- 조사방식: 미끼 PC에 일부러 랜섬웨어를 감염시켜 랜섬웨어의 구조를 해독했으며, 동시에 몸값을 실제로 비트코인으로 지불하여 범인이 사용하는 비트코인 지갑을 색출한 다음 범인 사용한 지갑의 거래 이력을 조사하였음 Show
- 범인의 지갑 거래 내역을 통해 랜섬웨어로 벌어 들인 몸값 금액을 산출했는데, 비트코인 거래 이력은 체이낼러시스가 담당하였음
- 구글에 따르면 비트코인으로 몸값 지불을 요구하는 랜섬웨어는 2013년경부터 나타났으나 본격화 된 계기는 2016년에 등장한 '락키(Locky)'였다고 함
- 2013년 3분기부터 2017년 2분기까지 2,525만 달러가 넘는 몸값이 비트코인으로 지급되었으며 비트코인 거래소에서 환전되었음
- 랜섬웨어 '밀리언 달러 플레이어': 락키 780만 달러, 케르베르(Cerber) 690만 달러, 크립토락커(CryptoLocker) 200만 달러, 크립트 XXX(CryptXXX) 190만 달러, 워너크라이(WanaCry)는 의외로 10만 달러
- 랜섬웨어를 유포한 범인들은 대부분 러시아인이 운영하는 비트코인 거래소 'BTC-e'를 통해 환전하는 것으로 조사됨. 이번 조사에서 추적할 수 있었던 몸값의 무려 95%가 러시아인이 운영하는 이 거래소에 예치되어 있다고 함
- 랜섬웨어에 감염된 피해자가 몸값 지불에 사용할 비트코인을 구입한 거래소를 보면, 1위 'LocalBitcoins.com', 2위 'Bithumb.com', 3위 'Coinbase.com'으로 나타났음
** 이번 구글이 추적 조사에 의해 비트코인에 의한 몸값 지불을 추적할 수 있다는 것이 알려졌고, 몸값의 환전이 이루어지던 거래소가 운영자의 체포(알렉산더 비닉, 조사발표 하루 전 날 체포)로 조만간 폐쇄되면 익명성이 크게 약활될 것으로 보여, 최소한 당분간은 랜섬웨어의 기승이 덜할 것으로 예상됨
■ 구글은 "락키, 케르베르, 스포라"의 구조를 예를 들며 랜섬웨어 기술 수즌이 빠르게 향상되고 있음을 보여주었음
- 락키에 관해서 지적된 것은 이 랜섬웨어는 '네커스(Necurs)'라는 봇넷을 이용해 확산된다는 점인데, 봇넷을 멀웨어에 감염된 다수의 컴퓨터로 구성된 네트워크인데 랜섬웨어를 확산시키는 '전달 서버'로 변할 수 있다는 것임
- 케르베르는 '랜섬웨어 애즈 어 서비스(RaaS)'의 대표격인데, RaaS는 말 그대로 랜섬웨어를 빌려 쓸 수 있게 해주는 서비스라는 뜻으로, 랜섬웨어와 함께 희생양을 노리는 피싱 메일을 전송하는 방법을 제공해 주는 것임
- 이러한 RaaS를 이용하여 기술을 잘 알지 못하는 범죄자라도 랜섬웨어를 악용할 수 있게 됨에 따라 랜섬웨어의 피해가 더 커지고 있는 것인데, 케르베르는 감염 후 1분 이내에 사용자의 데이터를 암호화 해 버리는 것이 특징임
- 스포라(Spora)는 랜섬웨어의 비즈니스를 더욱 진화시킨 것으로, 이 랜섬웨어에 감염된 피해자에 대해 비트코인을 이용한 지불 방법 등을 가르쳐 주는 온라인 채팅을 제공하는 등 매우 진화된 사용자 인터페이스를 갖추고 있음
■ 구글 연구원들은 이처럼 랜섬웨어가 진화하고 있는 반면 많은 사용자들이 데이터를 외부매체에 백업하지 않기 때문에 피해가 확산되고 있다면, 백업의 중요성을 강하게 호소
** 결국 랜섬웨어 문제는 피해자들의 보안 의식이 부족해서 생기는 것이며, 민감한 정보에 접근하려는 해커들이 이용할 수 있는 사회공학적 기법과 피싱 메일에 대해 더 잘 이해하려는 노력이 부족한 데서 발생하는 것이라는 점을 명확히 인식할 필요가 있음 명령 프롬프트[6], 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능, 워드패드(WordPad), 알림 목록[7] 등의 작업이 불가능하다. 윈도우 복원 시점이 제거되거나 업데이트를 막아 버린다. 별도의 다른 악성코드를 심기도 한다. CPU와 RAM, 디스크 사용량이 급격하게 증가한다.
안티 바이러스가 오작동한다. 혹은 강제로 꺼지거나 삭제된다.[8] 안전 모드로 진입할 수 없다. 파일이 암호화되고 확장자가 변경되어 열 수 없다. 변경된 확장자를 제거해도 파일 내용은 암호화되어 있기 때문에 역시 열 수 없다.
강제로 이동식 저장 장치의 연결을 해제시킨다.
재부팅을 할 때마다 랜섬웨어 안내문이 들어있는 txt 파일, html 파일이 시작 프로그램 목록에 추가된다. 악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다. 대표적인 경로는 아래와 같다. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다.
2.1. 치료[편집]
2.2. 예방[편집]자세한 내용은 랜섬웨어/예방법 문서 를 의 번 문단을 의 부분을 참고하십시오.2.3. 주의[편집]최근 랜섬웨어는 고객 응대를 한다고 하여 채팅창(사실상 게시판)을 열어두는 경우가 있는데, 거기다가 대고 공격자를 조롱하는 메시지를 보내지 않는 것이 좋다. 또한, 충분한 대비책(가령, 접속 위치 숨기기, 방화벽 사용 등)이 없이 공격자를 기만하는 행위는 위험하다. 어설픈 참교육은 도리어 본인이 감시 대상이 될 수 있으며, 그로 인해 본인은 억울할지라도 조금의 혐의점이라도 있다면 꼭 해당 사건이 아닌 다른 사건을 이유로라도 경범죄 등의 수사를 받거나 처벌을 받을 가능성이 높다. 쉽게 말해, 본인이 랜섬웨어를 추적한다고 나서다가 어느날 경찰서에서 경범죄로 소환장이 날아온다면, 더 큰일이 벌어지기 전에 사전에 막았다는 의미이므로 불평하지 말고 오히려 감사해야 한다. 만약 그런 장소를 발견했다면 건들지말고 경찰에 신고해야 한다. 3. 역사[편집]3.1. 비트코인 등장 이전[편집]▲ 랜섬웨어와 유사한 형태를 취하고 있는 DOS 시기의 악성 코드 카지노 바이러스.# 랜섬웨어 이전에도, 사용자의 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어 놓는 종류의 악성코드는 많이 있었다. 대표적인 예가 바로 위에 있는 DOS 시절의 카지노 바이러스다. 랜섬웨어와 비슷하게 하드 디스크의 FAT를 RAM에 백업해 놓고 간단한 슬롯머신 게임을 실행해 "5크레딧 이내에 잭팟 당첨"이라는 조건이 만족되지 않으면 파괴하는 형식을 취했다. 돈을 요구하지는 않고, 잭팟이 터져야 인질로 메모리에 붙잡아 뒀던 FAT를 다시 복구해 준다. 3.2. 비트코인 등장 이후[편집]대부분 Tor 기반의 결제 홈페이지를 이용하여 거래하고 비트코인으로 결제하기 때문에 범죄자 추적이 더욱 어려워졌고, 각종 랜섬웨어들이 우후죽순 생겨나 급격히 유행하기 시작했다. 이 때문에 암호 알고리즘과 비트코인(+ Tor)[22]의 조합이라고 불리기도 한다. 여기서 쓰이는 암호화 방식도 대단한데 상당수의 랜섬웨어들이 RSA-1024와 AES-128[23] 암호화 방식을 쓰는데 감이 안 온다면 요즘은 공개 키 암호화 방식은 기본으로 RSA-1024 이상을 쓰고 개인 키 암호화 방식도 3DES, AES-128이상을 보통으로 쓴다. 어쨌든 개인이 푸는 것은 불가능하다. 양자 컴퓨터를 이용하면 암호화 해제가 가능할 것이라고 하지만 아직까지는 현실적인 해법이 아니다.
결재 대금을 지불해준다고 해서 랜섬웨어를 풀어주는 것은 아니다. 풀어주지 않으며 그냥 돈만 먹튀 한다. 풀어주려고 서버에 접근한다든가 하는 행동으로 인해 경찰에 잡힐 수도 있기 때문이다. 결론은, 또 코인 때문이며 코인의 해악성만 더 부각된 셈이다. 4. 범죄자들[편집]여기에 등재된 범죄자들은 지금까지 랜섬웨어로 돈을 먹으려다가 사람들의 기지나 경찰의 추적등으로 잡힌 범죄자들이다. 재력의 유무를 따지지 않고 수많은 사람들에게 고통을 주다가 체포된 범죄자들이다. 어느면에서는 테러리스트 수준이다.[27] 체포된 범죄자 징역은 기본적으로 7년쯤은 된다는 소리가 있지만 엄벌주의인 미국에서만은 절대로 아니다.
5. 종류[편집]자세한 내용은 랜섬웨어/종류 문서 를 의 번 문단을 의 부분을 참고하십시오.6. 오해[편집]6.1. 모바일에는 랜섬웨어가 없다?[편집]컴퓨터에만 랜섬웨어가 있다고 생각하는 사람들이 있는데 모바일에선 랜섬웨어가 없다고 생각하면 큰 오산이다. 6.2. macOS는 랜섬웨어에 감염되지 않는다?[편집]
6.3. 복구 업체는 자체 기술로 데이터를 복호화할 수 있다?[편집][랜섬웨어, 걸려봤다] "100만원이면 저희는 다 복구 가능하세요" 7. 피해 사례[편집]7.1. 시기 불명[편집]불법공유 사이트인 Tcafe.net의 경우 정상적인 자료인 척 랜섬웨어를 집어넣고 배포하는 사례가 굉장히 많다. 7.2. 2015년[편집]2015년 4월 21일 새벽, 클리앙의 광고 서버가 해킹되어 랜섬웨어가 배포되었다. 클리앙 랜섬웨어 사건의 전말 우리 나라 랜섬웨어의 시초격인 사건[34]이며, 크립토락커의 한글 버전 즉 랜섬웨어에도 한글화가 되어 한국을 집중적으로 노린 공격이었다. 공격은 구 버전 플래시의 취약점을 이용하여 공격하는 방식이었으며, 사이트에 접속만 하는 별 거 아닌 행위로 랜섬웨어에 감염되고 파일들이 암호화되어 버리는 처음 보는 광경에 나름 컴덕들이었던 클리앙 이용자들이 멘붕을 일으켰다. 이 사건으로 인해 다수 클리앙의 이용자들이 피해를 입었는데, IT 커뮤니티 특성상 정보도 얻을 겸 회사 컴퓨터로 접속하는 경우도 많아, 그 바람에 회사 중요 파일들이 몽땅 암호화되는 등 피해 규모는 심각한 편이었다. 이후로 컴덕들의 플래시 및 랜섬웨어에 대한 경각심이 높아지게 되었다. 7.3. 2016년[편집]1월 10일 경에 TeslaCrypt 2.2 (.vvv, .ccc 확장자) 복호화 툴이 GitHub에 풀렸다. # 한글 사용법은 랜섬웨어침해대응센터에서 참조하면 된다. 사이트 시도해 본 결과 본 방법으로 TeslaCrypt 2.2 외에도 같은 확장자로 변경되는 CryptoWall 3.0의 복호화도 가능하다. 7.4. 2017년[편집]4월 6일, 동방 프로젝트 갤러리에 한 갤러가 '련선웨어'라고 하는 랜섬웨어를 만들었다는 글이 올라왔다.# 이 랜섬웨어의 해제 방법은 돈이 아닌, 탄막 슈팅 게임인 동방성련선을 직접 구해서 설치를 한 뒤 가장 높은 난이도인 루나틱에서 점수 2억 점 이상을 달성하는 것이다. 이 와중에 개발자 자신이 테스트 과정에서 자기 컴퓨터에 걸린 게 처음이자 마지막 감염이었다.[36] 련선웨어 문서 참고. 7.5. 2018년[편집]유튜브의 동영상을 내려받거나 MP3로 추출하는 웹사이트 Convert2mp3[39]가 CrySis 랜섬웨어에 감염되었다는 말이 나왔다. Convert를 누르면 랜섬웨어가 실행된다고 한다. 2018년 2월 5일 가상 머신에서 테스트한 결과로는 문제가 없었다고 알려졌는데, 3월 19일에 지식인에 다른 랜섬웨어인, Magniber 랜섬웨어에 감염된 걸로 의심되는 질문이 올라왔다. 이 랜섬웨어는 한국어 사용자를 대상으로 하는 랜섬웨어이다. 타 유튜브 다운로드 프로그램을 이용하는 것(4k video downloader, savefrom.net 등)을 추천한다. 7.6. 2020년[편집]캡콤이 라그나로커라는 이름의 랜섬웨어[40]에 당해 2021년의 마케팅 자료 및 스케쥴표, 개발 중인 게임의 스크린샷, 전현직 직원들의 개인정보 등이 유출되었다. 7.7. 2021년[편집]콜로니얼 파이프라인(Colonial Pipeline)이라는 석유 회사가 랜섬웨어 공격을 당해 해커 측에 약 56억원을 지불하는 사건이 일어났다. 이 회사는 미국 동부 지역 기름의 절반정도를 책임지는 대형 회사라, 소식을 들은 사람들이 주유소로 몰려들면서 어느 주는 주유소 70여곳의 기름이 순간적으로 동이 나기도 하고, 기름을 비닐봉투 등에 담아 트렁크에까지 채우는 사람, 먼저 기름을 넣기위해 몸싸움을 벌이는 사람등 온갖 천태만상이 터져나온 대형 사건이었다.관련 기사(영문) 관련 위키 7.8. 2022년[편집]2021년 중순부터, 랜섬웨어가 병원의 전산 원무 시스템과 진단 및 치료 장비에 장애를 일으켜 환자가 사망하는 실제 사례가 해외에서 보고되었다. 해당 사례가 보고된 이후 병원을 직접적으로 노리는 랜섬웨어의 등장 가능성이 제기되었고 업계에서는 2022년부터 이러한 악성코드를 킬웨어(Killware)로 명명하였다. [1] 이 사이트는 네덜란드 경찰청, 유로폴 그리고 유명 보안 업체 카스퍼스키, 인텔 시큐리티에서 시작한 랜섬웨어 감염 방지, 예방을 목표로 하는 프로젝트다. 한국어도 공식적으로 지원한다.[2] 勒索는 '강탈하다', 軟件/軟體은 '소프트웨어'를 뜻한다. 즉, 직역하면 '(돈을) 강탈하는 소프트웨어'라는 뜻이다.[3] 영어 Ransomware의 발음을 그대로 옮겼다. '란사무웨아'라고 발음한다.[4] 협박문을 담은 TXT 파일과 파일들을 압축한 .rar 파일들은 존재하는데 암호화나 변조된 파일도 없고 압축된 파일들을 열어 봐도 비밀번호도 걸리지 않았거나 바탕 화면이 바뀌었는데도 암호화, 변조된 파일이 없다면 백신에서 미리 차단한 것이다.[5] 빠른 저장장치 입출력이나 여러 방법으로 수명을 떨어트린다.[6] 명령 프롬프트가 열리지 않기 때문에 CLI 기반으로 우회해서 파일을 복사한다든지 별도의 CLI 기반 비상용 백신을 돌리는 게 불가능해진다. Malware Zero Kit(소위 mzk)도 여기서부터는 무용지물이다.[7] Windows 10 한정, 사실 Windows 10에서는 대부분의 랜섬웨어가 전부 Windows Defender에서 차단되거나 삭제하기 때문에 Windows Defender를 끄거나 프로그램을 승인하거나 업데이트를 강제로 비활성화하지 않는 이상 걸릴 확률이 낮다.[8] 백신의 언인스툴을 이용해서 삭제를 유도하거나 백신 자체를 꺼버리는 경우다. 하지만 백신도 자가 보호 기능이 있고 커널 모드에서 작동하므로 관리자 권한으로는 강제로 끌 수 없다. 또한 몇몇 백신(V3, 알약 등)은 언인스툴을 이용한 삭제를 막기 위해 보안 코드까지 입력해야 삭제가 가능하도록 되어 있다.[9] 멀웨어바이츠에서 나온 카멜레온이라는 일반적으로 차단되지 않는 프로세스(예를 들어 윈도우 탐색기, IE 등이 있다. 랜섬웨어가 돈을 받아내기 위해서는 필수적인 프로세스이므로 차단하지 않는다.)로 위장한 백신을 최후의 저항 방법으로 사용할 수 있지만, 안전 모드가 전혀 통하지 않아 업데이트에 방해를 받을 수 있다.(실제 상당수의 바이러스가 일반 모드에서의 업데이트를 방해할 수 있다.) 일단 현재 업데이트는 문제 없이 되었다. 테슬라크립트(확장자 .VVV)의 경우는 치료도 잘 됐다. 그리고 이런 게 워낙 변형된 종류가 많아서 정말로 잡힐지, 혹은 잡더라도 치료가 제대로 될 지는 알 수 없다.[10] Windows XP는 SP1까지는 방화벽 기본값이 비활성화이다. SP2에서 기본으로 켜지도록 바뀌었다.[11] 최근에는 선정적 단어로 확장자가 변환되는 사례가 발견된다. 예: fucked(Manifestus), ifuckedyou(SerbRansom), sexy(PayDay), xxx(TeslaCrypt3.0) 등이 있다. 또한 일부 랜섬웨어는 유명한 파일 확장자를 사칭하기도 한다.[12] # 등 참조.[13] Master Boot Record의 약자로, 물리 디스크의 맨 앞에 기록되어 있는 시스템 기동용 영역이다.[14] GUID Partition Table의 약자로, 물리 디스크에 대한 파티션 테이블 레이아웃 표준이다. 주로 UEFI 기반 컴퓨터에서 사용된다.[15] 한 파일에 바이러스가 2개 들어 있다. UAC 화면에서 '예'를 누르면 페트야가, '아니오'를 누르면 미샤가 실행된다.[16] 상기한 페트야와 미샤를 합친 것이다.[17] 랜섬웨어 종류에 따라 안전 모드로 진입이 되지 않는 경우가 있다.[18] Comodo Cleaning Essentials에 포함된 Comodo KillSwitch의 Quick Repair 도구를 사용하면 복구가 가능할 수도 있다. 자세한 건 이 문서 일부 참고.[19] 암호화 과정에서 사용자가 시스템을 강제 종료하여 파일이 손상되었거나, 한국에서만 주로 사용하는 한컴오피스 문서 등이 포함된다.[20] 하술할 크립토락커가 비트코인 또는 MoneyPak이라는 간편 결제 서비스로 입금을 받았다.[21] 중간에 등장하는 러시아어 메시지는 대략 '아동 포르노와 게이 포르노가 발견되어 300루블의 벌금을 부과하겠다. 웹메일(전자 지불) 계좌로 이 금액 이상을 입금하면 키를 줄 테니 아래 창에 입력한 후 문제가 되는 내용을 삭제하라. 지불하지 않으면 이 컴퓨터의 모든 데이터를 날리겠다'는 내용이다. (전문은 다음과 같다. #) 굳이 페도 옆에 게이를 언급하는 이유는 러시아 사회의 호모포비아적 성향 때문으로 보인다.[22] Tor는 해커가 받은 비트코인을 세탁할 때 필요하다.[23] 이따금 AES-256을 쓰는 경우도 보인다.[24] 또한 추적을 방지하기 위해 비트코인으로 결제를 요구한다고 한다.[25] 세계적으로 흔히 쓰이는 파일들과 달리, .hwp와 같은 한컴오피스 파일은 한국에서만 쓰니까 외국 랜섬웨어 개발자는 한컴오피스의 존재를 모르는 경우가 있어서 암호화를 안 하는 경우도 종종 있다.[26] 이렇게 모인 피해 금액이 테러 범죄에 사용된다는 분석이 있기는 하다. 결국 악순환의 연속이다.[27] 국가 중요기관에 랜섬웨어가 들어갔다고 생각해보자.[28] 레드페트야, 그린페트야, 골든아이 등.[29] 노턴 시큐리티의 서비스 회사인 Symantec이 제작한 것으로 추정되는데 어째서인지 영상 초반 지구본에서 남한만 지워져 있다.[30] 가상머신 설정에서 파일 공유를 끄면 감염되어도 윈도우만 죽고 맥은 멀쩡하다. 다만 이렇게 사용하면 다소 불편할 수 있다.[31] x86 기반 프로그램을 구동시킬 수 있는 로제타의 존재 때문에 인텔 맥을 타깃으로 하는 악성코드 역시 M1에서 그대로 동작한다.[32] 일반적인 데이터 복구는 데이터의 용량에 따라, 물리, 비물리적 방식에 따라 따로 가격표를 만들어 놓은 경우가 대부분이다.[33] 물론 업체도 이윤을 챙겨야 하기 때문에 피해자 입장에서는 해커가 제시한 가격과 다를게 없는 가격, 혹은 보다 비싼 가격으로 복호화를 진행해야 한다. 그래서 개인 피해자가 문의를 하면 십중팔구 중요한 데이터가 아니라면 포기하라고 종용한다.[34] 진짜 시초는 위에서 언급한 마이컴 고이지만 사건 정도의 피해는 찾아보지 못했다.[35] 애초에 마토메 사이트에 들어갔다가 감염되었다는 정보의 소스 자체도 어느 트위터 유저의 트윗뿐이었고 그 외에는 사례가 나오지 않았다.[36] 물론 리뷰어들이 디버깅을 한 후 일부러 가상 머신으로 실행한 건 제외한다. 이후 제작자는 밤을 새서 2억 점을 채웠다고 한다.[37] 심지어 알약에서는 Trojan.Android.Ransom.Wannacry 로 진단한다.[38] 명칭에 주의해야 한다.[39] 현재는 폐쇄됨.[40] 일단 파일에 락을 걸고 돈을 요구하는 타 랜섬웨어와는 달리 먼저 정보를 털고 난 뒤 락을 걸고 돈을 요구한다. 돈을 안 주면 해킹한 정보를 풀면서 압박하는 수법을 쓴다. 실제 저 방법에 못 이겨서 해커에게 돈을 줘버린 업체도 있다. |