1. 랜섬웨어의 정의
랜섬웨어는 랜섬(인질로 삼다)과 웨어(프로그램)의 합성어로. 즉 파일을 암호화시켜 인질로 만드는 트로이젠 바이러스를 뜻합니다.
과거의 바이러스들은 자신이 바이러스임을 숨기고 사용자의 개인정보를 빼가거나 특정화된 기업이나 정부의 기밀을 빼가는 방식을 취하였습니다.
그러나, 랜섬웨어는 불특정 다수에게 자신이 바이러스임을 밝히면서 파일을 복호화(암호를 해제)를 위해 돈을 요구하는 개썅 같은 바이러스입니다.
(바이러스계의 ISIS, 바이러스계의 아빠없는 김정은 등등…)
2. 랜섬웨어의 감염현상
일단 감염이되면, 컴퓨터가 느려집니다. CPU와 메모리 리소스를 있는대로 사용하여 저장되어 있는 디스크를 읽기 때문입니다.
그러나 시스템에 따라 체감하지 못 할 수 있으며, 최소 5분에서 한시간안에 암호화가 진행됩니다.
그리고 재부팅을 하면 짜잔~하고 너님 컴 이제 내꺼임 돈내셈 돈내는 방법은? 이라면서 안내 메세지 화면이 뜹니다.
시커먼 화면에 요런 화면이나?
요런화면?
요런화면이 주로 뜹니다.
특정 코드에 코딩당했다면서 페이팔같은 온라인 결제수단이나, 혹은 비트코인과 같은 사이버가상화폐를 이용해서
지불할것을 요구합니다. 그러나 절대로 결제해서는 안됩니다. 먹튀이고, 특히 최근 유행하고 있는 크립트xxx 3.x 버전은
공격자인 크래커도 복호화툴이 없는것으로 알려져 있습니다.
그리고 해당 파일옆에는 꼭 *.txt나 *.html방식으로된 안내서가 같이 있습니다. 이러한 안내서 파일은 또한 시작프로그램영역을 건드리면서
컴퓨터 윈도우가 부팅할때마다 메세지가 뜨도록 되어있습니다. (무슨 샐러드 드레싱도 아니고 흩뿌려주네요.)
일단 감염이 되면, C:\USER\(사용자파일)에 악성 DLL파일을 생성하게 되며 RSA공개키를 이용 C&C 서버에 접속하여 AES(고급암호화표준)키를 생성하면서 암호화가 진행됩니다.
3. 랜섬웨어의 감염경로
대부분의 감염경로는 크래커가 인터넷익스플로러의 샌드박스 취약점(익스플로잇) 이나,
어도비 플래쉬플레이어의 취약점(익스플로잇)을 이용하여 감염됩니다.
이것은, 랜섬웨어를 제작하고 이용하는 크래커들이 멀버타이징(Malvertising)이라는 교모한 수법을 이용하여 활용됩니다.
뭘웨어와 광고의 합성어인 멀버타이징은 광고 서비스의 정상적인 네트워크를 이용해서 악성코드를 주입시킵니다.
쉽게 설명하면 합법적인 광고 서비스에 취약점을 활용하여 취약한 웹이나 프로그램을 링크(리다이렉트)를 걸어두면서 감염시키는 수법인것이지요.
광고 서비스 업체가 모든 광고를 검증 할 수 없기때문에 또 지속적으로 광고가 변하고 불특정 다수가 보기때문에 피해사례가 급격하게 발생 할 수 밖에없습니다.
마소의 실버라이트, 어도비의 PDF 리더의 익스플로잇을 이용해서 감염시키기도 합니다.
어도비 플래쉬 플레이어나 익스플로러에의한 감염은 이용하지않거나 혹은 타 사 프로그램을 이용하여 대처할 수 있습니다만
갈수록 진화되어가고 있는 랜섬웨어의 경우 마소의 실버라이트나 어도비PDF리더의 익스플로잇을 통해 유포되는 랜섬웨어는
샌드박스 기능이 강화되어있는 크롬이나 파이어폭스에도 감염 시킬 수 있으니 주의가 필요로 합니다.
그 밖에도 토렌트의 이용이나, 게임데이터파일, 스팸메일의 첨부파일을 통해서도 감염이 됩니다.
재밌는 사실은 윈도우 10이 출시될때에는 윈도우 10의 업데이트파일로 위장하여서도 랜섬웨어가 유포되었다라는 점입니다.
4. 랜섬웨어 대처법
4.1 랜섬웨어 예방법
4.2 랜섬웨어 복호화
≪참고 자료≫
