섬웨어 복구 프로그램 (http://www.estsecurity.com/ransomware#decryption)

※랜섬웨어 침해대응센터 복구 프로그램 (https://www.rancert.com/bbs/bbs.php?bbs_id=rest)

※TrendMicro제공 랜섬웨어 복구 프로그램 (http://www.trendmicro.co.kr/kr/tools/crypto-ransomware-file-decryptor-tool/index.html)

예방방법

- 계속 생겨나는 랜섬웨어들은 보안 업데이트를 우회하여 자꾸 침투를 시도하기 때문에 윈도우 같은 운영체제나 응용프로그램을 최신 버전으로 업데이트 하여 사용해야 합니다.

- 백신을 설치하고 랜섬웨어용 보안 프로그램을 설치합니다.
(안랩 랜섬웨어 예방 프로그램을 깔면 랜섬웨어 격리폴더를 이용 할 수 있습니다.)

- 출처가 불명확한 이메일(스팸메일 첨부파일)이나 URL 링크는 실행하지 않습니다.

- 토렌트, 파일공유사이트, 신뢰할 수 없는 사이트, 무료방송보기 사이트 등에서 파일 다운로드 및 실행에 주의합니다.

- 중요자료는 정기적으로 백업합니다. 특히 문서나 사진은 별도매체에 백업합니다. 컴퓨터에 연결된 네트워크 드라이브 형식의 클라우드도 같이 감염되기 때문에 꼭 격리된 매체(외장하드나 USB 등)에 저장하여야 합니다.


현재 기술로는 아직 랜섬웨어를 100% 막을 수는 없다고 합니다. 중요한 파일은 꼭 격리된 곳에 저장하는 습관을 가져야 하겠습니다. 어서 보안업체들이 으쌰으쌰 해줘서 이런 데이터 인질극은 더이상 없었으면 하는게 제 소망입니다. Peace.

댓글