E,AHRSS

랜섬웨어

last modified: 2017-07-03 17:36:03 Contributors

Contents

1. 설명
2. 종류
3. 대책


1. 설명

ransom(몸값)+ware(제품)

사용자의 동의 없이 컴퓨터에 불법으로 설치되어, 사용자 문서 등을 암호화하여 을 요구하는 악성 프로그램을 말한다.

이메일, 인스턴트 메세지, 웹사이트 등에서 활동 할 때 설치되며, 설치된 뒤에 내부에 잠입해 문서나 스프레이시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤, 돈을 보내주면 해독용 열쇠 프로그램을 전송해준다고하며 금품을 요구하기도 한다. 주로 요구하는 금품은 비트코인.

사상최악의 악성코드라고 불린다. 악성코드를 없애도 암호화된 파일은 복구가 되지 않아 백신 프로그램으로도 한계가 있기 때문에, 백업만이 해결책이다.

랜섬웨어가 암호화하는 파일의 종류는 xls, doc, pdf, jpg, cd, jpeg, rar, zip 등이 있다.

일반적으로는 당연히 운영체제상의 일차적인 방패인 UAC, sudo 등이 존재하지만, 예스맨의 문제도 있고(...) 보안상의 구멍으로 우회해서 들어가는 녀석도 있다.

2015년 하반기에 문제가 된 변종 랜섬웨어들의 경우, '어도비 플래쉬 플레이어'의 취약점을 파고들어 유포된 것으로 알려져 있다.

랜섬웨어들 중 상당수는 광고를 통해 전파되는 경우가 많아서 단지 편의를 위해 사용하는 애드블록이 자신의 데이터를 잠재적으로 보호하기 위해 설치해야 하는 상황이 되어버렸다. 모바일 랜섬웨어나, OS X, Linux 등의 플랫폼으로도 이동하여 대부분의 사용자들에게 백업을 권장하게 하는 판국이다. 근데 그 백업도 암호화시키거나 백업을 무력화하는 다양한 랜섬웨어가 있는 모양... 어떤 종류의 랜섬웨어든간에 대형 사건사고가 아니면 상당수 합법과 불법을 오고가는 사이트 등지에서 피해보고가 많다. 광고 단가가 높은 업체의 광고를 쓰다가 사이트 이용자들에게 대규모 랜섬웨어를 뿌리는 경우도 있다. (구글 애드센스는 랜섬웨어 부분에선 비교적 안전하지만, adfly 부터 점점 랜섬웨어를 포함하는 광고가 늘어나고 있다.) 플래시와 자바스크립트 기반으로 작동하므로 위험성이 높은 사이트들은 이 기능을 끄고 이용하자. 기업에서도 약 5% 정도가 보안을 위해 불편을 감수하고 자바스크립트를 끄기도 하지만, 일반적인 사이트들은 자바스크립트 없이 정상작동을 보장하지 않을 수 있다.

2. 종류

  • CryptoLocker
  • 크립토월
  • 버록
  • 비트크립트
  • 크리트로니
  • 코인벌트
  • 폴리스랜섬
  • 더티디크립트
  • vvv랜섬웨어
  • 페트야(Petya)
  • 에레버스(Erebus)
  • 워너크라이

위의 종류는 일부분이고 매우 많은 종류가 있다.

3. 대책

일부 랜섬웨어의 경우 해당 랜섬웨어 유포자나 제작자를 잡아다가 족침으로서 해제 키를 베포하는 경우도 있다. 자신이 감염된 랜섬웨어가 그런 종류라면 시간을 좀 쓰고 해제하면 그만이다.
비트코인을 주고 복호화(암호 해제)키를 구매하는 것도 방법이긴 하다. 근데, 비트코인만 먹고 땡처리 하는 랜섬웨어들도 많은지라 다른 방법을 시도해 볼 것.
랜섬웨어에 감염된 PC를 폐기하고 백업본을 사용하는 것도 하나의 방법이다. 드롭박스 같은 클라우드 저장소는 1개월안에 변경된 파일들을 복구할 수 있는 기능이 있다. 중요 파일은 복구 시스템을 지원하는 클라우드 동기화 + 오프라인 백업을 권장한다.
랜섬웨어는 단순히 포맷하거나 치료를 통해 해결할 수 있는 종류의 물건이 아니다. 데이터를 볼모로 잡아다가 쓰기 때문에 랜섬웨어 자체는 치료나 삭제를 해도 데이터는 망가진 채로 남겨지게 된다. HDD의 경우 좀 많은 복구비용을 내면 이전에 기록된 파일정보를 복구하는 방식으로 데이터를 살려낼 수 있지만, SSD는 아멘...
랜섬웨어 감염을 의심할 수 있는 증상 중에 하나는, 명확한 이유 없이 CPU 사용량이 많아진다는 것이다. 게임이 끊긴다거나 여러가지 이유로 컴퓨터가 느려진 것 같다면 CPU 사용량을 체크하고 그 프로그램이 랜섬웨어로 의심되면 수동으로 제거하여 대응할 수 있다. (랜섬웨어 자체가 백신을 우회하고 작동하는 상황이므로 백신을 통한 치료가 제대로 되지 않는다.)