1.랜섬웨어
몸값이라는 뜻의 ransom과 제품이라는 뜻의 ware의 합성어로 데이터를 암호화하여 이를 빌미로 금전을 요구하는 악성코드입니다.
256비트, 1024비트로 알파벳과 숫자, 특수문자로 암호화 했으며, 슈퍼컴퓨터라도 복호화를 하려면 수 십 년~수 백 년이라는 시간이 걸리므로 복호화는 사실상 불가능합니다.
해커에게 비트코인을 지불하여 복호화 키를 받아야 하는데 약 10%만이 복호화 키를 넘겨받습니다.
랜섬웨어 감염파일을 복구할 수 있다고 광고하는 곳의 50%는 사기입니다. 원본 파일의 기록 흔적을 찾아서 복구하는 것인데 마치 랜섬웨어 감염파일을 복구하는 것 처럼 홍보하여 과한 금액을 요구하는 곳이 있습니다.
해커로부터 의뢰를 받아 대행업을 하는 업체도 있으며, 반대로 업체가 해커한테 비트코인을 지급하여 복호화 키를 받아 복구해주는 업체가 있습니다. 복호화 작업은 십 수 시간 이상이 걸리므로 보통의 복구비용 보다 높은 금액을 요구합니다.
작년 2015년 11월 초, 네덜란드에서 랜섬웨어 유포그룹이 검거 돼 백신회사로 유명한 러시아의 카스퍼스키에서 압수한 서버로부터 얻어낸 복호화 키를 이용하여 랜섬웨어 복호화 툴을 만들어서 배포하기 시작했습니다.
해당 랜섬웨어는 CoinVault와 Bitcryptor 입니다.
TeslaCrypt는 폴더에 복호화 데이터 파일을 남겼으나 변종이 등장한 후 감염만 시키고 복호화 데이터를 남기지 않는 형태로 유포되고 있습니다.
http://www.talosintel.com/teslacrypt_tool/ TeslaCrypt 복호화 툴 제공 링크.
랜섬웨어에 감염이 됐으나 복호화를 염두해 두고 있다면 생성된 안내 파일도 함께 보관하시기 바랍니다.
2.감염경로와 방식. 특징
감염방식
사이트만 방문해도 감염되는 Drive-by-download 방식을 사용하여 자동감염.
배너광고 클릭, 외국사이트 접속, 토렌트 파일. 발신인 불명의 이메일과 첨부파일을 통한 유포.
어도비 플래시, 어도비 리더(PDF), 자바, 마이크로소프트 실버라이트 등 보안 취약점을 이용.
***어도비(Adobe)社의 플래시는 태생적 보안 취약점이 있습니다. 액티브x처럼. 아무리 업데이트나 보안패치를 하더라도 태생적인 한계로 인해 랜섬웨어의 표적이 됩니다.
최근에는 PC 시스템 보호 영역까지 모두 삭제하며, 시스템 복원에 의한 자료복구가 불가능합니다.
현재 잠복형은 없으나 개인정보 유출과 디도스 공격이 추가된 변종도 있습니다.
리눅스와 애플에서도 랜섬웨어 감염사례가 나타남.
감염 시 특징
CPU의 연산량이 많아져 느려지고, 하드디스크와 CPU팬 소음이 미친 듯이 커집니다.
비트코인을 요구하는 이미지 파일이 뜹니다.
일부 랜섬웨어의 규칙.(encrypted 외 몇 개)
C: D: E드라이브 등 각각의 드라이브에서 동시에 첫 번째 목록에 있는 폴더나 파일부터 변형이 일어남.
가장 최근의 신형 랜섬웨어
확장자 .vvv 랜섬웨어가 15년 12월 6일 일본에서 급속히 유포.(약 190개의 확장자 해당)
* 감염루트 : 웹페이지를 보는 것만으로도 감염(이번 건의 경우 광고가 원인)
* 감염시 카스퍼스키 이외 검출가능 백신 없음
* 웹페이지를 보고있을 때, 임의의 코드가 실행가능한 여러 웹 등으로 감염시도(플래시, 자바 등)
*. 감염 후 피해가 상당히 크고 전파속도가 상당히 빠름.
- 감염 후 1-2분 사이에 드라이브 전체 파일 중 밑의 확인된 확장자를 vvv로 바꾸며 암호화
- 접속된 외장하드, 네트워크 내의 공유폴더도 감염
*. 윈도우 복원포인트 강제삭제
*. 지금까지의 바이러스나 멜웨어와는 동작원리가 달라 일반적인 바이러스와 같은 대응은 불가능.
3. 감염파악.
가장 먼저 재빨리 전원을 차단합니다. 가장 중요합니다.
PC가 외장하드, USB, 클라우드, NAS, 네트워크 등 물리적 연결과 온라인 연동이 돼 있다면 PC에서 분리, 인터넷을 끊습니다.
4. 랜섬웨어 제거 - 실행파일을 제거하면 암호화는 더 이상 확산되지 않습니다.
*.재부팅 후 f8 눌러서 윈도 부팅 옵션을 고름
*.안전모드 with 네트워크로 부팅
*.아래 링크에서 제거 툴 다운로드
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3136/goz-and-cryptolocker-malware-affecting-users-globally
자신의 os버전에 맞는 버전으로 다운로드(32bit, 64bit)
http://www.trendmicro.co.kr/kr/security-intelligence/anti-threat-toolkit/
*. 다운로드 완료후 파일 실행. 랜섬웨어 제거완료.
*. 안전모드로 재부팅.
*. 해당 랜섬웨어를 검색해서 잔여파일이 있는지 확인.
*. 일반부팅 후 윈도우가 원활하지 않으면 포맷하지 말고 윈도우를 덧씌우는 재설치.
*. 감염이 안 된 자료들 백업 등 조치.
5.예방
*.최신버전 보안 업데이트(필수사항) : 윈도우 안에 설치된 모든 프로그램은 버전과 상관없이 업데이트.
마이크로소프트의 모든 제품(Windows, Office, Silverlight, Internet Explorer)
Adobe 모든 제품(포토샵,일러스트레이트,드림위버,아크로밧PDF 등등 어도비社의 전 제품)
Oracle Java - 미사용시 삭제
한글과 컴퓨터, 익스플로러 최신버전, 윈도우자동업데이트
*. 데이터 백업(필수사항)
*감염되서 $700(CryptoWall 4.0 기준)을 보내줄 바엔 저장장치(하드디스크, USB)를 장만하여 데이터를 백업을 하는 것이 정신적, 물리적으로 이득이며 건강에 좋습니다.
http://prod.danawa.com/list/?cate=112763&15main_11_02
*. 취약점 차단(필수사항) : 권장백신 설치. 익스플로러 이외의 웹브라우저와 확장기능 사용.
av-comparatives.org의 실전 테스트인 Real-World Protection Test가 백신성능의 검증신뢰도가 가장 높다고 할 수 있겠습니다. 무료백신- AVIRA, AVG, AVAST, PANDA 이외는 절대 권장하지 않음.
국내 백신은 이름만 백신이라는 점을 분명히 아셔야 합니다.
알약을 내놓은 이스트소프트는 전문백신 회사는 아니지만 그래도 백신회사임에도 해킹을 당하는 회사입니다.^^
https://www.mozilla.org/ko/firefox/new/ 파이어폭스 내려받기
https://addons.mozilla.org/ko/firefox/addon/noscript/?src=search 파이어폭스 확장기능
https://www.google.com/intl/ko/chrome/browser/features.html 크롬 내려받기
https://adblockplus.org/en/chrome <= 크롬 확장기능
알약 익스플로잇 쉴드(ALYac Exploit Shield)
Malwarebytes Anti-Exploit
바이로봇 APT Shield 2.0 (백신과 중복 설치해도 문제가 발생되지 않습니다.)
*SandboxIE- 가상화 익스플로러인데 웹브라우저가 공격 당해 시스템이 감염되는 것을 막아줍니다.
http://happytrees.me/30
http://blog.naver.com/cst012/220540032119
* 알송이나 곰플레이어 등등 프로그램 설치 시 별도 선택란을 꼼꼼하게 살펴보면서 설치 하세요.
필요한 기능 외에 추가로 이것저것 설치해버리면 갑자기 쇼핑몰 링크가 바탕화면에 도배가 돼 있다든지, 인터넷 홈페이지가 어느 사이트로 고정이 돼버렸다든지 컴퓨터가 눈에 띄게 느려졌다든지 하는 등등의 일들이 벌어지고, 랜섬웨어의 표적이 되며 소중한 자료는 영원히 잃어버립니다.
* 익스플로러만 고집할 경우.
익스플로러용 애드블럭(광고차단)이 있으니 꼭 설치. UAC(사용자 계정 컨트롤 설정 변경)를 최고 수위로 설정.
동영상 및 사진 등 파일을 열다 UAC가 권한 확인창을 띄우면 해당파일이 악성동작을 위해 권한을 요구하는 것이니 차단 후 삭제.
* https://www.rancert.com/barzakook.php
ARIT 보안 기술을 이용하여 랜섬웨어 감염 시 데이터를 복원해주는 '발자국'이라는 프로그램이 있습니다.
현재까지 ARIT 보안을 무력화하는 변종 랜섬웨어는 없습니다.
*Windows 7 Manager, Deep Freeze -
http://jurine.kr/599?mode=desktop - Deep Freeze
폴더나 파일을 읽기전용 속성으로 설정해서 악성코드가 자료에 쓰는 작업을 못 하게 막아주는 프로그램입니다.
*App Check
https://www.checkmal.com/appcheck/
http://blog.naver.com/ju392769/220571308696
APT쉴드와 비슷한 랜섬웨어 대처용 보조 백신입니다. 위 블로그에 자세한 내용입니다.
*스마트폰의 랜섬웨어 감염 시 대처. - 해당 단말기의 제조사에서 안전모드 방법 제공.
http://mutantcell.blog.me/220559638147
*기타
문서파일이나 동영상, 음원 파일임에도 ***.exe 로 된 파일은 절대 내려받지 마세요.
랜섬웨어로 기업이 망한 사례도 있습니다.
*참고사이트
https://www.innotium.com
http://www.kbench.com/software/?q=node/61032
https://noransom.kaspersky.com/
http://www.aptshield.co.kr/
http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
http://blog.alyac.co.kr/451
http://cafe.naver.com/malzero/94376
http://blog.avastkorea.com/1080
http://blog.avastkorea.com/1018
