랜섬웨어란?

랜섬웨어(Ransomware) '파일을 인질로 잡아 몸값을 요구하는 소프트웨어'란 의미로랜섬웨어에 감염되면 사용자 컴퓨터에 저장된 문서그림 파일 등에 암호가 걸려 해당 자료들을 열지 못하게 됩니다사용자의 파일을 인질로 삼아 금전(특히 비트코인)을 요구하는 악성 프로그램 중 하나입니다.


최근 사용자 PC에 있는 문서 파일과 이미지 파일들을 암호화하고, 파일 복구의 대가로 금전을 요구하는 랜섬웨어에 의한 감염 사례가 증가하고 있습니다. 초기 랜섬웨어는 주로 이메일의 첨부 파일을 이용해 유포되었지만 최근에는 보안이 취약한 웹사이트를 통한 드라이브바이다운로드(Drive-by-download) 방식을 통한 유포도 증가하고 있습니다. 이러한 웹사이트를 방문한 사용자들은 자신도 모르는 사이에 랜섬웨어에 감염되어 피해를 입게 됩니다.

 감염경로

이메일 이메일에 첨부해 오는 실행파일이나 스크립트 파일 등을 클릭할 경우 감염됩니다.

*최근 zip 파일로 압축을 한 이후 송부하는 경우도 있음.

웹을 통한 감염(DBD) : 사용자의 PC가 최신패치가 이루어지지 않았을 때취약한 웹사이트 등에 접속할 경우 랜섬웨어가 감염됩니다.

토렌트 토렌트를 통해 받는 불법 프로그램이나 불법 컨텐츠의 경우 랜섬웨어로 변조되어 있는 경우가 많으며 이에 대한 감염사례가 많습니다.

 

 랜섬웨어 예방방법

랜섬웨어는 수많은 변종 랜섬웨어들이 존재하여백신사나 보안 솔루션 회사 등에서 제공하는 복구툴이 존재하지만 모든 랜섬웨어에 대해 복구할 수 있는 것은 아닙니다이러한 경우 복구가 거의 힘든 것이 현실이므로평소에 아래의 예방책들을 충실히 시행하여 감염될 확률 자체를 최소화하여야 합니다.

 

중요한 자료와 업무용 파일은 PC와 분리된 외부 저장 장치 또는 클라우드 서버 등에 정기적으로 백업합니다.

일부 랜섬웨어는 외부 저장장치가 연결되어 있는 경우 그곳까지 영향을 미치므로 백업 후에는 반드시 장치를 분리해야 합니다.

 

이메일에 첨부된 파일특히 실행 파일 실행시 매우 주의해야 합니다.

이것은 지인이 보냈거나 단순 문서 파일이어도 마찬가지이며자신이 요청한 자료가 아니면 유선전화 등으로 발신자와 확인 후 실행하는 것을 추천합니다.

특히 발신자가 불분명한 이메일은 더욱 주의해야 합니다.

 

SNS 및 메신저문자의 링크 클릭 및 토렌트 등, P2P를 통한 파일 다운로드를 자제해야 합니다.

PC뿐 아니라 스마트폰도 랜섬웨어의 공격 대상입니다.

링크 클릭 및 파일 다운로드 시에는 항상 주의해야 하며특히 토렌트의 경우 사용하지 않는 것을 추천합니다.

 

백신 소프트웨어를 설치하고항상 최신 버전을 유지해야 합니다.

여러 개의 백신 프로그램 설치시백신간의 충돌로 악성코드를 탐지하지 못하는 결과도 나올 수 있으므로 신뢰할 수 있는 백신 1개를 선정하여 중점적으로 사용 및 관리하는 것을 추천합니다.

 

운영체제 및 주요 프로그램 최신 업데이트 유지해야 합니다.

익스플로러(Internet Explorer), 플래시 플레이어(Flash Player), 어도비리더(Adobe Reader), 자바(Java) 등이 위험 제품군에 속합니다.

패치되지 않은 취약한 프로그램 사용시랜섬웨어 유포 경로로 악용될 수 있습니다또한 인터넷 익스플로러보다는 크롬 브라우저 사용을 권장합니다.

 

기타

PC및 네트워크에서의 "공유 폴더"사용 시 주의해야 합니다.

1개의 PC가 랜섬웨어에 감염되었을 때공유 폴더를 타고 다른 PC로 손쉽게 퍼져나갈 수 있습니다.

보안이 취약한 웹사이트 방문을 자제하고사이트 방문시엔 안전한 사이트인지 확인하는 습관이 필요합니다.

중요 문서에 대해서는 "읽기 전용속성을 설정하는 것이 권장합니다.

 

 복구방법

랜섬웨어는 수많은 변종 랜섬웨어들이 존재하여백신사나 보안 솔루션 회사 등에서 제공하는 복구툴이 존재하지만 모든 랜섬웨어에 대해 복구할 수 있는 것은 아닙니다이러한 경우 복구가 거의 힘든 것이 현실이므로평소에 아래의 예방책들을 충실히 시행하여 감염될 확률 자체를 최소화하여야 합니다.

 

 안랩 랜섬웨어 복구 프로그램

 

다운로드 페이지 http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do


해당 복구 프로그램은 일부 CryptXXX 랜섬웨어를 진단하고 복구하는 기능을 수행합니다복구가 가능한 랜섬웨어는 크립트엑스엑스엑스(CryptXXX), 나부커(Nabucur), 테슬라크립트(TeslaCrypt)의 일부이며변종 랜섬웨어는 해당 복구 프로그램로 복구되지 않습니다.


CryptXXX 는 현재 v1, v2, v3 버전이 알려져 있고 복구 프로그램에서는 v2 버전에 감염되어 암호화된 파일만 복구 합니다.


확장자가 .crypt 로 되어 있지만 복구 프로그램에서 'CryptXXX 3.x 악성코드에 감염된 파일로 복원이 불가능 합니다.' 라는 메시지가 나오는 경우 해당 파일은 복구 할 수 없습니다.

그림입니다.

원본 그림의 이름: DRW000002203c03.gif

원본 그림의 크기: 가로 569pixel, 세로 2pixel

 알약 랜섬웨어 복구 프로그램

 

다운로드 페이지 http://www.alyac.com/ransomware_protection/


해당 사이트는 CoinVault, Linux.Encoder, PETYA, Jigsaw, TeslaCrypt, CryptXXX 랜섬웨어 복구 프로그램을 링크하고 있습니다.


그림입니다.

원본 그림의 이름: DRW000002203c05.gif

원본 그림의 크기: 가로 569pixel, 세로 2pixel

 카스퍼스키 랜섬웨어 복구 프로그램


 

한글설명 페이지 및 다운로드 페이지
1) http://news.kaspersky.co.kr/news2015/10n/151029.htm


랜섬웨어 복구 프로그램 페이지
1) https://noransom.kaspersky.com/?_ga=1.167431548.394704513.1464515040
2) http://support.kaspersky.com/viruses/utility#rannohdecryptor

 

해당 복구 프로그램은 CoinVault 랜섬웨어와 BitCryptXXX 랜섬웨어에 감염된 경우에만 복구 가능합니다.

중요한 파일은 반드시 복사본으로 시도하시기 바랍니다.


그림입니다.

원본 그림의 이름: DRW000002203c08.gif

원본 그림의 크기: 가로 569pixel, 세로 2pixel

 MS 랜섬웨어 삭제 프로그램

 

다운로드 페이지 https://www.microsoft.com/ko-kr/download/malicious-software-removal-tool-details.aspx?id=16

 

해당 프로그램은 Tescrypt, Blakamba, Diplugem, Escad, Joanap, Brambul, Drixed  Tescrypt 계열의 랜섬웨어를 삭제하고 치료합니다.


그림입니다.

원본 그림의 이름: DRW000002203c0a.gif

원본 그림의 크기: 가로 569pixel, 세로 2pixel

 TeslaDecoder

 

대표적인 랜섬웨어로 알려진 TeslaCrypt 개발자가 지난 2016 5 19일 랜섬웨어 복호화 마스터키를 공개함으로써 TeslaCrypt를 기반으로 한 랜섬웨어에 대한 복구가 가능해졌습니다.


 

다운로드 페이지
1) http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip


참고 사이트
1) http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/


해당 복구 프로그램은 TeslaCrypt 암호화키로 암호화된 파일들만 복구 가능합니다.

중요한 파일은 반드시 복사본으로 시도하시기 바랍니다.

 

[진행방법]

 

 먼저 다운로드 받은 파일의 압축을 푼 뒤, TeslaDecoder.exe 파일을 실행시킵니다.


 

 Set Key버튼을 클릭하고 자신이 감염되었던 랜섬웨어 파일 확장자를 선택합니다파일 확장자가 그대로인 경우 <as original>을 선택합니다.
원하는 확장자를 선택한 후 Set Key 버튼을 선택하면 됩니다.


 

 Decrypt folder 버튼을 눌러 랜섬웨어로 변조된 파일이 있는 폴더를 선택해 주거나 Decrypt all 버튼을 눌러 전체 암호화 파일에 대한 복호화를 진행할 수 있습니다.


 

 파일을 복호화 하는 과정에서 암호화된 파일을 삭제할지 여부를 선택할 수 있습니다.
삭제를 할 경우 복호화 진행중에 문제가 생겼을 경우 다시 시도할 수 없기 때문에 하드디스크의 여유공간이 있다면 가급적 아니오를 선택하세요.
아니오를 선택하여 백업하면 .TeslaBackup 이라는 확장자로 저장된 파일을 찾아볼 수 있습니다.



 복호화 작업이 완료되어도 100%파일이 풀리지 않거나 아예 풀리지 않을 수도 있습니다.
이 경우 랜섬웨어가 TeslaCrypt 계열이 아니거나위에 언급한 마스터키에 해당하지 않는 버전일 수 있습니다.