국제 랜섬웨어 차단 및 복원 사이트(노모어랜섬) - nomoreransom.org
언어별 명칭
한국어 - 랜섬웨어
영어 - Ransomware
중국어 - 勒索软件
일본어 - ランサムウェア
-개요-
몸값을 뜻하는 Ransom과 제품을 뜻하는 Ware의 합성어이며, 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 인질로 잡아 금전을 요구하는 악성 프로그램을 말한다.
참고로 모바일과 Mac OS에서도 활동한다.
랜섬웨어 종류에 따라 백신 프로그램이 사전에 랜섬웨어의 암호화를 차단하기도 한다.
-질문-
가정용 PC 랜섬웨어 감염되나요?
-상세-
감염되면 파일을 암호화하기 시작한다. 때문에 하드디스크와 메모리 점유율이 급격히 상승하게 된다. 종류에 따라서는 일정한 텀을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다.
더 자세히 설명하자면 파일 목록과 RSA 공개키를 확보하고 각 파일에 AES키를 생성하여 암호화한다. 다만 모든 랜섬웨어가 그런 것은 아니다. TLS에서 볼 수 있듯이 가장 흔한 방식이긴 하지만.
암호화가 모두 완료되기 전에 재부팅하면 랜섬웨어에 걸렸습니다라는 식의 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업된다. 그리고 대부분의 작업을 할 수 없다. 대표적인 증상은 다음과 같다.
•중요 시스템 프로그램이 열리지 않는다.
◦명령 프롬프트, 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능 워드패드(Word Pad), 레지스트리(regedit). 알림 목록 등.
•윈도우 복원 시점이 제거되거나 업데이트를 막아버린다.
•별도의 다른 악성코드를 심기도 한다.
•CPU와 램 사용량이 급격하게 증가하고 파일들이 암호화된다.
◦암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt파일을 생성한다. 이것은 하위 폴더, 상위 폴더 구분없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것.
•안티 바이러스가 오작동한다. 혹은 강제로 꺼지거나 삭제된다.
•안전모드로 진입할 수 없다.
•암호화된 파일을 열 수 없다.
◦만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화된다.
•강제로 이동식 저장장치의 연결을 해제시킨다.
◦외장하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장하드를 손상시킨다.
•재부팅을 할 때마다 랜섬웨어 txt 파일, html 파일이 시작 프로그램 목록에 추가된다.
•악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다. 대표적인 경로는 아래를 참조하자. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다.
- C:\Program Files\
- C:\Users\(사용자 이름)\Appdata\Roaming\
•당연한 사실이지만 연결된 이동식 저장매체 또한 감염된다. 외장하드, USB 메모리, SD카드 등 예외는 없다. 심지어 플로피 디스크도 감염된다. 조심할 것.
이쯤 되면 대략 가정용 컴퓨터로는 버틸 수가 없다! 모든 시스템 접근권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 대응방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참조할 것.
위에 서술된 것은 언제까지나 일부분을 설명한 것이며, 항상 저런 현상인 것은 절대로 아니다. 또한 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물이다. 하지만 파일의 확장자를 바꾸고 암호화하는 것은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것이다.
-치료-
본인이 프로그래밍을 할 줄 안다면 브루트 포스 공격을 하거나 널 포인터 취약점을 이용해 프로그램을 다운시키면 된다.
•안티바이러스(바이러스 백신 소프트웨어)에서 랜섬웨어가 탐지되어 차단되었다는 메시지를 보인다면 더 이상의 문제는 없으니 안티바이러스를 통해 시스템 정밀 검사를 실행하고 추후 재발 방지 대책을 세우면 된다.
•crypt, vvv, zepto, fun 등이나 알 수 없는 명칭들로 확장자가 변환되고, 랜섬웨어 협박문과 함께 타이머가 보이기 시작한다면 바로 아래 대처법을 시행해야 한다.
•이 방법은 안전 모드가 작동이 가능한 경우에만 해당며, 안전 모드를 복구할 수 없다면 랜섬웨어에 의해 암호화된 파일을 별도의 저장소에 백업하고 감염된 PC에 Windows를 재 설치한 후 아래 4번 항목부터 진행해야 한다.
•하드디스크의 MBR이 암호화되는 랜섬웨어(페티야/미스차, 골든아이, 사타나 등) 일 경우 운영체제 진입이 되지 않으므로 별도의 복구 방법을 사용해야 한다.
1. 우선 데스크탑의 경우 전원 플러그를 뽑아야 한다. 노트북이라면 강제 종료를 하거나 배터리를 탈착해야 한다.
2. 안전 모드로 진입한다. Windows 7 까지는 2.1, Windows 8 부터는 2.2, 2.2.1 항목을 참고한다.
2.1. (Windows 7 까지) 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 버튼으로 '안전 모드(네트워킹 사용)' 을 선택한 후, 'Enter' 키를 눌러 진입한다.
2.2. (Windows 8 부터) 명령 프롬프트(cmd)를 실행하여 다음 명령어를 입력한 후, 키보드의 'Enter' 키를 누른다.
shutdown /r /o
2.2.1. (Windows 8 부터) 시스템이 다시 시작 되어 옵션 선택 화면이 나오면 '문제 해결', '고급 옵션', '시작 설정', '다시 시작' 버튼을 차례대로 클릭한다. 한 번 더 재 시작이 되면 숫자 5를 키보드로 입력한다.
3. 안전 모드로 진입이 완료되었을 경우, 적절한 안티 바이러스 제품으로 검사하여 랜섬웨어를 제거한다. 결제 협박문이 남아 있을 경우, 랜섬웨어 결제 안내 파일 제거 스크립트(RIFR)를 이용하여 제거한 후 시스템을 다시 시작한다.
4. 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아있을 것이다. 따라서 암호화된 파일이 복호화가 가능하다면 복호화 툴을 이용한다. 단, 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 전부 공개하거나, 사법 당국과이나 안티 바이러스 업체가 복호화 키를 찾아낸 경우에만 해당된다.
5. 다만, 4번의 경우도 완벽한 건 아니라서 특정 파일이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할 수도 있다.
비트코인 등장 이전
비트코인 등장 이후
-종류-
-미해독됨-
Crypt~ 계열
•CryptoLocker
•크립토월(CrptoWall)=크립토디펜스
•CryptXXX
•CrypMIC
Cerber~ 계열
•Cerber Ransomware
•CERBER3
•CERBER4, 5, 6
~Locker 계열
•시놀락커(SynoLocker)
•나부커(=NsbLocker)
•크리트로니(=CTBLocker)
•TorLocker
•Locky
~MBR훼손 계열
•페트야(Petya)
•산타나
•미샤(MISCHA)
•골든아이(goldeneye)
그 외
•폴리스랜섬
•더티디크립토
•버록
•ransom32(랜섬32)
•radamant
•Xrypted
•WannaCrypt : Wannacry의 변종
위의 종류는 극히 일부분이고 그 외에도 매우 많은 종류가 있다.
-해독됨-
이 목록의 랜섬웨어들은 현재 여러가지 이유로 무력화된 상태의 랜섬웨어 들이다.
•테슬라크립토(TeslaCrypt)
•토렌트라커
•CryptoWall 3.0
•비트크립토(Bitcryptor)
•코인벌트(CoinVault)
•마이컴고: 회사 자체가 사라졌다.
•Hidden-Tear
•eda2
•비트라커
•OSX.KeRanger
•jigsaw
모바일 랜섬웨어
피해 사례
랜섬웨어 확인, 검사, 감염, 바이러스, 복구툴, 예방, 치료, 안랩, 백신, 관련주, 방지, 업데이트, 복구, 증상
윈도우 업데이트 무한로딩, 끄기, 하는법, 실패, 다운로드중, 오류, 파일삭제, 확인중, 소리, 설정,
윈도우 보안패치, 마이크로소프트 업데이트, SMB 포트 차단, 한국인터넷진흥원, 보호나라