랜섬웨어 'Crypt0L0cker'주의!
몸값을 뜻하는 ransom과 제품을 뜻하는 ware의 합성어로 사용자의 동의 없이 컴퓨터에 불법으로 설치되어서, 사용자 문서 등을 암호화하여 돈을 요구하는, 그야말로 사용자의 파일을 인질로 잡는 악성 프로그램을 말한다.
사실 그전까진 외국 사이트 등에서나 볼 수 있었지만, 한국에서는 2015년 들어 급격히 유행하기 시작했다. 특히 보안이 취약한 사이트, 가짜 이메일 등에 감염시켜서 사용자 몰래 랜섬웨어를 실행시키고 감염되는 식이다. 이메일, 인스턴트 메세지, 웹사이트 등에서 링크를 클릭할 때 설치되며, 설치된 뒤에 내부에 잠입한다. 일반적으로는 당연히 운영체제상의 일차적인 방패인 UAC, sudo 등이 존재하지만, 예스맨의 문제도 있고 보안상의 구멍으로 우회해서 들어가는 녀석도 있다.
문서나 스프레드시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤, 돈을 보내주면 해독용 열쇠 프로그램을 전송해준다고 하며 금품을 요구한다. 크립토락커 등 랜섬웨어의 대부분은 tor를 기반으로 한 웹페이지를 이용하기 때문에 추적이 어렵고 막대한 시간이 들기 때문에 검거가 어렵다. 랜섬웨어가 암호화하는 파일의 종류는 .xls, .doc, .pdf, .jpg, .cd, .rar, .zip, .mp4, .png, .psd, .hwp 슈발 그래서 내 매드가 등이 있다. 직장인이라면 잘 알겠지만 업무용으로 주로 쓰이는 파일들이 많다.
랜섬웨어로 인해 크게 피보는 직업중 하나는 바로 일러스트레이터 등 그래픽 관련 종사자들인데 그림을 그려서 생계를 유지해야하는 만큼 상당히 위험하다.
영상 제작 및 편집을 생업으로 하는 사람은 더더욱 주의를 기울일 필요가 있다.
이미지야 몇 천 장 단위라 해도 어렵지 않게 백업이 가능하지만 영상은 양이 좀 쌓이면 테라 단위를 가볍게 넘어가기 때문에 백업도 쉽지 않아서 피해를 보기 매우 쉽다. 예방만이 살 길.
경제적인 피해 외에 심리적인 피해 역시 심대하다. 이미 몇년 전부터 랜섬웨어의 피해를 입어왔던 해외에서는 돌아가신 어머니 사진이나 죽은 아이의 사진이 열리지 않게 되었다는 안타까운 사례가 굉장히 많다.
주로 외국 사이트에서 이런 랜섬웨어를 만들수 있는 해킹툴을 판매하는 모습이 주로 포착되는데, 호기심에라도 절대 구매하지 말자. 어느 모습을 보던 간에 불법임이 확실하며 괜히 돈좀 번답시고 프로그램 유포했다가 바로 경찰서 가는 사태가 벌어질 수 있다.
해커가 요구하는 대로 비트코인 등 가상 계좌로 돈을 보내면 복호화 프로그램을 줄 지도 모른다.
하지만 먹튀할 때도 있다. 랜섬웨어 사태 초기에는 어쨌든 돈을 주기만 하면 풀어주긴 한다는 인식을 퍼뜨려 보다 많은 피해자들이 송금하게 함으로써 이익을 극대화시킬 필요가 있었다.
그냥 먹튀에 불과하다는 인식이 퍼지면 피해자는 파일도 잠기고 돈까지 날리느니 그냥 파일만 포기해 버릴 테니까. 허나 랜섬웨어의 개념이 널리 퍼지고 한탕만 하고 빠지자는 생각을 하는 유포자 놈들 역시 늘어남에 따라, 그냥 돈만 긁어모으고 먹튀를 시전하는 사례 역시 크게 증가했다.
크립토월같은 최근 랜섬웨어들은 한화 수십 만원에 달하는 거액을 요구하는데다 복호화 프로그램을 안 주는 경우가 더 많다고. 적은 돈도 아니며 그 돈이 어디서 어떻게 쓰일지도 모르는 판국이라 신중히 생각해야 한다.
LAN을 이용해 네트워크를 구성한 상태에서 네트워크 내의 모든 컴퓨터가 죄다 오염되었다면 사태는 더 심각해진다.
키가 컴퓨터마다 고유하게 설정돼서 감염된 다른 컴퓨터에 적용할 수가 없기 때문에, 공용 네트워크를 통해 랜섬웨어가 세트로 퍼질 경우 컴퓨터마다 따로 돈을 내야 한다.
이런 특성때문에 사상 최악의 악성코드라고 불리기도 한다. 트로이 목마 같은 악성코드를 포함한 다른 악성코드들은 단순히 프로그램을 파괴하거나 변조하는 어떻게 보면 심한 장난을 치는 것 같은 행동양식을 보이는데 비해, 이건 대놓고 컴퓨터를 인질삼아 돈을 요구하는 강도나 다를바가 없기 때문이다.
여기에 이 악성코드를 없애도 암호화된 파일은 복구가 되지 않는 것은 물론, 백신 프로그램으로도 복구 소프트웨어로도 한계가 있기 때문에, 백업만이 해결책이다. 백신이야 말할 것도 없지만, 일부 랜섬웨어는 파일의 내용도 변경시키기 때문.
게다가 랜섬웨어는 어느 정도 기술만 있으면 해킹툴을 이용해서 쉽게 만들 수 있는 물건이다. 범인이 잡히고 나서 증언을 들어보면 랜섬웨어 하나 잘 뿌리면 몇천단위 돈은 금방 만질 정도라 랜섬웨어를 만드는 대부분의 이유는 들키지만 않으면 저렇게 쉽게 돈을 벌 수 있으니까로 요약할 수 있다. 이 경우는 돌려줄 생각도 없으니 훨씬 악질적인 범죄자다.
DOS시절에 존재했던 카지노 바이러스가 랜섬웨어와 비슷하게 하드디스크의 FAT를 RAM에 백업해 놓고 요구 조건이 만족되지 않으면 파괴시키는 형식을 취했었는데, 돈을 요구하지는 않고 게임에서 이겨야 인질로 메모리에 붙잡아뒀던 FAT를 다시 복구시켜 준다.
증상
일단 감염되면, 한동안 CPU팬이 미친듯이 회전하고 하드가 미친듯이 읽어진다 그리고 있는 대로 메모리를 끌어쓰기 시작한다. 그리고 화면 왼쪽 맨위에 이상한 글자가 한 글자씩 생겨난다. 아마 암호화작업을 하며 나오는 글자인듯 하다.
컴퓨터 성능에 따라 약 5분에서 최장 1시간 정도의 암호화 작업을 하는데, 컴퓨터의 데이터를 기준으로 암호화 키와 복호화 키를 만들고 파일 데이터들을 전체 검색하듯이 찾기 시작한다. Ctrl+F를 하고 *.*를 입력했을 때 찾는 현상과 비슷하다.
이때까지는 겉보기엔 문제는 없다. 단순히 악성코드가 해당 컴퓨터에 대한 데이터베이스를 구축하고 있는 중이므로, 컴퓨터 속도가 느리고 뭔가가 계속 CPU를 갉아먹는데 Windows 작업 관리자로 잡히지 않는다면, 어떻게든 다른 외부 프로그램을 써서 악성코드로 의심되는 프로세스를 강제로 중지시키고[7] 현 상태에서 카스퍼스키나 멀웨어 제로 키트를 비롯한 랜섬웨어 대응 백신을 돌려보거나 의심되는 파일을 삭제하면 그나마 최소한의 피해로 막을 수 있다.
문제는 재부팅하는 경우.
재부팅하면 악성 코드가 당신은 랜섬웨어에 걸렸습니다라는 식의 txt파일(쓸데없이 친절하게 한국어로 되어있기도 하고,그냥 영어로 나오기도 한다)과, 해당 컴퓨터용으로 복호화 파일을 전달할 html 연결 페이지를 시작프로그램 폴더에 생성한다. 그리고 그 순간부터 아무것도 할 수가 없다. 대표적인 증상들을 열거하면 다음과 같다.
중요 시스템 프로그램이 열리지 않는다.
현재 확인된 것: 명령 프롬프트(cmd), 윈도우 제어판의 일부 기능(관리도구→서비스, 시스템 제어 등.), 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자(Ctrl+Alt+Del), 프로그램 및 기능 등. 혹시 또 있으면 추가 바람
상기 프로그램을 실행하면 뜨는 듯하다가 다시 꺼지는 현상만 반복된다.
윈도우 복원 시점을 제거한다.
CPU와 램 사용량이 급격하게 증가하고 파일들이 암호화되기 시작한다.
암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt파일을 생성한다. 이것은 하위 폴더, 상위 폴더 구분없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것.
백신이 오작동한다. 혹은 강제로 꺼지거나 삭제된다.
안전모드로 기동할 경우, 중간까지는 로딩되는 듯하다가 다시 정상 윈도우로 부팅된다.
즉, 안전모드 자체로 진입할 수가 없다.
당연하겠지만 유저가 암호화된 파일을 열 수 없다.
원래 해당 파일을 편집했던 프로그램으로 올려도 '읽을 수 없는 형식'이라 표시된다.
예를 들어 .ppt파일이 .ppt.vvv파일로 변경되었으면 파워포인트로 열 수 없다.
만약 유저가 아직 암호화되지 않은 문서파일을 열 경우, 한동안은 편집이 가능하지만 문서를 저장하는 순간 암호화된다. 모 컴맹 유저는 이걸 이용해서 중요 문서들을 연 후 내부 문장들을 다 이메일로 보내는 Ctrl+C, Ctrl+V 노가다를 했다 하니 혹시나 정말 급한 사람은 참조.
외장하드나 USB로 파일 백업을 시도할 경우, 강제적으로 외장 메모리 접속을 해제시킨다.
그리고 옮기기를 시도한 파일들이 전부 암호화된다.
위의 행동에 의해 외장하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라서 외장하드를 손상시킨다. 계속 강제로 접속을 끊고 연결하고 끊고 연결하고를 반복하기 때문인데, 이는 결과적으로 외장하드 및 메모리에 배드섹터를 야기하게 된다.
이렇게 감염된 외장하드를 다른 컴퓨터에 연결한다 해도 당장은 이상이 없다. 배드섹터가 발생한 부분을 제외하고는 정상적으로 파일에 접근할 수 있으며, 외장하드에 파일을 옮기는 것도, 그 파일을 가져오는 것도 가능하다. 하지만 외장하드 내에 위에서 설명한 html과 txt파일이 생성되어 있다면 절대로 해당 파일을 열지 말자. 감염된다.
재부팅을 할 때마다 상기한 txt파일, html파일이 시작 프로그램 목록에 또 추가된다. (2번 부팅하면 익스플로러가 2개 뜨고, 3번 부팅하면 익스플로러가 3번 뜨고...고만해 미친놈들아)
악성코드는 대략 C드라이브\Program files와 C드라이브\USER\Appdata\Roaming 안에 둥지를 트는 것으로 확인되는데, 문제는 지워지지 않고, 지웠다 하더라도 증상이 계속된다.
(일부 랜섬웨어는 알약에서 Gen:Variant.Kazy 라는 이름으로 잘못된 진단을 하는 경우가 있다)
이쯤 되면 대략 가정용 컴퓨터로는 버틸 수가 없다. 모든 시스템 접근권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 대응방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나,깔려있는 게임하거나 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참조할 것.
렌섬웨어는 인터넷 코인인 비트코인을 몸값으로 지불하라고 요구하는데요.
렌섬웨어는 현재 백신,복구툴, 해결책도 있지 않습니다. 오직 대비가 최우선인데요.
대비하는 법, 지금부터 알려드리겠습니다!
렌섬웨어 사진(출처:구글) 렌섬웨어에 감염된후 이런창이 뜨며 비트코인을 요구한다.
위 사진과 같이 렌섬웨어에 감염되면 저런 창이 뜨며
'파일이 잠겼다. 열려면 비트코인을 지불해라' 이런식에 말이 나오며 각종 파일들이 열리지 않는 불상사가
일어나게 되는데요.. 이러면 사용자는 보통 "비트코인을 지불해야하나?","내 중요한 파일들 어떡하지?"
하는 생각이 먼저 드실텐데요 이 때는 거의 늦었다고 보셔야 합니다. 왠한만 렌섬웨어는
치료가 불가능하며 저 프로그램을 지우기는 쉽지만 파일 잠긴건 여는게 어렵기 때문에
실질적으로는 포기하셔야 합니다..
보통 렌섬웨어가 감염되는 경로는 세가지가 있는데요
1. 취약한 웹사이트 접속으로 인한 감염
2. 취약한 프로그램으로 인한 감염
3. 이메일 첨부를 통한 감염
이세가지가 있습니다. 먼저 취약한 웹사이트는 보안이 약한 사이트 접속 시 악성스크립트가 삽입되어있는경우
그 스크립트가 실행되어 사용자 컴퓨터에 취약점이 있나 살펴 봅니다.
그 후 취약점이 발견되면 취약점 코드를 실행시켜 바이러스를 다운받아 감염됩니다.
그리고 취약한 프로그램은 사실 위와 같다고 보시면됩니다. 예를 들어 Java와 같은 프로그램이
버전이 낮은경우 취약점이 생기게 됩니다. 그러므로 감염되는거죠.
그리고 이메일 감염은 대부분 아실겉같습니다. 바로 보낸 이를 알 수없는 이메일에
첨부파일을 열게되면 바이러스에 감염됩니다.
그러므로 프로그램은 업데이트하고 백신도 최신버전으로 업데이트하는 습관을 가져야 할것같습니다.
그리고 최근에 App Check라는 보조 백신이 나왔는데요. 그 백신은 여러 보안업체에 백신엔진을
탑제해 바이러스를 효율적이게 방어하며 *랜섬웨어 대피소라는 기능을 사용하여
잠긴 파일을 다시복구할 수 있도록 해줍니다.
(랜섬웨어 대피소는 잠긴파일을 원래 잠기지 않았던파일로 보관해주는 기능입니다만 그게 에러가 날수도 있습니다.)
그러나 어떤 에러가 날지모르니 이백신으로 일단 대비하는게 우선인것 같습니다.
<App Check시연 영상>
https://www.checkmal.com/
