랜섬웨어 치료 및 예방법

랜섬웨어 치료 및 예방법

랜섬웨어에 대해 알아보도록 하겠습니다.

랜섬웨어란 사용자의 PC에 있는 문서파일 및 사진등의 자료를 열리지 않게 암호화 시킨뒤

그데이터를 볼모 삼은 해커들이 돈을 요구하는 악성 바이러스 입니다.

랜섬웨어 치료는 해커가 제공하는 복구툴이 없으면 사실상 치료는 불가능하다고 합니다.

랜섬웨어에 감염되었을 때 나타나는 증상에 대해 알아보도록 하겠습니다.

일단 감염되면, 한동안 CPU 쿨러가 미친 듯이 회전하며 동시에 하드디스크를 읽습니다. 그리고 있는 대로 메모리를 끌어당겨 해당 메모리 공간을 이용해 파일을 암호화하기 시작하며 종류에 따라서는 일정한 텀을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다고 합니다.

컴퓨터 성능에 따라 약 5분에서 최장 1시간 정도의 암호화 작업을 진행합니다. 

보통 C&C 서버에서 RSA공개키를 받아온 다음 파일 데이터들을 전체 검색하듯이 찾기 시작합니다. Ctrl+F를 하고 *.*를 입력했을 때 찾는 현상과 비슷합니다. 

이때까지는 컴퓨터가 조금 느려지는것 외에는 딱히 체감되는 문제가 없습니다.

이렇게 파일 목록과 RSA 공개키가 확보되면 파일 각각에 대해  AES 키를 매번 생성하여 파일을 암호화하기 시작합니다. 파일 내용을 암호화하고 파일로 다시 쓸 때, 보통 이 때 사용한 AES 키를 아까 서버에서 받아온 RSA 공개키를 이용해서 암호화하여 같이 저장합니다. 따라서 공격자만 갖고 있는 비밀키가 있어야 이 AES 키를 알아내서 복호화를 할 수 있게되는 형식입니다. 

다만 모든 랜섬웨어가 그런 것은 아닙니다. 다만 이렇게 비대칭 암호로는 블록 암호의 키만 암호화하고, 실제 암호화할 내용은 블록 암호로 암호화는 이런 방식은 TLS에서 볼 수 있듯이 가장 흔한 방식이기 때문에 대부분이 이렇게 동작하고 있다고 합니다.

그리고 암호화가 모두 완료되거나 완료되기 전에 재부팅을 하는 경우, 악성 코드가 당신은 랜섬웨어에 걸렸습니다 라는 식의 txt파일이나 알림창(한국어로 되어있기도 하고, 영어로 나오기도 한다)과, 해당 컴퓨터용으로 복호화 파일을 전달할 html 연결 페이지를 자동으로 띄웁니다. 그리고 그 순간부터 대부분의 작업을 할 수가 없게됩니다. 대표적인 증상들을 열거하면 다음과 같습니다.

• 중요 시스템 프로그램이 열리지 않는다.

현재 확인된 것: 명령 프롬프트(cmd), 윈도우 제어판의 일부 기능(관리도구→서비스, 시스템 제어 등.), 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자(Ctrl+Alt+Del), 시작(왼쪽아래의 깃발 또는 창문모양), 프로그램 및 기능 워드패드(Word Pad).

• 상기 프로그램을 실행하면 뜨는 듯하다가 다시 꺼지는 현상만 반복된다. 혹은 상기 프로그램이 종료되면서 메시지가 적힌 메모장이 열린다.

• 윈도우 복원 시점을 제거한다. 또한 운영체제 업데이트를 막아버리기도 한다.

랜섬웨어가 별도의 다른 악성코드를 심기도 한다.

• 가장 최근에는 백도어 악성코드를 드랍해 실행시키는 랜섬웨어가 발견되기도 하였다.

• 암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt파일을 생성한다. 이것은 하위 폴더, 상위 폴더 구분없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것.

• 안티 바이러스가 오작동한다. 혹은 강제로 꺼지거나 삭제된다.

• 안전모드로 기동할 경우, 중간까지는 로딩되는 듯하다가 다시 일반 Windows로 부팅된다. 즉, 안전모드 자체로 진입할 수가 없다.

• 유저가 암호화된 파일을 열 수 없다. 원래 해당 파일을 편집했던 프로그램으로 연결해도 '읽을 수 없는 형식'이라 표시된다. 예를 들어 .ppt 파일이 .ppt.vvv 파일로 변경되었으면 파워포인트로 열 수 없다.

• 만약 유저가 아직 암호화되지 않은 문서파일을 열 경우, 한동안은 편집이 가능하지만 문서를 저장하는 순간 암호화된다.

• 외장하드나 USB 등의 이동식 저장매체로 파일 백업을 시도할 경우, 강제적으로 외장 메모리 접속을 해제시킨다.

• 이렇게 감염된 외장하드를 다른 컴퓨터에 연결한다 해도 당장은 이상이 없다. 배드섹터가 발생한 부분을 제외하고는 정상적으로 파일에 접근할 수 있으며, 외장하드에 파일을 옮기는 것도, 그 파일을 가져오는 것도 가능하다.

• 재부팅을 할 때마다 상기한 txt 파일, html 파일이 시작 프로그램 목록에 또 추가된다.

• 악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다. 대표적인 경로는 아래를 참조하자. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다.

- C:\Program Files\
- C:\Users\(사용자 이름)\Appdata\Roaming\

• 당연한 사실이지만 연결된 이동식 저장매체 또한 감염된다. 외장하드, USB 메모리, SD카드 등 예외는 없다. 조심할 것.

이쯤되면...모든 시스템 접근권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 대응방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도입니다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되기도 합니다.

위에 서술된 것은 언제까지나 일부분을 설명한 것이며, 항상 저런 현상인 것은 절대로 아닙니다. 또한 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물입니다. 하지만 파일의 확장자를 바꾸고 암호화하는 것은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것입니다.

대처법에 대해서 알아보도록 하겠습니다.

• 안티 바이러스(바이러스 백신 소프트웨어)에서 랜섬웨어가 탐지되어 차단되었다는 메시지를 보인다면 더 이상의 문제는 없으니 안티 바이러스를 통해 시스템 정밀 검사를 실행하고 추 후 재발 방지 대책을 세우면 된다.

• crypt, vvv, zepto, jigsaw 등이나 알 수 없는 명칭들로 확장자가 변환되고, 랜섬웨어 협박문과 함께 타이머가 보이기 시작한다면 바로 아래 대처법을 시행해야 한다.

• 이 방법은 안전 모드가 작동이 가능한 경우에만 해당되며, 그렇지 않은 경우 랜섬웨어에 의해 암호화된 파일을 별도의 저장소에 백업하고 감염된 PC에 Windows를 재 설치한 후 아래 4번 항목부터 진행해야 한다.

• 하드디스크의 MBR이 암호화되는 랜섬웨어(PETYA, Satana 등) 일 경우 운영체제 진입이 되지 않으므로 별도의 복구방법을 사용해야 한다.

1. 우선 데스크탑의 경우 전원플로그를 뽑아야 한다. 노트북이라면 강제 종료를 한 후 배터리를 탈착할 수 있다면 한다.

2. 안전모드로 진입한다.

2.1. (Windows 7 까지) 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 버튼으로 '안전 모드(네트워킹 사용)' 을 선택한 후, 'Enter' 키를 눌러 진입한다.
2.2. (Windows 8 부터) 명령 프롬프트(cmd)를 실행하여 다음 명령어를 입력한 후, 키보드의 'Enter' 키를 누른다.

shutdown /r /o

2.2.1. (Windows 8 부터) 시스템이 다시 시작 되어 옵션 선택 화면이 나오면 '문제 해결', '고급 옵션', '시작 설정', '다시 시작' 버튼을 차례대로 클릭한다. 한 번 더 재 시작이 되면 숫자 5를 키보드로 입력한다.

3. 안전 모드로 진입이 완료되었을 경우, 적절한 안티바이러스 제품을 검색하여 랜섬웨어를 제거한다. 결제 협박문이 남아 있을 경우, 랜섬웨어 결제 안내 파일 제거 스크립트(RIFR)를 이용하여 제거한 후 시스템을 다시 시작한다.
4. 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아있을 것이다. 따라서 암호화된 파일이 복호화 가능하다면 복호화 툴을 사용한다. 단, 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 전부 공개하거나, 사법 당국과 안티 바이러스 업체가 복호화 키를 찾아낸 경우에만 해당된다.
5. 다만, 4번의 경우도 완벽한 건 아니라서 특정 파일이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할 수도 있다.

< 출처 : 나무위키>

결국 랜섬웨어에 감염되었을 경우에는 복호화 툴이 없을 경우 사실상 복호화가 어렵다고 판단 할 수 밖에 없습니다.

설사 복호화 툴이 있다고 해도 완벽하게 복호화 된다는 보장이 없다고 하니 사실상 PC 초기화 혹은 데이터 복구 업체에 의뢰할 수 밖에 없을 것 같습니다. 제일 위험한것은 개인이 해커에게 돈을 주고 복호화를 시도하려는 것인데 이럴 경우 최악의 경우 해커가 복호화키를 주지 않을 수도 있다고 하니 조심하셔야 할 것 같습니다.

랜섬웨어의 치료는 어렵습니다.

그러니 현재는 예방하는 것에 최선을 다해야 할 듯 합니다.

신뢰할 수 없는 해외사이트,토렌트,유트브 등의 사이트를 조심하시고 이메일에 첨부파일을 첨부해 실행되는 경우도 있다고 하니 이도 유의하셔야 할 듯합니다.

불특정 해외 웹사이트 방문 또는 여러가지 경로로도 확산되고 있다고 하니 랜섬웨어 치료 이전에 데이터 백업과 보안에 신경 써야 할 것 같습니다.

 

요즘은 개인/기업의 PC 뿐 아니라 모바일로도 랜섬웨어의 피해사례가 속출하고 있다고 합니다. 불특정 다수 경로 및 알수없는 출처에 해당하는 파일 등을 실행할때 주의 하셔야 할 듯 싶습니다.

이만 랜섬웨어 치료 및 예방법에 대해 알아보았습니다. 모두 조심하셔서 피해가 속출 하지 않기를 바랍니다.

이상입니다~~~~