해시넷
"크립토락커"의 두 판 사이의 차이
| 16번째 줄: | 16번째 줄: | ||
해당 키에 실행 파일을 등록하면 시스템을 재 부팅할 때마다 자동으로 실행이 되는데, 이 경우 사용자가 직접 파일을 찾아 삭제하지 않은 상태에서 감염된 PC의 사용자가 금액을 지불하고 파일을 복구했다고 하더라도 재감염될 가능성이 높다. | 해당 키에 실행 파일을 등록하면 시스템을 재 부팅할 때마다 자동으로 실행이 되는데, 이 경우 사용자가 직접 파일을 찾아 삭제하지 않은 상태에서 감염된 PC의 사용자가 금액을 지불하고 파일을 복구했다고 하더라도 재감염될 가능성이 높다. | ||
| − | * 네트워크 접속 : 네트워크 통신 상태를 확인하기 위해 ‘www.download.windowsupdate.com’에 접속한다. 접속이 원활하게 이루어진다면 C&C 서버에 접속하여 사용자 PC의 정보를 전달한다. 최초 접속 후에는 특정 IP 대역에 따른 ‘.txt’와 ‘.html’ 파일을 받아 오는데 IP 대역을 확인 하는 이유는 감염 또는 제외 대상 국가를 결정 하기 위해서 이다. 해당 파일들은 암호화한 파일이 있는 모든 폴더에 생성되며 [[시스템]]이 감염되었다는 메시지와 파일을 정상적으로 복원하기 위해 [[비트코인]]을 사용한 결제 방법이 설명되어 있다. 접속하는 주소는 파일마다 달라진다. | + | * [[네트워크]] 접속 : [[네트워크]] 통신 상태를 확인하기 위해 ‘www.download.windowsupdate.com’에 접속한다. 접속이 원활하게 이루어진다면 C&C 서버에 접속하여 사용자 PC의 정보를 전달한다. 최초 접속 후에는 특정 IP 대역에 따른 ‘.txt’와 ‘.html’ 파일을 받아 오는데 IP 대역을 확인 하는 이유는 감염 또는 제외 대상 국가를 결정 하기 위해서 이다. 해당 파일들은 암호화한 파일이 있는 모든 폴더에 생성되며 [[시스템]]이 감염되었다는 메시지와 파일을 정상적으로 복원하기 위해 [[비트코인]]을 사용한 결제 방법이 설명되어 있다. 접속하는 주소는 파일마다 달라진다. |
*볼륨 섀도우 카피 삭제 : 아래 명령을 실행해서 볼륨 섀도우 카피를 삭제하는데 이렇게 되면 [[윈도우]] 운영체제에서 제공하는 파일 [[백업]] 및 복원 기능을 정상적으로 사용할 수 없다. | *볼륨 섀도우 카피 삭제 : 아래 명령을 실행해서 볼륨 섀도우 카피를 삭제하는데 이렇게 되면 [[윈도우]] 운영체제에서 제공하는 파일 [[백업]] 및 복원 기능을 정상적으로 사용할 수 없다. | ||
2019년 7월 26일 (금) 16:16 판
크립토락커(CryptoLocker)마이크로소프트 윈도우 운영 체제를 사용하는 x86 컴퓨터를 대상으로 한 랜섬웨어이다.
개요
크립토락커는 2013년 9월 5일경부터 본격적으로 배포되기 시작한 것으로 여겨진다. 주로 이메일 첨부 등의 수단으로 감염되었고, 최근 크립토락커를 비롯한 대부분의 랜섬웨어는 구 버전 인터넷 익스플로러, 플래시의 취약점을 이용하여 드라이브 바이 다운로드(Drive by Download) 방식으로 감염된다.[1]
등장배경
2013년에 발생한 인질형 악성코드, 랜섬웨어의 일종으로 컴퓨터 내의 모든 파일 및 네트워크 드라이브의 파일을 RSA, AES 키로 암호를 걸어, 암호 해독 키를 대가로 돈을 요구한다. 크립토락커는 2014년 8월 글로벌 보안전문가들이 원 제작자의 서버를 추적해서 다운 시키고 복호화키를 얻으면서, 일단 세계적으로 조금 잠잠해진 상태였다. 이 때문에 2015년에는 크립토락커 보다는 크립토락커와 크립토월을 조합한 테슬라크립트가 더 주목받고 있었던 상황이었다. 그런데 2015년 4월 19일을 기준으로 왈도체 한글로 된 크립토 락커가 발생하였다. 특히 4월 21일 새벽 인터넷 커뮤니티인 클리앙이 감염되면서, 감염 컴퓨터가 대규모로 발생하였다. 이번 감염은 접속만 하면 감염되는 종류로 확인되면서, 보안 업데이트를 미룬 개인과 기업 컴퓨터가 다수 감염된 것으로 보인다. 인터넷 익스플로러와 플래시의 보안 약점을 파고든 것으로 밝혀졌다. 안랩에서는 광고 배너 플래시를 통해 악성 코드가 퍼진 것으로 추측했다.[2]
특징
크립토락커에 감염되면 암호화된 파일들을 복원하기 위해 한화 약 438,900원의 비트코인을 요구한다. 피해자들이 쉽게 비용을 지급할 수 있도록 결제 방법을 상세하게 설명하고 있으며, 실제 복원이 가능함을 증명하기 위해 암호화된 파일 중 1개의 파일을 무료로 복호화해준다. 이를 통해 악성코드 제작자는 중요한 파일을 암호화하여 사용자에게 금전을 유도하고 있다. 크립토락커가 실행이 되면 자가 복제 및 자동 실행을 위한 등록을 하며, 이후 정상 ‘explorer.exe’ 프로세스를 실행하고 C&C 서버 통신 및 파일을 암호화하는 주요 기능을 포함한 PE(Portable Executable) 파일을 인젝션해 동작한다.
- 자동 실행 : 실행 시 %WINDOWS% 폴더에 자가 복제를 수행하며 다음과 같은 레지스트리 키에 등록한다.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<랜덤명>
해당 키에 실행 파일을 등록하면 시스템을 재 부팅할 때마다 자동으로 실행이 되는데, 이 경우 사용자가 직접 파일을 찾아 삭제하지 않은 상태에서 감염된 PC의 사용자가 금액을 지불하고 파일을 복구했다고 하더라도 재감염될 가능성이 높다.
- 네트워크 접속 : 네트워크 통신 상태를 확인하기 위해 ‘www.download.windowsupdate.com’에 접속한다. 접속이 원활하게 이루어진다면 C&C 서버에 접속하여 사용자 PC의 정보를 전달한다. 최초 접속 후에는 특정 IP 대역에 따른 ‘.txt’와 ‘.html’ 파일을 받아 오는데 IP 대역을 확인 하는 이유는 감염 또는 제외 대상 국가를 결정 하기 위해서 이다. 해당 파일들은 암호화한 파일이 있는 모든 폴더에 생성되며 시스템이 감염되었다는 메시지와 파일을 정상적으로 복원하기 위해 비트코인을 사용한 결제 방법이 설명되어 있다. 접속하는 주소는 파일마다 달라진다.
vssadmin.exe Delete Shadows /All /Quiet
- 파일 암호화 : 랜섬웨어의 가장 특징적인 기능으로 사용자의 중요 파일들을 암호화하는데 아래에 리스트 되어있는 확장자를 가진 파일과 폴더는 대상에서 제외된다. 그리고 이동식 드라이브와 네트워크 드라이브에 있는 파일도 암호화 대상이 되며 암호화가 완료된 파일에는 확장자 뒤에 ‘.encrypted’ 문자열이 붙게 된다.
- 제외 대상 확장자 : .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp, .txt, .html
- 제외 대상 폴더
- %Program Files%0
- %ProgramW6432%
- C:\WINDOWS
- C:\Documents and Settings\사용자계정\Application Data
- C:\Documents and Settings\사용자계정\Local Settings\Application Data
- C:\Documents and Settings\All Users\Application Data
- C:\Documents and Settings\사용자계정\Cookies
- C:\Documents and Settings\사용자계정\Local Settings\History
- C:\Documents and Settings\사용자계정\Local Settings\Temporary Internet Files[3]
종류
- 초창기 랜섬웨어 : 랜섬웨어의 감염 사례는 2005년에서 2006년 사이에 러시아에서 처음 확인되었다. 2006년 당시 이 랜섬웨어 변종(TROJ_CRYZIP.A로 명명되었다)은 특정 유형의 파일들을 압축한 후 덮어쓰기 하였고 이로써 사용자의 시스템에는 암호가 설정된 zip 파일들만 남게 되는 것이다. 그리고 300달러를 지불하면 파일을 복원시켜 주겠다는 내용의 메시지가 담긴 노트패드를 남겼다. 초창기의 랜섬웨어는 특정 파일 유형(.DOC, .XL, .DLL, .EXE 등)을 암호화한 평범한 파일이었다. 2011년에는 SMS 랜섬웨어 위협에 대해 보고하였는데 이 랜섬웨어의 경우 감염된 시스템을 사용하는 사용자에게 프리미엄 SMS 번호로 전화를 걸도록 요구하였다. TROJ_RANSOM.QOWA로 명명된 이 변종은 사용자가 프리미엄 번호로 전화를 걸어 비용을 지불할 때까지 반복적으로 랜섬웨어 페이지를 표시한다. 이 랜섬웨어가 취약한 시스템의 MBR(마스터 부트 레코드)을 감염시킨다는 사실을 확인하게 되었고, MBR을 표적으로 하는 이 변종은 운영 체제가 실행되지 못하도록 하며 이를 위해 본래의 MBR을 복사한 후 악성 코드로 덮어쓰기 한다. 그런 다음에는 시스템을 감염시키기 위해 자동으로 재부팅하는데 시스템이 재부팅되면 랜섬웨어가 러시아어로 된 알림 메시지를 표시한다.
- 레베톤(Reveton) 랜섬웨어 : 크립토락커가 등장하기 전, 2012년에 등장한 레베톤(폴리스 랜섬웨어 또는 폴리스 트로얀이라고도 불린다)은 법 집행기관을 가장한 랜섬웨어이다. 이 멀웨어는 피해자 지역의 경찰국에서 사용하는 알림 페이지를 표시하며 온라인 상에서의 불법 행위 또는 악의적 행위로 인해 체포 영장이 발부되었다는 내용을 통보한다. 사용자의 관할 경찰국을 알아내기 위해 레베톤 변종들은 피해자의 지리적 위치를 추적한다. 즉, 미국에 사는 피해자는 FBI의 통보 메시지를 수신하게 되고 프랑스에 사는 피해자는 Gendarmerie Nationale의 통보 메시지를 수신하게 된다는 것이다. 레베톤 변종은 초창기 랜섬웨어 공격과는 달리 다양한 지불 방식을 이용하는데 시스템이 레베톤 변종에 감염되면, 사용자는 UKash, PaySafeCard 또는 MoneyPak으로 비용을 지불해야 한다. 이러한 지불 방식들은 랜섬웨어 범죄자들의 익명성을 보장해주며 Ukash와 PaySafeCard의 경우 자금 추적이 어렵다. 이후 새로운 기법을 구사하는 다른 유형의 레베톤 변종을 발견하였으며 하반기에는 피해자의 모국어를 이용한 음성 녹음을 재생시키는 변종들과 가짜 디지털 인증서를 이용하는 변종들도 발견되었다.[4]
대안
- 크립토락커 치료법 : 트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)은 온라인뱅킹 정보탈취 악성코드 P2PZeus와 파일을 암호화한 뒤 몸값을 요구하는 크립토락커에 감염되었는지 검사하고 위협 발견 시 제거할 수 있는 온라인 보안 프로그램이다. 사용하고 있는 윈도우 시스템에 따라 32비트, 64비트로 파일을 다운받을 수 있다. 이 프로그램은 설치 과정 없이 실행 파일만 클릭하면 바로 사용할 수 있는 포터블 버전으로 편리하게 사용이 가능하며, 홈페이지에서 32비트 또는 64비트를 선택하고 ‘I Accept’ 버튼을 누르면 ‘THREAT CLEAN 32.exe’ 또는 ‘THREAT CLEAN 64.exe’ 파일이 다운로드 할 수 있다. 트렌드마이크로 위협 제거 툴을 실행하기 전에 먼저 윈도우를 재부팅하고 ‘F8’을 눌러 윈도우 부팅 옵션에서 ‘안전모드 with 네트워크’로 부팅을 한 후, 설치된 트렌드마이크로 위협 제거 툴 파일을 실행한다. 안전모드에서 트렌드마이크로 위협 제거 툴을 실행하고 프로그램 우측에 위치하는 Scan Now 버튼을 누르면 크립토락커 감염 검사가 시작된다. 또한 온라인뱅킹 정보탈취 악성코드 P2PZeus의 검사도 가능하다. 검사 후 바이러스나 악성코드가 검색되었다면 제거한 뒤에 노말 모드로 재부팅하면 크립토락커 랜섬웨어의 제거는 완료된다.
- 감염된 파일 복구법 : FireEye(파이어아이)와 Fox IT에서 암호화된 파일을 풀 수 있는 복원화 서비스를 제공하고 있다. 자신의 이메일 주소를 입력하고 크립토락커에 감염된 파일을 첨부하면 입력했던 메일로 해독키와 리커버리 프로그램 다운로드 링크를 받을 수 있다. 단, 감염된 파일 당 하나의 해독키가 있기 때문에 여러 파일이 감염되었을 경우 이 과정을 여러 번 반복해야하는 번거로움이 있다.
- 크립토락커 예방법
- 운영체제와 각종 응용프로그램을 보안 업데이트 : MS OS 업데이트를 포함하여 인터넷 익스플로러, 자바, 플래쉬 등 대표적 프로그램들은 항상 업데이트를 하여 최신 버전을 유지해야 한다. 이번 한글판 랜섬웨어의 공격에서도 크롬이나 파이어폭스 같은 보안이 강화된 웹브라우저를 사용한 유저들은 위험을 피할 수 있었고, 대부분의 바이러스들은 윈도우 운영체제와 인터넷 익스플로러의 취약점을 악용해 침투하기 때문에 보안이 강회된 운영체제와 웹브라우저를 사용하는 것도 하나의 예방법이 될 수 있다.
- 중요한 문서와 파일을 백업 : PC에 안티 바이러스 프로그램을 깔아놨다고 해서 랜섬웨어를 피해갈 수 있을 거라는 보장은 할 수 없다. 외장하드나 이동식 디스크 등 제3의 저장장치를 이용해 중요한 파일을 수시로 백업시켜둔다면 나중에 파일들이 손상되더라도 백업 시켜둔 파일로 인해 그 피해를 최소화할 수 있다.
- 출처가 불분명한 메일 실행금지 : 보안기업 안랩에서는 랜섬웨어 대부분이 스팸메일을 통해 확산된다고 했다. 발신인이 확인되지 않으면서 사용자의 호기심을 이끄는 메일 제목일 경우 스팸성 메일로 의심하며 클릭하지 않고 삭제하는 것이 좋으며, 지인의 메일이라도 한 번 더 확인해야 한다. 또한 중요한 문서의 경우에는 '읽기전용'으로 읽으며 수상한 웹사이트의 방문은 자제하는 것이 좋다.
랜섬웨어는 인터넷 익스플로러 구버전 사용률이 높고 보안의식이 취약한 국내 환경을 노린 바이러스이기 때문에 운영 체제의 최신버전 유지나 백신 프로그램으로 기본적 보완조치만 한다면 문제될 것이 없다고 한다.[5]
각주
- ↑ 〈크립토락커〉, 《위키백과》
- ↑ Andrew Shin, 〈랜섬웨어와 크립토락커에 대해 알아보자〉, 《티스토리》, 2015-12-09
- ↑ AhnLab 공식 홈페이지 - http://a.to/19NKfAC
- ↑ TREND MICRO 공식 홈페이지 - http://a.to/19S9wMY
- ↑ SK broadband 공식 블로그, 〈한국판 랜섬웨어 '크립토락커' 피해와 예방법〉, 《티스토리》, 2018-05-28
참고자료
- DAN GOODIN, 〈감염되었음-데이터를 다시 보려면 비트코인으로 300달러를 지불하십시오.〉, 《Ars Technica》, 2013-10-18
- Andrew Shin, 〈랜섬웨어와 크립토락커에 대해 알아보자〉, 《티스토리》, 2015-12-09
- KISA 인터넷 보호나라 & KrCERT 공식 홈페이지 - https://www.krcert.or.kr/ransomware/information.do
- AhnLab 공식 홈페이지 - http://a.to/19NKfAC
- SK broadband 공식 블로그, 〈한국판 랜섬웨어 '크립토락커' 피해와 예방법〉, 《티스토리》, 2018-05-28
- TREND MICRO 공식 홈페이지 - http://a.to/19S9wMY
같이보기
