랜섬웨어와 크립토락커에 대해 알아보자 (Ransomware, CryptoLocker)

요즘 인터넷 서핑이나 페이스북 생활코딩 페이지를 둘러보다 보면 랜섬웨어라는 단어를 종종 보게된다.

오늘은 랜섬웨어와 또 크립토락커라는 랜섬웨어에 대해서 알아보고자 한다.

내용에 대해 살펴보기 이전에 본 게시물은 개인 공부를 목적으로 나무위키(하단에 출처 명시)에서 스크랩해 온 자료임을 명시한다.

크립토락커 출처 페이지 : https://namu.wiki/w/CryptoLocker

랜섬웨어 출처 페이지 : https://namu.wiki/w/%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4

랜섬웨어

1. 개요

몸값을 뜻하는 ransom과 제품을 뜻하는 ware의 합성어로 사용자의 동의 없이 컴퓨터에 불법으로 설치되어, 사용자 문서 등을 암호화하여 돈을 요구하는, 그야말로 사용자의 파일을 인질로 잡는 악성 프로그램을 말한다.

 

사실 그전까진 외국 사이트 등에서나 볼 수 있었지만, 한국에서는 2015년 들어 급격히 유행하기 시작했다. 특히 보안이 취약한 사이트, 가짜 이메일 등에 감염시켜서 사용자 몰래 랜섬웨어를 실행시키고 감염되는 식이다.

 

이메일, 인스턴트 메세지, 웹사이트 등에서 링크를 클릭할 때 설치되며, 설치된 뒤에 내부에 잠입해 문서나 스프레드시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤, 돈을 보내주면 해독용 열쇠 프로그램을 전송해준다고하며 금품을 요구한다. 크립토락커 등 랜섬웨어의 대부분은 웹을 기반으로 하기 때문에 체포하기는 매우 쉽지만, 문제는 그 웹 주소를 추적하기에는 막대한 시간이 들기 때문에 추적이 어렵다고 한다.

이런 특성때문에 사상 최악의 악성코드라고 불리기도 한다. 트로이 목마 같은 악성코드를 포함한 다른 악성코드들은 단순히 프로그램을 파괴하거나 변조하는 어떻게 보면 심한 장난을 치는 것 같은 행동양식을 보이는데 비해, 이건 대놓고 컴퓨터를 인질삼아 돈을 요구하는 강도나 다를바가 없기 때문이다. 여기에 이 악성코드를 없애도 암호화된 파일은 복구가 되지 않는 것은 물론, 백신 프로그램으로도 복구 소프트웨어로도 한계가 있기 때문에, 백업만이 해결책이다. 백신이야 말할 것도 없지만, 일부 랜섬웨어는 파일의 내용도 변경시키기 때문.

2. 증상

일단 감염되면, 한동안 CPU팬이 미친듯이 회전하고 있는 대로 메모리를 끌어쓰기 시작한다. 컴퓨터 성능에 따라 약 5분에서 최장 1시간 정도의 암호화 작업을 하는데, 컴퓨터의 데이터를 기준으로 암호화 키와 복호화 키를 만들고 파일 데이터들을 전체 검색하듯이 찾기 시작한다. Ctrl+F를 하고 *.*를 입력했을 때 찾는 현상과 비슷하다.

 

이때까지는 겉보기엔 문제는 없다. 단순히 악성코드가 해당 컴퓨터에 대한 데이터베이스를 구축하고 있는 중이므로, 컴퓨터 속도가 느리고 뭔가가 계속 CPU를 갉아먹는데 Windows 작업 관리자로 잡히지 않는다면, 어떻게든 다른 외부 프로그램을 써서 악성코드로 의심되는 프로세스를 강제로 중지시키고 현 상태에서 카스퍼스키나 멀웨어 제로 키트를 비롯한 랜섬웨어 대응 백신을 돌려보거나 의심되는 파일을 삭제하면 그나마 최소한의 피해로 막을 수 있다.

 

문제는 재부팅하는 경우.

 

재부팅하면 악성 코드가 당신은 랜섬웨어에 걸렸습니다라는 식의 txt파일(친절하게 한국어로 되어있기도 하고,그냥 영어로 나오기도 한다)과, 해당 컴퓨터용으로 복호화 파일을 전달할 html 연결 페이지를 시작프로그램 폴더에 생성한다. 그리고 그 순간부터 아무것도 할 수가 없다. 대표적인 증상들을 열거하면 다음과 같다.

 

중요 시스템 프로그램이 열리지 않는다.

명령 프롬프트(cmd), 윈도우 제어판의 일부 기능(관리도구→서비스, 시스템 제어 등.), 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자(Ctrl+Alt+Del), 프로그램 및 기능 등.

상기 프로그램을 실행하면 뜨는 듯하다가 다시 꺼지는 현상만 반복된다.

윈도우 복원 시점을 제거한다.

CPU와 램 사용량이 급격하게 증가하고 파일들이 암호화되기 시작한다.

백신이 오작동한다. 혹은 강제로 꺼지거나 삭제된다.

안전모드로 기동할 경우, 중간까지는 로딩되는 듯하다가 다시 정상 윈도우로 부팅된다. 즉, 안전모드 자체로 진입할 수가 없다.

당연하겠지만 유저가 암호화된 파일을 열 수 없다. 원래 해당 파일을 편집했던 프로그램으로 올려도 '읽을 수 없는 형식'이라 표시된다. 한 유형을 예로 들자면 .ppt파일이 .ppt.vvv파일로 변경되었으면 파워포인트로 열 수 없다.

만약 유저가 아직 암호화되지 않은 문서파일을 열 경우, 한동안은 편집이 가능하지만 문서를 저장하는 순간 암호화 된다. 모 컴맹 유저는 이걸 이용해서 중요 문서들을 연 후 내부 문장들을 다 이메일로 보내는 Ctrl+C, Ctrl+V 노가다를 했다 하니 혹시나 정말 급한 사람은 참조.

외장하드나 USB로 파일 백업을 시도할 경우, 강제적으로 외장 메모리 접속을 해제시킨다. 그리고 옮기기를 시도한 파일들이 전부 암호화된다.

악성코드는 대략 C드라이브-Program files와 C드라이브-USER데이터 안에 둥지를 트는 것으로 확인되는데, 문제는 지워지지 않고, 지웠다 하더라도 증상이 계속된다.

이쯤 되면 대략 가정용 컴퓨터로는 버틸 수가 없다. 모든 시스템 접근권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 대응방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신만큼은 악성코드가 신나게 돌아가고 있는데도 악성코드를 붙잡지 못하는 현상이 발견되니 참조할 것.

3. 대처법

대처법은 크게 백업과 예방, 격리로 구분된다. 예로부터 백업은 데이터를 보호하는 가장 효율적인 방법이다. 중요한 파일이라면 주기적으로 백업을 실시하여 보호하는것도 예방의 한 종류가 될 수 있다. 물리적으로 다른 외부 저장장치나 컴퓨터에 저장할 수 있고, 보호해야 할 파일이 상대적으로 저용량이라면 구글 클라우드나, 네이버 N드라이브, 드롭박스 등을 이용해 볼 수도 있겠다.

다음으로 OS와 백신을 최신화 하는것으로 예방 해 볼 수 있겠다.

마지막으로 격리방법은 중요한 파일을 오프라인 컴퓨터에 저장하여 물리적으로 격리 시키는 방법이 있다.

크립토락커

1. 개요

2013년에 발생한 인질형 악성코드, 랜섬웨어의 일종. 컴퓨터 내의 모든 파일(OS 파일 포함) 및 네트워크 드라이브의 파일을 RSA, AES 키로 암호를 걸어, 암호 해독 키를 대가로 돈을 요구한다. 금액은 해커별로 천차만별이지만, 비트코인을 통해 금액을 결제는 경향을 보인다. 예전 버전에는 300달러라고 표기되어 있었지만, 최근에는 비트코인으로 1비트코인 이상(한화 43만원 가량) 을 요구한다. 구매에는 1주일 정도 시간제한이 있으며 이 안에 복호화 프로그램을 구매하지 않으면 가격이 2배로 상승한다.

2. 증상

이유 없이 갑자기 컴퓨터가 느려지기 시작하는 것이 감염의 초기 증상이다. RAM을 풀가동시켜 컴퓨터의 대부분 파일들을 해커의 서버에서 만든 RSA-2048키(!)를 사용하여 .encrypted 확장자로 암호화시켜버린다. 역시 품종(?!)별로 암호화의 범주는 제각각이다만 랜섬웨어들이 다 그렇듯 MS office에 속하는 파워포인트, 워드, 엑셀 파일들과 JPG 등의 이미지 파일들과 zip, rar 등의 압축 파일들은 표적이 된다. 원래는 hwp 파일은 건드리지 않았으나 패치를 더해가며(...) 그것까지 난도질하는 종류도 발견되었다.

암호화가 끝나면 100시간의 카운트다운을 시작하는데, 비트코인이나 MoneyPak으로 300 달러를 지불하면 복호화를 시켜준다고 주장한다. 그리고 100시간 이내에 입금을 하지 않으면 그대로 하드의 데이터는 고스란히 바이바이.

3. 2015년의 크립토락커

사실 원조 크립토락커는 2014년 8월 글로벌 보안전문가들이 원 제작자의 서버를 추적해서 다운 시키고[2] 복호화키를 얻으면서, 일단 세계적으로 조금 잠잠해진 상태였다. 이 때문에 2015년에는 크립토락커 보다는 크립토락커와 크립토월을 조합한 테슬라크립트가 더 주목받고 있었던 상황이었다. 그런데...

015년 4월 19일을 기준으로 왈도체 한글로 된 크립토 락커가 발생하였다. 특히 4월 21일 새벽 인터넷 커뮤니티인 클리앙이 감염되면서, 감염 컴퓨터가 대규모로 발생하였다. 이번 감염은 가짜 승인절차 창 같은것도 없이 접속만 하면 감염되는 종류로 확인되면서, 보안 업데이트를 미룬 개인과 기업 컴퓨터가 다수 감염된 것으로 보인다. Internet Explorer와 Flash의 보안 약점을 파고든 것으로 밝혀졌다. 안랩에서는 광고 배너 플래시를 통해 악성 코드가 퍼진 것으로 추측했다.

 

랜섬웨어침해대응센터에서는 이번 크립토 락커가 발생한지 얼마 안 된 변종이라서 아직 복구책이 없다고 밝히고 있다.

 

인터넷 커뮤니티 SLR클럽에서 한 용자가 요구사항대로 결제를 한 결과 데이터의 90%가 복구되었다고 한다. 다만 돈을 보내는 것은 엄청난 도박이라는 것을 명심하자

4. 감염 이후

암호화 수준이 높아서 입금을 하지 않으면 복구가 불가능하다고 여겨졌으나, 파이어아이와 폭스잇 연구원들이 이 악성코드에 감염된 파일들을 풀어주는 서비스를 무료로 개시했다. 이메일주소와 감염된 파일 하나를 보내면 해당 이메일로 RSA_2048 키가 온다. 그런 다음 해당 사이트에서 제공하는 복구 프로그램을 다운로드받아 다음 명령을 시행하면 된다.: Decryptolocker.exe –key "<key>" <Lockedfile>. 사이트 주소는 http://decryptcryptolocker.com

 

그렇지만 비슷비슷하거나 구별이 어려운 변종이 20개도 더 되고, 복구 서비스가 이러한 변종의 생산을 부추길 수도 있다는 이유로 현재는 더 이상 서비스를 하지 않는다.

 

변종 크립토락커의 암호화 정도가 갈수록 극심해져서, 파일 복구 업체에서도 복구하기가 힘들다고 한다. 차라리 해커에게 돈을 입금하는 게 나을 수도 있는데, 앞서 언급했듯이 입금을 한 사람 모두가 데이터를 돌려받는 것은 아니라고 하니 주의. 말 그대로 복불복, 케바케지만 보안업체 등에서도 절대 결제하지는 말라고 하는 상황이다. 가~~끔 제 시간 내에 입금을 해서 데이터가 복구된 경우도 있다. 대단하다 대단해 그리고 피해자는 스톡홀름 증후군 을 앓게된다.

 

중요한 자료는 꼭 백업하자. 또, 예방을 위해서, 개인용으로 공개된 실시간 차단프로그램을 깔아두도록 하자. 알약, V3를 포함한 최근 백신들도 대개 이런 기능이 있다. 다만 치료하지 못한 크립토락커가 삭제되지 않고 검역소로 실려가 있을 때도 깽판을 계속 친다는 케이스가 있다고 하니 주의하자.