Skip to content

랜섬웨어의 모든것

랜섬웨어

랜섬웨어는 시스템 화면 또는 파일을 암호화해 사용자의 시스템 접근을 제한함과 동시에 복구를 위한 돈을 요구하는 일종의 멀웨어 입니다. 일반적으로 크립토 랜섬웨어로 분류되는 최근의 랜섬웨어들은 감염된 시스템의 특정 파일을 암호화하고 암호 해독 키를 교환 하기 위해 유저들에게 특정 온라인 결제 방법을 통해 파일의 몸값을 지불하라고 위협합니다.

파일의 가격과 결제

요구하는 금액은 각각의 랜섬웨어와 전자 화폐의 환율 및 가격에 따라 다양합니다. 보통은 Cryptocurrencies가 제공한 익명의 정보에 기반해 랜섬웨어 운영자들은 파일의 몸값을 비트코인으로 요구하는 경우가 많습니다. 최근 랜섬웨어들 중에서는 아이튠즈 및 아마존 기프트 카드 형식의 대체 결제 방법을 명시하는 경우도 있습니다. 그러나 확실히 알아둬야 할 점은 돈을 지불한다고 해서 감염된 시스템 또는 암호화된 파일의 복구가 100% 이뤄질지는 미지수라는 점입니다.

랜섬웨어 감염과 행동

사용자는 다양한 방법을 통해 이러한 위협에 직면할 수 있습니다. 랜섬웨어는 사용자가 자신도 모르는 새에 악성 웹 사이트에 접속함으로써 시스템에 침투해 설치될 수도 있습니다. 또한 다른 멀웨어에 의해 페이로드로써 다운로드 될 수도 있습니다. 몇몇 랜섬웨어는 스팸메일의 첨부파일로 들어오거나, 악성 광고를 통한 악성 페이지 접속으로 인해 다운로드 혹은 취약한 시스템에 침입한 익스플로잇 키트로 이핸 떨어지기도 합니다.

랜섬웨어가 시스템에서 한 번 실행이 되고 나면, 컴퓨터 화면이 잠기거나, 크립토 랜섬웨어의 경우에는 미리 타겟이 되었던 파일들이 암호화 됩니다. 랜섬웨어의 첫번째 타입은 감염된 시스템의 스크린에 전체화면 또는 알림창이 뜨고 피해자들의 시스템 접근을 막습니다. 알림창에는 결제 방법에 대한 안내도 나와있습니다. 두번째 타입의 랜섬웨어는 잠재적으로 중요하거나 가치가 있다고 판단되는 문서 혹은 스프레드시트 파일들로의 사용자 접근을 제한합니다.

랜섬웨어는 피해자들이 돈 (또는 몸값)을 지불하도록 겁을 주기 때문에 “scareware”로 간주됩니다. 이러한 관점에서 랜섬웨어는 FAKEAV 멀웨어와 비슷합니다. 하지만 FAKEAV는 감염된 시스템 이나 암호화된 파일을 인질로 잡는 것이 아닌, 가짜 안티멀웨어 시스템의 스캔 결과를 보여줌으로써 사용자들을 속여 가짜 명품 소프트웨어를 구매하도록 유도합니다.

지금 바로 기업, 중소기업, 개인을 랜섬웨어로부터 안전하게 보호할 수 있는 방법을 만나보세요.


최근 랜섬웨어 뉴스



랜섬웨어의 역사와 진화

초창기

랜섬웨어 감염 사례는 2005년과 2006년 사이 러시아에서 처음 보고되었습니다. 이에 트렌드마이크로는 2006년 원래 파일을 덮어쓰기 전 특정 파일 형식을 압축하여 사용자 시스템에 암호로 보호된 zip 파일만 남겨두는 랜섬웨어 변종 (탐지명 TROJ_CRYZIP.A)에 관한 내용을 발표했습니다. 이 랜섬웨어는 사용자에게 파일 복구의 가격으로 300달러를 요구하는 텍스트 파일 또한 남겨 두었습니다.

초창기였던 이 시기의 랜섬웨어는 DOC, .XLS, .JPG, .ZIP, .PDF 등과 기타 흔하게 사용되는 확장자 명의 파일을 중점으로 암호화 했습니다.

2011년에 들어서 트렌드마이크로는 특정 전화로 번호를 걸어 결제를 유도하는 SMS 랜섬웨어에 관한 내용을 발표했습니다. TROJ_RANSOM.QOWA로 탐지된 이 랜섬웨어는 피해자가 해당 번호로 전화를 걸어 결제를 할 때까지 반복적으로 랜섬웨어 페이지를 표시합니다.

또 다른 주목할만한 보고서 에는 취약한 시스템의 MBR (Master Boot Record)을 감염시키는 운영 체제 유형이 포함되어있어 운영 체제가 로드되지 못하게 하는 랜섬웨어에 관해 다루었습니다. 이를 위해 멀웨어는 원본 MBR을 복사하여 악성 코드로 덮어씁니다. 그런 다음 시스템을 다시 시작하여 감염이 적용되게 한 후 알림창 (러시아어)을 표시합니다.

Ransomware 101 인포그래픽 보기: 랜섬웨어 101 - What, How, & Why

러시아를 벗어나 퍼지기 시작한 랜섬웨어

처음 랜섬웨어의 감염은 러시아에 국한되었지만, 인기와 수익성이 높은 이 비즈니스 모델은 곧 유럽 전역의 다른 국가들로 전파 되었습니다. 트렌드마이크로는 2012년 3월 가지 유럽과 북미 전역에서 랜섬웨어 감염이 지속적으로 확산되는 것을 관찰했습니다. TROJ_RANSOM.BOV와 마찬가지로 이 새로운 랜섬웨어는 전형적인 몸값 대신 피해자의 지역 경찰 기관을 사칭한 알림 페이지를 표시했습니다 (아래의 Reveton 과 Police 랜섬웨어 참조).

이 기간 동안, 다른 전략들이 렌섬웨어를 확산 시키는데 사용되고 있었습니다. 2012년에는 TROJ_RANSOM.BOV를 퍼뜨리기 위해 프랑스의 유명 제과 전문점 웹 사이트가 이용되기도 했습니다. 이러한 전략은 프랑스와 일본에 광범위한 감염을 일으켰습니다. 보통의 랜섬웨어 메시지 대신 TROJ_RANSOM.BOV는 프랑스 경찰청을 사칭한 알림창을 표시했습니다.

Reveton과 Police 랜섬웨어의 출현

Reveton은 법 집행 기관을 사칭한 랜섬웨어 유형입니다. Police 랜섬웨어 또는 Police Trojans로 알려진 이 악성 코드는 피해자의 지역 경찰 기관에서 보낸 듯한 신고 페이지를 보여주면 피해자들이 온라인 불법 활동에 연루되어있다고 설명합니다.

Reveton은 피해자가 사는 곳이 어느 관할에 속하는지 알아내기 위해 피해자의 지리적 위치를 추적합니다. 따라서 미국에 거주하는 사용자는 FBI로부터 통지를 받는 반면 프랑스에 있는 사용자는 Gendarmerie Nationale 로부터 통지를 받습니다.

Reveton 변종은 초기 랜섬웨어 공격에 비해 다른 지불 방법을 사용합니다. 시스템이 Reveton 변종에 감염되면, UKsah, PaySafeCard, MoneyPak 을 통해 지불하라는 메시지가 나타납니다. 이러한 방법을 통해 지불된 돈은 추적하기가 어렵다는 점을 이용한 것입니다.

2012년에는 다양한 유형의 Reveton 변형이 새로운 기술을 사용하는 것으로 나타났습니다. 그 해 후반기에 트렌드마이크로는 피해자의 모국어를 사용한 오디오 녹음가짜 디지털 인증서를 사용한 변종을 보고했습니다.

CryptoLocker 및 Crypto-ransomware 로의 진화

2013년 말, 새로운 유형의 랜섬웨어가 시스템을 잠그는 것 외에도 암호화 된 파일을 생성하기 시작했습니다. 암호화 도니 파일은 멀웨어 자체가 삭제 된 경우도 피해자가 여전히 몸값을 지불하도록 했습니다. 이러한 새로운 행동 방식 때문에 CryptoLocker 라는 별명이 생겼습니다. 이전의 랜섬웨어 유형과 마찬가지로 크립토 랜섬웨어는 피해자들에게 돈을 요구하지만 다른 점은 피해자들이 암호화된 파일을 복구시키기 위한 암호 해독 키가 필요하다는 것입니다.

CryptoLocker message
CryptoLocker scan

CryptoLocker의 메시지에 따르면 “RSA-2048”dfm 이용해 암호화를 진행했다고 하지만, 분석 결과 AES + RSA 암호화를 사용한것으로 나타났습니다.

RSA는 비대칭 키 암호화로 두 가지의 키를 사용합니다. 하나의 키는 데이터를 암호화하는 데 사용되고 다른 하나는 데이터를 해독하는 데 사용 됩니다 (공용 키는 외부 사용자가 사용할 수 있고 다른 하나는 사용자가 보유하는 개인 키). AES는 암호화와 해독을 동시에 할 수 있는 대칭 키를 사용합니다.

이 멀웨어는 AES 키를 사용하여 파일을 암호화합니다. 암호 해독을 위한 AES 키는 멀웨어에 의해 암호화 된 파일에 기록됩니다. 그러나 이 키는 멀웨어에 포함된 RSA 공개 키로 암호화되므로 해독하기 위해 개인 키가 필요합니다.

추가 연구에 따르면 CryptoLocker 감염의 배후에는 스팸 메일이 있음이 밝혀졌습니다. 스팸 메일에는 파일 크기가 작고 다운로드 기능이 간단한 멀웨어 제품군인 TROJ_UPATRE에 속하는 악성 첨부 파일이 포함되어 있었습니다. 이 스팸 메일은 ZBOT 변종을 다운로드 함으로써 동시에 CryptoLocker 멀웨어를 다운로드 하는 것입니다.

2013년 말, 번식 패턴을 가진 CryptoLocker의 새로운 변종이 나타났습니다. WORM_CRILOCK.A로 탐지된 이 변종은 이동식 드라이브를 통해 확산되었습니다. 이는 CRILOCK 변종에서 전례가 없는 일 이었습니다. 이로 인해 멀웨어는 다른 변종이 비해 쉽게 확산 될 수 있게 되었습니다. 새로운 변종은 CRILOCK과 같은 다운로더 멀웨어에 의존하지 않고 시스템을 감염시키면서 오히려 P2P 파일 공유 사이트에서 사용되는 소프트웨어의 활성화 인 척합니다. 기술적인 차이로 인해 일부 연구원들은 이 멀웨어가 모방되어 만들어진 것이라고 믿기도 했습니다.

그리고 또 얼마 시간이 지나지 않아 또 다른 파일 암호화 랜섬웨어가 등장 했습니다. CryptoDefense 또는 Cryptobit (탐지명 TROJ_CRYPTRBIT.H) 로 알려진 이 크립토 랜섬웨어는 데이터 베이스, 웹, 오피스문서, 비디오, 이미지, 스크립트, 텍스트 및 기타 바이너리가 아닌 파일 등을 암호화 하고 백업 파일을 삭제 하여 피해자에게 잠긴 파일을 풀기 위한 해독 키를 구매 하도록 합니다.

Cryptocurrency Theft 로 진출

랜섬웨어는 곧 또 다른 요소인 Cryptocurrency (예: 비트코인)을 도입하기 시작했습니다. 2014년 트렌드마이크로는 BitCrypt 라는 새로운 악성 코드의 두 가지 변종을 발견했습니다. 첫번째 변종인 TROJ_CRIBIT.A는 암호화 된 파일에 “.bitcrypt” 를 붙인 후 영어로 된 랜섬 메시지를 표시합니다. 두번째 변종인 TROJ_CRITBIT.B 는 파일 이름에 “.bitcrypt 2”를 추가하고 10개국의 다양한 언어로 랜섬 메시지를 표시합니다. CRIBIT 변종은 암호화 알고리즘 RSA(426)-AES 와 RSA(1024)-AES를 사용하여 파일을 암호화하고 피해자들에게 파일의 몸값을 비트코인으로 결제하도록 합니다.

한편 FAREIT 정보 도용 멀웨어 (TSPY_FAREIT.BB) 의 변종은 TROJ_RIBIT.B를 다운로드 하는 것으로 드러났습니다. FAREIT 변종은 wallet.dat (비트코인), electrum.dat (Electrum), .wallet (MultiBit) 등을 포함한 다양한 Cryptocurrency 와 관련된 정보를 훔쳐갑니다. 이러한 파일에는 거래내역, 사용자 기본 설정 및 계정과 같은 중요한 정보가 들어 있습니다.

Angler 익스플로잇 키트

2015년에 Angler 익스플로잇 키트는 랜섬웨어를 널리 퍼뜨리는데 사용되는 인기있는 익스플로잇 키트 중 하나였으며 뉴스 웹사이트 및 현지 사이트 등과 같은 인기있는 대중매체를 통해 일련의 악성 광고 공격을 하기 위해 사용 되었습니다. Angler는 수많은 플래시 익스플로잇을 포함하여 꾸준한 업데이트를 했으며, Hacking Team leak 및 Pawn Storm 등의 누구나 알만한 공격에 사용된 것으로 알려졌습니다. Angler의 쉬운 통합성 때문에 랜섬웨어를 널리 보급하는 수단으로 자주 사용됩니다.

POSHCODER: PowerShell 남용

Windows PowerShell 기능을 이용해 파일을 암호화하는 랜섬웨어 및 Cryptolocker 위협의 새로운 변종이 등장했습니다. 트렌드마이크로는 이 변종을 TROJ_POSHCODER.A 로 탐지합니다. Windows PowerShell은 Windows 7 혹은 그 이상에 제공되는 기본 기능 입니다. 사이버 범죄자들은 종종 이 기능을 남용하여 시스템 및 네트워크에서 위협을 탐지할 수 없게 만듭니다.


랜섬웨어와 중요 파일의 감염

크립토 랜섬웨어가 사이버 범죄자들에게 인기를 얻었다고 해서 다른 유형의 랜섬웨어가 사라진 것은 아닙니다. Police 랜섬웨어는 여전히 감염된 컴퓨터의 화면을 잠그고 경찰을 사칭한 랜섬 메시지를 표시하는 것으로 나타났습니다.:

이 특정 랜섬웨어가 다른 Police 랜섬웨어와 다른 점은 패치가 된 멀웨어를 타고 시스템을 감염시킨 다는 점입니다. 패치가 된 멀웨어는 악성 코드를 가지고 추가 또는 삽입을 통해 수정이 된 합법적인 파일입니다. 합법적인 파일을 수정하는 것은 악성 코드의 실행 속도가 감염된 파일의 사용 빈도에 따라 달라 지므로 사이버 범죄가에게 유리한 방법 일 수 있습니다.

이 랜섬웨어는 또한 중요한 파일인 user32.DLL 을 감염시키는 것으로 유명합니다. 중요한 파일을 감염시키는 것은 화이트리스트로 인한 행동 모니터링의 탐지를 막아주어 회피 기술로 간주될 수 있습니다. 또한 user32.DLL과 같은 중요한 파일을 정리할 때 하나의 실수가 시스템을 손상시킬 수 있으므로 추가 도구가 필요한데, 이는 클리닝 도구의 잠재적 걸림돌로 보일 수 있습니다.

감염된 user32.DLL이 실행되면 마지막에 랜섬웨어를 로딩합니다. 또한 감염된 컴퓨터 화면을 잠그고 이전의 Police 랜섬웨어 메시지에서 보여진 유사한 이미지를 표시합니다.

2년 안에 랜섬웨어 위협은 러시아로부터 여러 유럽 및 북미 국가로 확산되었습니다. 수익성 있는 비즈니스 모델과 운영자에게 익명성을 제공하는 결제 방법으로 인해 랜섬웨어 개발을 향후 더 가속화 될 것으로 예상됩니다. 따라서 사용자가 랜섬웨어의 작동 방식과 위협으로부터 최선으로 보호하는 방법을 파악하는 것이 중요합니다.

암호화할 파일

초기 크립토 랜섬웨어는 .DOC, .XLS, .JPG, .ZIP, .PDF 등의 기타 일반적으로 사용되는 파일을 대상으로 암호화를 했습니다. 사이버 범죄자들은 이후 데이터베이스, 웹사이트 파일, SQL 파일, 세금 관련 파일, CAD 파일, 가상 데스크톱 파일과 같이 비즈니스에 중요한 여러 유형의 파일 또한 포함 시켰습니다.

랜섬웨어 진화: 현대의 랜섬웨어

크립토 랜섬웨어로 전환 한 후, 랜섬웨어는 카운트다운 타이머, 시간이 지날수록 오르는 결제금액, 네트워크 및 서버에 확산 될 수 있는 감염 패턴 등과 같은 기능을 추가하여 계속해서 발전해 왔습니다. 또한 최근 랜섬웨어를 통해 랜섬웨어 운영자가 쉬운 결제를 위한 대체 지불 플랫폼 제공, 지불 대상이 아닌 피해자에게 잠재적으로 큰 타격을 줄 수 있는 위협, 새로운 배포 방법과 같은 새로운 기능을 계속해서 실험하고 있음을 알 수 있습니다.

다음은 2016년 주목할 만한 랜섬웨어 입니다.

LOCKY (RANSOM_LOCKY.A) – 2016년 2월에 발견된 Locky는 확산 방법으로 주목을 받았는데, Word 문서에 매크로로 접근한 후 Adobe Flash 및 Windows Kernel Exploits을 통해 확산 되었습니다. 가장 활발히 업데이트되는 랜섬웨어 중 하나로써 로컬 백업을 쓸 수 없도록 파일의 쉐도우 복사본을 삭제하는 것으로 알려져 있으며 의료 시설에 대한 다수 공격으로 악명이 높습니다.

PETYA (RANSOM_PETYA.D)– 2016년 3월에 발견된 PETYA는 시스템의 MBR을 덮어쓰며 Dropbox와 같은 합법적 클라우드 스토리지 서비스를 통해 확산 되는 것으로 알려져 있습니다.

CERBER (RANSOM_CERBER.A) – – 2016년 3월 초 처음 발견된 CERBER는 랜섬 메시지에 음성기능을 추가한 것으로 유명했습니다. CERBER는 또한 확산 매개체가 구성 요소를 수정할 수 있는 구성 파일을 가지고 있는 것으로 밝혀졌습니다 (지하시장에서 거래 가능한 멀웨어의 흔한 기능). CERBER는 또한 수백만 명의 MS Office 365 사용자들이 감염될 가능성이 있는 공격으로 악명이 높습니다.

SAMSAM (RANSOM_CRYPSAM.B) – 2016년 3월에 발견된 SAMSAM은 공격자가 일반적인 악성 URL 및 스팸 메일 대신 패치 되지 않은 서버의 취약점을 악용해 컴퓨터를 손상시킵니다.

JIGSAW (RANSOM_JIGSAW.I) – 2016년 4월 처음 발견된 JIGSAW는 색다른 패턴 방식으로 여러 개여 협박 전략을 섞었습니다. 랜섬 메시지에는 피해자에게 더 큰 부담을 주기 위해 영화 Saw에서 가져온 이미지와 함께 타이머가 설치 되어있습니다. 또한 메시지에는 시간이 지날 때마다 암호화 된 파일들을 삭제하면서 금액 또한 올리겠다는 협박성 메시지가 포함되어 있습니다. 최근 JIGSAW 변종에는 피해자가 사이버 범죄자에게 연락 할 수 있는 채팅 기능이 지원됩니다.

비트코인

많은 금액을 요구하는 일부 랜섬웨어 계열ㅇ르 제외하고, 랜섬웨어 변종은 일반적으로 해독 키에 대한 가격으로 0.5-5 비트코인을 요구합니다 (2016년 기준). 이는 두 가지 이유로 중요합니다. 첫째, 일부 랜섬웨어는 시간이 경과 함에 따라 그 금액이 올라가며, 둘째, 비트코인의 환율은 계속해서 상승하고 있습니다. 2016년 1월, 1 BTC는 US$431 이었습니다. 2017년 3월 말 기준 환율은 1 BTC가 US$1,082.55로 급격히 상승하였습니다.

랜섬웨어 방어, 예방, 제거


랜섬웨어 방어

랜섬웨어 방어에는 100%의 특효약이 있는 것은 아닙니다. 하지만 네트워크와 시스템으로 도달하지 못하게 막아주는 다층적 접근 방법이 위험을 최소화 할 수 있는 최선의 방법입니다.

기업용: Trend Micro™ Deep Discovery Email InspectorInterScan™ Web Security 와 같은 이메일 및 웹 게이트 웨이 솔루션은 랜섬웨어가 엔드유저에게 도달하지 못하게 합니다. 엔트포인트 레벨에서 Trend Micro Smart Protection Suites 는 행동 모니터링 및 응용 프로그램 제어 기능뿐만 아니라 취약점 보호 기능을 갖추고 있어 랜섬웨어 감염의 위험성을 최소화 합니다. Trend Micro Deep Discovery Inspector는 네트워크상의 랜섬웨어를 탐지하고 차단하며, Trend Micro Deep Security™ 는 기업의 물리적, 가상적, 클라우드 서버 환경에 랜섬웨어가 도달하지 못하도록 합니다.

중소기업용: 중소기업의 경우 Trend Micro Worry-Free Services Advanced는 Hosted Email Security를 통한 클라우드 기반 이메일 게이트웨이 보안을 제공합니다. 또한 엔드포인트 보호 기능은 행동 모니터링 및 실시간 웹 레퓨테이션 서비스 같은 여러 기능을 제공하여 랜섬웨어를 탐지, 차단 합니다.

개인사용자: Trend Micro Security 10은 악성 웹사이트, 이메일, 악성 파일을 차단함으로써 랜섬웨어로부터 사용자를 강력하게 보호합니다.


랜섬웨어 예방:

  • 확인되지 않은 이메일을 열거나 이메일에 포함된 링크를 클릭하지 마십시오.
  • 3-2-1 규칙을 사용하여 중요한 파일을 백업하십시오: 3개의 복사본, 2개의 다른 형식, 1개의 오프라인 복사본
  • 최신 취약점으로부터 보호하기 위해 소프트웨어, 프로그램 및 응용 프로그램을 정기적으로 업데이트 하십시오.

안티 랜섬웨어 도구 및 솔루션

트렌드마이크로는 스크린 화면 잠금 타입의 랜섬웨어를 탐지하고 제거하도록 설계된 Trend Micro 화면잠금 랜섬웨어 복호화 툴과 같은 무료 도구를 제공 합니다. Trend Micro 크립토 랜섬웨어 파일 복호화 툴은 파일의 몸값을 지불하거나 암호 해독 키를 사용하지 않고 크랩토 랜섬웨어의 특정 변종에 의해 잠긴 파일의 암호를 해독 할 수 있습니다.

주목해야할 최신 랜섬웨어

현재까지 알려진 랜섬웨어 리스트


Connect with KR on