"크립토락커"의 두 판 사이의 차이

2019년 8월 5일 (월) 16:33 기준 최신판

크립토락커 비트코인 결제 요구

크립토락커(CryptoLocker)는 마이크로소프트 윈도우 운영체제를 사용하는 x86 컴퓨터를 대상으로 한 랜섬웨어 트로이목마이다.

개요[편집]

크립토락커는 2013년 9월 5일경부터 본격적으로 배포되기 시작한 것으로 여겨진 인질형 악성코드로 랜섬웨어의 일종이다. OS 파일을 포함한 컴퓨터 내의 모든 파일과 네트워크 드라이브의 파일을 RSA, AES 키로 암호화하고, 암호해독 키를 대가로 돈을 요구하는데, 추적을 피하기 위해 주로 비트코인 등의 암호화폐를 요구한다. 예전 버전에는 300달러라고 표기되어 있었지만, 최근에는 1BTC을 요구한다. 지불까지는 일주일 정도의 시간제한이 있으며, 정해진 시간 안에 복호화 프로그램을 구매하지 않으면 가격이 두 배로 상승한다.^[1]

등장배경[편집]

2013년에 등장해 일반 사용자들에게 막대한 영향을 끼친 크립토락커는 2014년 8월 글로벌 보안 전문가들이 원 제작자의 서버를 추적해서 다운 시키고 복호화 키를 얻어내 세계적으로 잠잠해진 상태였다. 이 때문에 2015년에는 크립토락커 보다는 크립토락커와 크립토월(Cryptowall)을 조합한 테슬라크립트(TeslaCrypt)가 더 주목을 받기도 했다. 그런데 2015년 4월 19일을 기준으로 왈도체 한글로 된 크립토 락커가 발생했다. 특히 4월 21일 새벽, 인터넷 포럼인 클리앙(CLIEN)이 감염되면서, 감염 컴퓨터가 대규모로 발생하였다. 해당 크립토락커는 접속만 하면 감염되는 종류로 확인되면서, 보안 업데이트를 미룬 개인 컴퓨터와 기업 컴퓨터가 다수 감염된 것으로 보고됐다. 이는 인터넷 익스플로러와 플래시의 보안 약점을 파고든 공격으로, 안랩(Ahnlab)에서는 해당 공격의 유입 경로를 광고 배너 플래시를 통해 악성코드가 퍼진 것으로 추측했다.^[1]

특징[편집]

공격 원리[편집]

공격대상 파일 검색 : 감염이 되었다고 가정할 때 랜섬웨어가 가장 처음으로 하는 것은 공격 대상이 되는 파일을 검색하는 것이다. 공격자의 입장에서 피해자가 복원을 위해 요금을 지불하겠다는 의도를 성공적으로 발생시키기 위해서는 중요한 정보를 포함할 수 있는 파일을 최대한 많이 암호화시켜버리는 것이다. 이러한 작업을 위해서는 먼저 암호화시킬 대상 파일을 검색하는 것이 선행되어야 한다.

파일 암호화 : 암호화할 파일 대상을 선별한 후 랜섬웨어는 본격적으로 데이터를 볼모로 잡기 위한 암호화 작업을 수행하게 된다. 이때 사용되는 알고리즘은 자체 제작된 알고리즘일 수도 있고, 이미 널리 이용되는 암호화 알고리즘일 수도 있다. 기본적으로 양방향 암호화는 암호화를 하기 위한 키와 복호화를 하기 위한 키가 동일하게 사용된다. 공격자 입장에서 가장 단순하게 만들 수 있는 방법은 모든 대상 파일에 대해 동일한 암호화 알고리즘을 사용해 처리하는 방법이다. 이 경우 암호화 및 복호화를 위한 키도 단 한 개뿐이어서 여러 가지 조치를 하지 않아도 되지만, 공격자가 만든 프로그램이 단시간 내에 분석이 된다면 피해자는 자신이 아른 다른 사람에 의해 자료를 복원할 가능성이 높아져 수익으로 연결이 이루어지지 않을 가능성이 높다. 공격자는 공격을 성공시켜 자신이 아닌 제3자는 암호를 풀지 못하도록 해야 수익창출의 가능성이 높아지기 때문에 수고로움을 감수하더라도 좀 더 복잡한 암호화 처리를 고려하게 된다. 한 대의 컴퓨터 안에서 다양한 암호화키를 만들어 암호화 처리가 이루어지도록 한다.

고정키 암호화 : 고정키 암호화 방식은 가장 단순한 방식으로 사실상 테스트 또는 교육의 목적으로 만들어진 랜섬웨어가 아닌 이상 찾아보기 힘들며 랜섬웨어 자체 또는 처리 과정에서 각 파일이나 환경에 변화하지 않는 고정된 단일키로 암호화가 수행된다.

다이나믹키 암호화 : 다이나믹키 암호화는 암호화를 위한 키가 다이나믹하게 변화하는 방식을 의미하는데 시스템의 환경이나 파일명, 속성 등을 고려해 그때마다 다른 암호화키를 만들어 사용하는 방법이다.

암호화 키 생성 : 공격자는 보수를 받고 데이터를 복원해 주며 정상적으로 데이터를 복원해 주었다는 사례가 많아지면 다른 피해자가 신뢰하여 복원해 달라는 협상의 요청이 발생할 가능성이 크기 때문에 복원의 필요성을 무시할 수 없다. 공격자가 특정한 서버를 구성하고 해당 서버에 암호화 키를 전송한 후 감염된 컴퓨터에 키를 보관하지 않으면 분석을 통해 복원 프로그램이 만들어지는 것은 어느 정도 예방할 수 있지만 반대로 자신이 구축한 서버가 공격당할 여지가 생긴다.

암호화 키 서버 전달 : 공격자가 자신이 공격당할 가능성에도 불구하고 어떠한 대안을 마련하여 별도의 서버에 감염된 파일을 복원하기 위한 암호화 키를 수집하고, 감염된 컴퓨터에는 남겨두지 않는다면 피해를 복원할 수 있는 가능성은 매우 낮아진다. 암호화를 위한 키의 생성은 암호 분석가가 사용하는 알고리즘이나 특정 조건 등을 모두 분석한다고 하더라도 복원을 위한 키를 가지고 있지 않기 때문에 피해를 입은 파일을 복구 할 수 없는 상황이 초래된다.

파일 이동 : 어느 정도 파일의 암호화에 성공했다고 판단이 되면 공격자는 피해자에게 공격당했다는 사실을 알리기 위해 바탕화면 위치에 파일을 이동시킨다.

감염 안내 및 복구 방법 메시지 출력 : 피해자가 바탕화면에 옮겨진 파일들을 발견하고 가시적으로 이상하다는 증상을 확인하게 되면 자신의 자료가 정상적으로 열리거나 확인되지 않는다는 사실에 당황하게 된다. 이때 공격자는 피해자에게 자료를 암호화 하였으니 복원을 하고싶으면 금전적인 비용을 지불하라고 하는 안내메시지를 보낸다.^[2]

공격 절차[편집]

크립토락커에 감염되면 암호화된 파일들을 복원하기 위해 한화 약 438,900원의 비트코인을 요구한다. 피해자들이 쉽게 비용을 지급할 수 있도록 결제 방법을 상세하게 설명하고 있으며, 실제 복원이 가능함을 증명하기 위해 암호화된 파일 중 1개의 파일을 무료로 복호화해준다. 악성코드 제작자는 특시 사용자의 중요한 파일을 암호화하여 사용자에게 금전을 유도하고 있다. 크립토락커가 실행이 되면 자가 복제 및 자동 실행을 위한 등록을 하며, 이후 정상 ‘explorer.exe’ 프로세스를 실행하고 C&C 서버 통신 및 파일을 암호화하는 주요 기능을 포함한 PE(Portable Executable) 파일을 인젝션해 동작한다.

자동 실행 : 실행 시 %WINDOWS% 폴더에 자가 복제를 수행하며 다음과 같은 레지스트리 키에 등록한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<랜덤명>

해당 키에 실행 파일을 등록하면 시스템을 재부팅할 때마다 자동으로 실행이 되는데, 이 경우 사용자가 직접 파일을 찾아 삭제하지 않은 상태에서 감염된 컴퓨터의 사용자가 금액을 지불하고 파일을 복구했다고 하더라도 재감염될 가능성이 높다.

네트워크 접속 : 네트워크 통신 상태를 확인하기 위해 ‘www.download.windowsupdate.com’에 접속한다. 접속이 원활하게 이루어진다면 C&C 서버에 접속하여 사용자 컴퓨터 정보를 전달한다. 최초 접속 후에는 특정 아이피(IP) 대역에 따른 ‘.txt’와 ‘.html’ 파일을 받아 오는데, 아이피 대역을 확인 하는 이유는 감염 또는 제외 대상 국가를 결정하기 위해서다. 해당 파일들은 암호화한 파일이 있는 모든 폴더에 생성되며 시스템이 감염되었다는 메시지와 파일을 정상적으로 복원하기 위해 비트코인을 사용한 결제 방법이 설명되어 있다. 접속하는 주소는 파일마다 달라진다.

볼륨 섀도우 카피 삭제 : 아래 명령을 실행해서 볼륨 섀도우 카피를 삭제하는데 이렇게 되면 윈도우 운영체제에서 제공하는 파일 백업 및 복원 기능을 정상적으로 사용할 수 없다.

vssadmin.exe Delete Shadows /All /Quiet

파일 암호화 : 랜섬웨어의 가장 특징적인 기능으로 사용자의 중요 파일들을 암호화하는데 아래에 리스트 되어있는 확장자를 가진 파일과 폴더는 대상에서 제외된다. 그리고 이동식 드라이브와 네트워크 드라이브에 있는 파일도 암호화 대상이 되며 암호화가 완료된 파일에는 확장자 뒤에 ‘.encrypted’ 문자열이 붙게 된다.

제외 대상 확장자 : .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp, .txt, .html

제외 대상 폴더

%Program Files%0
%ProgramW6432%
C:\WINDOWS
C:\Documents and Settings\사용자계정\Application Data
C:\Documents and Settings\사용자계정\Local Settings\Application Data
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\사용자계정\Cookies
C:\Documents and Settings\사용자계정\Local Settings\History
C:\Documents and Settings\사용자계정\Local Settings\Temporary Internet Files^[3]

대안[편집]

크립토락커 예방법

크립토락커를 예방하기 위해 운영체제와 각종 응용프로그램의 보안 업데이트를 주기적으로 해야 한다. 이 업데이트는 MS 및 OS 업데이트를 포함하여 인터넷 익스플로러, 자바(Java), 플래시(Flash) 등 대표적 프로그램을 항상 업데이트하여 최신 버전을 유지해야 한다. 한글판 랜섬웨어의 공격에서도 크롬이나 파이어폭스 같은 보안이 강화된 웹브라우저를 사용한 유저들은 위험을 피할 수 있었고, 대부분의 바이러스들은 윈도우 운영체제와 인터넷 익스플로러의 취약점을 악용해 침투하기 때문에 보안이 강회된 운영체제와 웹브라우저를 사용하는 것도 하나의 예방법이 될 수 있다.

중요한 문서와 파일을 백업 : 컴퓨터에 안티 바이러스 프로그램을 설치했다고 해서 랜섬웨어를 피해갈 수 있을 거라고 보장할 수 없다. 외장하드나 이동식 디스크 등 제3의 저장장치를 이용해 중요한 파일을 수시로 백업한다면 이후에 파일들이 손상되더라도 백업해놓은 파일로 인해 그 피해를 최소화할 수 있다.

출처가 불분명한 메일 실행금지 : 백신 소프트웨어 개발 및 인터넷 보안시스템 공급업체인 안랩에서는 랜섬웨어 대분이 스팸메일을 통해 확산된다고 밝혔다. 발신인이 확인되지 않으면서 사용자의 호기심을 이끄는 메일 제목일 경우 스팸성 메일로 의심하며 클릭하지 않고 삭제하는 것이 좋으며, 지인의 메일이라도 한 번 더 확인해야 한다. 또한 중요한 문서의 경우에는 '읽기전용'으로 읽으며 수상한 웹사이트의 방문은 자제하는 것이 좋다.^[4]

크립토락커 치료법

트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)은 온라인뱅킹 정보탈취 악성코드 P2PZeus와 파일을 암호화한 뒤 몸값을 요구하는 크립토락커에 감염되었는지 검사하고 위협 발견 시 제거할 수 있는 온라인 보안 프로그램이다. 사용하고 있는 윈도우 시스템에 따라 32비트, 64비트로 파일을 다운받을 수 있다. 이 프로그램은 설치 과정 없이 실행 파일만 클릭하면 바로 사용할 수 있는 포터블 버전으로 편리하게 사용이 가능하며, 홈페이지에서 32비트 또는 64비트를 선택하고 ‘I Accept’ 버튼을 누르면 ‘THREAT CLEAN 32.exe’ 또는 ‘THREAT CLEAN 64.exe’ 파일을 다운로드 할 수 있다. 트렌드마이크로 위협 제거 툴을 실행하기 전에 먼저 윈도우를 재부팅하고 ‘F8’을 눌러 윈도우 부팅 옵션에서 ‘안전모드 with 네트워크’로 부팅을 한 후, 설치된 트렌드마이크로 위협 제거 툴 파일을 실행한다. 안전모드에서 트렌드마이크로 위협 제거 툴을 실행하고 프로그램 우측에 위치하는 Scan Now 버튼을 누르면 크립토락커 감염 검사가 시작된다. 또한 온라인뱅킹 정보탈취 악성코드 P2PZeus의 검사도 가능하다. 검사 후 바이러스나 악성코드가 검색되었다면 제거한 뒤에 노말 모드로 재부팅하면 크립토락커 랜섬웨어의 제거는 완료된다.

감염 파일 복구

FireEye(파이어아이)와 폭스아이티(Fox IT)에서 암호화된 파일을 풀 수 있는 복원화 서비스를 제공하고 있다. 자신의 이메일 주소를 입력하고 크립토락커에 감염된 파일을 첨부하면 입력했던 메일로 해독키와 리커버리 프로그램 다운로드 링크를 받을 수 있다. 단, 감염된 파일 당 하나의 해독 키가 있기 때문에 여러 파일이 감염되었을 경우 이 과정을 여러번 반복해야 하는 번거로움이 있다.

각주[편집]

↑ ^1.0 ^1.1 Andrew Shin, 〈랜섬웨어와 크립토락커에 대해 알아보자〉, 《티스토리》, 2015-12-09
↑ Kinesis, 〈해킹보안 : 랜섬웨어 목적 및 원리 이해하기 #02〉, 《티스토리》, 2016-07-05
↑ AhnLab 공식 홈페이지 - http://a.to/19NKfAC
↑ SK broadband 공식 블로그, 〈한국판 랜섬웨어 '크립토락커' 피해와 예방법〉, 《티스토리》, 2018-05-28

참고자료[편집]

DAN GOODIN, 〈감염되었음-데이터를 다시 보려면 비트코인으로 300달러를 지불하십시오.〉, 《Ars Technica》, 2013-10-18
Andrew Shin, 〈랜섬웨어와 크립토락커에 대해 알아보자〉, 《티스토리》, 2015-12-09
KISA 인터넷 보호나라 & KrCERT 공식 홈페이지 - https://www.krcert.or.kr/ransomware/information.do
AhnLab 공식 홈페이지 - http://a.to/19NKfAC
SK broadband 공식 블로그, 〈한국판 랜섬웨어 '크립토락커' 피해와 예방법〉, 《티스토리》, 2018-05-28
TREND MICRO 공식 홈페이지 - http://a.to/19S9wMY
Kinesis, 〈해킹보안 : 랜섬웨어 목적 및 원리 이해하기 #02〉, 《티스토리》, 2016-07-05

같이 보기[편집]

이 크립토락커 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[.ED.8B.B0.EC.8A.A4.ED.86.A0.EB.A6.AC-1] 1.0 ^1.1 Andrew Shin, 〈랜섬웨어와 크립토락커에 대해 알아보자〉, 《티스토리》, 2015-12-09

[2] Kinesis, 〈해킹보안 : 랜섬웨어 목적 및 원리 이해하기 #02〉, 《티스토리》, 2016-07-05

[3] AhnLab 공식 홈페이지 - http://a.to/19NKfAC

[4] SK broadband 공식 블로그, 〈한국판 랜섬웨어 '크립토락커' 피해와 예방법〉, 《티스토리》, 2018-05-28

[1]

[2]

[3]

[4]

@@ 1번째 줄: / 1번째 줄: @@
-[[파일:크립토락커.jpg|썸네일|400픽셀|'''크립토락커''' 비트코인 결제 요구]]
+[[파일:크립토락커.jpg|썸네일|500픽셀|'''크립토락커''' 비트코인 결제 요구]]
-'''크립토락커'''(CryptoLocker)[[마이크로소프트]] 윈도우 운영 체제를 사용하는 x86 컴퓨터를 대상으로 한 [[랜섬웨어]]이다.
+'''크립토락커'''<!--크립토 락커, CryptoLocker, 크립토라커-->(CryptoLocker)는 [[마이크로소프트]] [[윈도우]] 운영체제를 사용하는 [[x86]] 컴퓨터를 대상으로 한 [[랜섬웨어]] [[트로이목마]]이다.
 ==개요==
-크립토락커는 2013년 9월 5일경부터 본격적으로 배포되기 시작한 것으로 여겨진다. 주로 이메일 첨부 등의 수단으로 감염되었고, 최근 크립토락커를 비롯한 대부분의 [[랜섬웨어]]는 구 버전 인터넷 익스플로러, 플래시의 취약점을 이용하여 드라이브 바이 다운로드(Drive by Download) 방식으로 감염된다.<ref>〈[https://ko.wikipedia.org/wiki/%ED%81%AC%EB%A6%BD%ED%86%A0%EB%9D%BD%EC%BB%A4#cite_note-ars-cryptolocker-1 크립토락커]〉, 《위키백과》</ref>
+크립토락커는 2013년 9월 5일경부터 본격적으로 배포되기 시작한 것으로 여겨진 인질형 악성코드로 랜섬웨어의 일종이다. [[OS]] [[파일]]을 포함한 컴퓨터 내의 모든 파일과 네트워크 드라이브의 파일을 [[RSA]], [[AES]] [[키]]로 암호화하고, [[암호해독]] 키를 대가로 돈을 요구하는데, 추적을 피하기 위해 주로 [[비트코인]] 등의 [[암호화폐]]를 요구한다. 예전 버전에는 300달러라고 표기되어 있었지만, 최근에는 1BTC을 요구한다. 지불까지는 일주일 정도의 시간제한이 있으며, 정해진 시간 안에 [[복호화]] [[프로그램]]을 구매하지 않으면 가격이 두 배로 상승한다.<ref name ="티스토리">Andrew Shin, 〈[https://andrew0409.tistory.com/126 랜섬웨어와 크립토락커에 대해 알아보자]〉, 《티스토리》, 2015-12-09</ref>
 == 등장배경 ==
-년에 발생한 인질형 악성코드, [[랜섬웨어]]의 일종으로 컴퓨터 내의 모든 파일 및 네트워크 드라이브의 파일을 RSA, AES 키로 암호를 걸어, 암호 해독 키를 대가로 돈을 요구한다. 크립토락커는 2014년 8월 글로벌 보안전문가들이 원 제작자의 서버를 추적해서 다운 시키고 복호화키를 얻으면서, 일단 세계적으로 조금 잠잠해진 상태였다. 이 때문에 2015년에는 크립토락커 보다는 크립토락커와 크립토월을 조합한 테슬라크립트가 더 주목받고 있었던 상황이었다. 그런데 2015년 4월 19일을 기준으로 왈도체 한글로 된 크립토 락커가 발생하였다. 특히 4월 21일 새벽 인터넷 커뮤니티인 클리앙이 감염되면서, 감염 컴퓨터가 대규모로 발생하였다. 이번 감염은 접속만 하면 감염되는 종류로 확인되면서, 보안 업데이트를 미룬 개인과 기업 컴퓨터가 다수 감염된 것으로 보인다. 인터넷 익스플로러와 플래시의 보안 약점을 파고든 것으로 밝혀졌다. 안랩에서는 광고 배너 플래시를 통해 [[악성 코드]]가 퍼진 것으로 추측했다.<ref>Andrew Shin, 〈[https://andrew0409.tistory.com/126 랜섬웨어와 크립토락커에 대해 알아보자]〉, 《티스토리》, 2015-12-09</ref>
+년에 등장해 일반 사용자들에게 막대한 영향을 끼친 크립토락커는 2014년 8월 글로벌 보안 전문가들이 원 제작자의 서버를 추적해서 다운 시키고 복호화 키를 얻어내 세계적으로 잠잠해진 상태였다. 이 때문에 2015년에는 크립토락커 보다는 크립토락커와 [[크립토월]](Cryptowall)을 조합한 [[테슬라크립트]](TeslaCrypt)가 더 주목을 받기도 했다. 그런데 2015년 4월 19일을 기준으로 왈도체 한글로 된 크립토 락커가 발생했다. 특히 4월 21일 새벽, 인터넷 포럼인 클리앙(CLIEN)이 감염되면서, 감염 컴퓨터가 대규모로 발생하였다. 해당 크립토락커는 접속만 하면 감염되는 종류로 확인되면서, [[보안]] [[업데이트]]를 미룬 개인 컴퓨터와 기업 컴퓨터가 다수 감염된 것으로 보고됐다. 이는 인터넷 [[익스플로러]]와 [[플래시]]의 보안 약점을 파고든 공격으로, [[안랩]](Ahnlab)에서는 해당 공격의 유입 경로를 광고 배너 플래시를 통해 [[악성코드]]가 퍼진 것으로 추측했다.<ref name ="티스토리"></ref>
 == 특징 ==
-크립토락커에 감염되면 [[암호화]]된 파일들을 복원하기 위해 한화 약 438,900원의 비트코인을 요구한다. 피해자들이 쉽게 비용을 지급할 수 있도록 결제 방법을 상세하게 설명하고 있으며, 실제 복원이 가능함을 증명하기 위해 [[암호화]]된 파일 중 1개의 파일을 무료로 복호화해준다. 이를 통해 악성코드 제작자는 중요한 파일을 [[암호화]]하여 사용자에게 금전을 유도하고 있다. 크립토락커가 실행이 되면 자가 복제 및 자동 실행을 위한 등록을 하며, 이후 정상 ‘explorer.exe’ 프로세스를 실행하고 C&C 서버 통신 및 파일을 암호화하는 주요 기능을 포함한 PE(Portable Executable) 파일을 인젝션해 동작한다.
+===공격 원리===
+* '''공격대상 파일 검색''' : 감염이 되었다고 가정할 때 랜섬웨어가 가장 처음으로 하는 것은 공격 대상이 되는 파일을 검색하는 것이다. 공격자의 입장에서 피해자가 복원을 위해 요금을 지불하겠다는 의도를 성공적으로 발생시키기 위해서는 중요한 정보를 포함할 수 있는 파일을 최대한 많이 암호화시켜버리는 것이다. 이러한 작업을 위해서는 먼저 암호화시킬 대상 파일을 검색하는 것이 선행되어야 한다.
+* '''파일 암호화''' : 암호화할 파일 대상을 선별한 후 랜섬웨어는 본격적으로 [[데이터]]를 볼모로 잡기 위한 암호화 작업을 수행하게 된다. 이때 사용되는 알고리즘은 자체 제작된 [[알고리즘]]일 수도 있고, 이미 널리 이용되는 [[암호화 알고리즘]]일 수도 있다. 기본적으로 [[양방향 암호화]]는 암호화를 하기 위한 키와 복호화를 하기 위한 키가 동일하게 사용된다. 공격자 입장에서 가장 단순하게 만들 수 있는 방법은 모든 대상 파일에 대해 동일한 암호화 알고리즘을 사용해 처리하는 방법이다. 이 경우 암호화 및 복호화를 위한 키도 단 한 개뿐이어서 여러 가지 조치를 하지 않아도 되지만, 공격자가 만든 프로그램이 단시간 내에 분석이 된다면 피해자는 자신이 아른 다른 사람에 의해 자료를 복원할 가능성이 높아져 수익으로 연결이 이루어지지 않을 가능성이 높다. 공격자는 공격을 성공시켜 자신이 아닌 제3자는 암호를 풀지 못하도록 해야 수익창출의 가능성이 높아지기 때문에 수고로움을 감수하더라도 좀 더 복잡한 암호화 처리를 고려하게 된다. 한 대의 컴퓨터 안에서 다양한 암호화키를 만들어 암호화 처리가 이루어지도록 한다.
+* '''고정키 암호화''' : 고정키 암호화 방식은 가장 단순한 방식으로 사실상 테스트 또는 교육의 목적으로 만들어진 랜섬웨어가 아닌 이상 찾아보기 힘들며 랜섬웨어 자체 또는 처리 과정에서 각 파일이나 환경에 변화하지 않는 고정된 단일키로 암호화가 수행된다.
+* '''다이나믹키 암호화''' : 다이나믹키 암호화는 암호화를 위한 키가 다이나믹하게 변화하는 방식을 의미하는데 시스템의 환경이나 파일명, 속성 등을 고려해 그때마다 다른 암호화키를 만들어 사용하는 방법이다.
+* '''암호화 키 생성''' : 공격자는 보수를 받고 데이터를 복원해 주며 정상적으로 데이터를 복원해 주었다는 사례가 많아지면 다른 피해자가 신뢰하여 복원해 달라는 협상의 요청이 발생할 가능성이 크기 때문에 복원의 필요성을 무시할 수 없다. 공격자가 특정한 서버를 구성하고 해당 서버에 암호화 키를 전송한 후 감염된 컴퓨터에 키를 보관하지 않으면 분석을 통해 복원 프로그램이 만들어지는 것은 어느 정도 예방할 수 있지만 반대로 자신이 구축한 서버가 공격당할 여지가 생긴다.
+* '''암호화 키 서버 전달''' : 공격자가 자신이 공격당할 가능성에도 불구하고 어떠한 대안을 마련하여 별도의 서버에 감염된 파일을 복원하기 위한 암호화 키를 수집하고, 감염된 컴퓨터에는 남겨두지 않는다면 피해를 복원할 수 있는 가능성은 매우 낮아진다. 암호화를 위한 키의 생성은 암호 분석가가 사용하는 알고리즘이나 특정 조건 등을 모두 분석한다고 하더라도 복원을 위한 키를 가지고 있지 않기 때문에 피해를 입은 파일을 복구 할 수 없는 상황이 초래된다.
+* '''파일 이동''' : 어느 정도 파일의 암호화에 성공했다고 판단이 되면 공격자는 피해자에게 공격당했다는 사실을 알리기 위해 바탕화면 위치에 파일을 이동시킨다.
+* '''감염 안내 및 복구 방법 메시지 출력''' : 피해자가 바탕화면에 옮겨진 파일들을 발견하고 가시적으로 이상하다는 증상을 확인하게 되면 자신의 자료가 정상적으로 열리거나 확인되지 않는다는 사실에 당황하게 된다. 이때 공격자는 피해자에게 자료를 암호화 하였으니 복원을 하고싶으면 금전적인 비용을 지불하라고 하는 안내메시지를 보낸다.<ref>Kinesis, 〈[https://blog.kinesis.kr/136 해킹보안 : 랜섬웨어 목적 및 원리 이해하기 #02]〉, 《티스토리》, 2016-07-05</ref>
+===공격 절차===
+크립토락커에 감염되면 암호화된 파일들을 복원하기 위해 한화 약 438,900원의 비트코인을 요구한다. 피해자들이 쉽게 비용을 지급할 수 있도록 결제 방법을 상세하게 설명하고 있으며, 실제 복원이 가능함을 증명하기 위해 암호화된 파일 중 1개의 파일을 무료로 복호화해준다. 악성코드 제작자는 특시 사용자의 중요한 파일을 암호화하여 사용자에게 금전을 유도하고 있다. 크립토락커가 실행이 되면 자가 복제 및 자동 실행을 위한 등록을 하며, 이후 정상 ‘explorer.exe’ 프로세스를 실행하고 C&C 서버 통신 및 파일을 암호화하는 주요 기능을 포함한 [[PE]](Portable Executable) 파일을 [[인젝션]]해 동작한다.
-* 자동 실행 : 실행 시 %WINDOWS% 폴더에 자가 복제를 수행하며 다음과 같은 레지스트리 키에 등록한다.
+* '''자동 실행''' : 실행 시 %WINDOWS% 폴더에 자가 복제를 수행하며 다음과 같은 레지스트리 키에 등록한다.
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<랜덤명>
-해당 키에 실행 파일을 등록하면 시스템을 재 부팅할 때마다 자동으로 실행이 되는데, 이 경우 사용자가 직접 파일을 찾아 삭제하지 않은 상태에서 감염된 PC의 사용자가 금액을 지불하고 파일을 복구했다고 하더라도 재감염될 가능성이 높다.
-* [[네트워크]] 접속 : [[네트워크]] 통신 상태를 확인하기 위해 ‘www.download.windowsupdate.com’에 접속한다. 접속이 원활하게 이루어진다면 C&C 서버에 접속하여 사용자 PC의 정보를 전달한다. 최초 접속 후에는 특정 IP 대역에 따른 ‘.txt’와 ‘.html’ 파일을 받아 오는데 IP 대역을 확인 하는 이유는 감염 또는 제외 대상 국가를 결정 하기 위해서 이다. 해당 파일들은 암호화한 파일이 있는 모든 폴더에 생성되며 [[시스템]]이 감염되었다는 메시지와 파일을 정상적으로 복원하기 위해 [[비트코인]]을 사용한 결제 방법이 설명되어 있다. 접속하는 주소는 파일마다 달라진다.
+ HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<랜덤명>
-*볼륨 섀도우 카피 삭제 : 아래 명령을 실행해서 볼륨 섀도우 카피를 삭제하는데 이렇게 되면 [[윈도우]] 운영체제에서 제공하는 파일 [[백업]] 및 복원 기능을 정상적으로 사용할 수 없다.
+: 해당 키에 실행 파일을 등록하면 시스템을 재부팅할 때마다 자동으로 실행이 되는데, 이 경우 사용자가 직접 파일을 찾아 삭제하지 않은 상태에서 감염된 컴퓨터의 사용자가 금액을 지불하고 파일을 복구했다고 하더라도 재감염될 가능성이 높다.
- vssadmin.exe Delete Shadows /All /Quiet
-* 파일 암호화 : 랜섬웨어의 가장 특징적인 기능으로 사용자의 중요 파일들을 암호화하는데 아래에 리스트 되어있는 확장자를 가진 파일과 폴더는 대상에서 제외된다. 그리고 [[이동식 드라이브]]와 [[네트워크 드라이브]]에 있는 파일도 암호화 대상이 되며 암호화가 완료된 파일에는 확장자 뒤에 ‘.encrypted’ 문자열이 붙게 된다.
+* '''네트워크 접속''' : [[네트워크]] 통신 상태를 확인하기 위해 ‘www.download.windowsupdate.com’에 접속한다. 접속이 원활하게 이루어진다면 C&C 서버에 접속하여 사용자 컴퓨터 정보를 전달한다. 최초 접속 후에는 특정 [[아이피]](IP) 대역에 따른 ‘.txt’와 ‘.html’ 파일을 받아 오는데, 아이피 대역을 확인 하는 이유는 감염 또는 제외 대상 국가를 결정하기 위해서다. 해당 파일들은 암호화한 파일이 있는 모든 폴더에 생성되며 시스템이 감염되었다는 메시지와 파일을 정상적으로 복원하기 위해 비트코인을 사용한 결제 방법이 설명되어 있다. 접속하는 주소는 파일마다 달라진다.
-* 제외 대상 확장자 : .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp, .txt, .html
+* '''볼륨 섀도우 카피 삭제''' : 아래 명령을 실행해서 볼륨 섀도우 카피를 삭제하는데 이렇게 되면 윈도우 운영체제에서 제공하는 파일 백업 및 복원 기능을 정상적으로 사용할 수 없다.
-* 제외 대상 폴더
+  vssadmin.exe Delete Shadows /All /Quiet
-  %Program Files%0
- %ProgramW6432%
- C:\WINDOWS
- C:\Documents and Settings\사용자계정\Application Data
- C:\Documents and Settings\사용자계정\Local Settings\Application Data
- C:\Documents and Settings\All Users\Application Data
- C:\Documents and Settings\사용자계정\Cookies
- C:\Documents and Settings\사용자계정\Local Settings\History
- C:\Documents and Settings\사용자계정\Local Settings\Temporary Internet Files<ref>AhnLab 공식 홈페이지 - http://a.to/19NKfAC</ref>
-===공격 원리===
+* '''파일 암호화''' : 랜섬웨어의 가장 특징적인 기능으로 사용자의 중요 파일들을 암호화하는데 아래에 리스트 되어있는 확장자를 가진 파일과 폴더는 대상에서 제외된다. 그리고 [[이동식 드라이브]]와 [[네트워크 드라이브]]에 있는 파일도 암호화 대상이 되며 암호화가 완료된 파일에는 확장자 뒤에 ‘.encrypted’ 문자열이 붙게 된다.
-== 종류 ==
+:* 제외 대상 확장자 : .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp, .txt, .html
-* 초창기 [[랜섬웨어]] : [[랜섬웨어]]의 감염 사례는 2005년에서 2006년 사이에 러시아에서 처음 확인되었다. 2006년 당시 이 랜섬웨어 변종(TROJ_CRYZIP.A로 명명)은 특정 유형의 파일들을 압축한 후 덮어쓰기 하였고 이로써 사용자의 시스템에는 암호가 설정된 zip 파일들만 남게 되는 것이다. 그리고 300달러를 지불하면 파일을 복원시켜 주겠다는 내용의 메시지가 담긴 노트패드를 남겼다. 초창기의 [[랜섬웨어]]는 특정 파일 유형(.DOC, .XL, .DLL, .EXE 등)을 [[암호화]]한 평범한 파일이었다. 2011년에는 SMS 랜섬웨어 위협에 대해 보고하였는데 이 [[랜섬웨어]]의 경우 감염된 시스템을 사용하는 사용자에게 프리미엄 SMS 번호로 전화를 걸도록 요구하였다. TROJ_RANSOM.QOWA로 명명된 이 변종은 사용자가 프리미엄 번호로 전화를 걸어 비용을 지불할 때까지 반복적으로 [[랜섬웨어]] 페이지를 표시한다. 이 [[랜섬웨어]]가 취약한 시스템의 MBR(마스터 부트 레코드)을 감염시킨다는 사실을 확인하게 되었고, MBR을 표적으로 하는 이 변종은 운영 체제가 실행되지 못하도록 하며 이를 위해 본래의 MBR을 복사한 후 악성 코드로 덮어쓰기 한다. 그런 다음에는 시스템을 감염시키기 위해 자동으로 재부팅하는데 시스템이 재부팅되면 [[랜섬웨어]]가 러시아어로 된 알림 메시지를 표시한다.
-* [[레베톤]](Reveton) 랜섬웨어 : 크립토락커가 등장하기 전, 2012년에 등장한 [[레베톤]](폴리스 랜섬웨어 또는 폴리스 트로얀)은 법 집행기관을 가장한 랜섬웨어이다. 이 [[멀웨어]]는 피해자 지역의 경찰국에서 사용하는 알림 페이지를 표시하며 온라인 상에서의 불법 행위 또는 악의적 행위로 인해 체포 영장이 발부되었다는 내용을 통보한다. 사용자의 관할 경찰국을 알아내기 위해 레베톤 변종들은 피해자의 지리적 위치를 추적한다. 즉, 미국에 사는 피해자는 FBI의 통보 메시지를 수신하게 되고 프랑스에 사는 피해자는 Gendarmerie Nationale의 통보 메시지를 수신하게 된다는 것이다. [[레베톤]] 변종은 초창기 [[랜섬웨어]] 공격과는 달리 다양한 지불 방식을 이용하는데 시스템이 [[레베톤]] 변종에 감염되면, 사용자는 UKash, PaySafeCard 또는 MoneyPak으로 비용을 지불해야 한다. 이러한 지불 방식들은 랜섬웨어 범죄자들의 익명성을 보장해주며 Ukash와 PaySafeCard의 경우 자금 추적이 어렵다. 이후 새로운 기법을 구사하는 다른 유형의 [[레베톤]] 변종을 발견하였으며 하반기에는 피해자의 모국어를 이용한 음성 녹음을 재생시키는 변종들과 가짜 디지털 인증서를 이용하는 변종들도 발견되었다.<ref>TREND MICRO 공식 홈페이지 - http://a.to/19S9wMY</ref>
+:* 제외 대상 폴더
+# %Program Files%0
+# %ProgramW6432%
+# C:\WINDOWS
+# C:\Documents and Settings\사용자계정\Application Data
+# C:\Documents and Settings\사용자계정\Local Settings\Application Data
+# C:\Documents and Settings\All Users\Application Data
+# C:\Documents and Settings\사용자계정\Cookies
+# C:\Documents and Settings\사용자계정\Local Settings\History
+# C:\Documents and Settings\사용자계정\Local Settings\Temporary Internet Files<ref>AhnLab 공식 홈페이지 - http://a.to/19NKfAC</ref>
 == 대안 ==
-* 크립토락커 치료법 : 트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)은 온라인뱅킹 정보탈취 악성코드 P2PZeus와 파일을 암호화한 뒤 몸값을 요구하는 크립토락커에 감염되었는지 검사하고 위협 발견 시 제거할 수 있는 온라인 보안 프로그램이다. 사용하고 있는 윈도우 시스템에 따라 32비트, 64비트로 파일을 다운받을 수 있다. 이 프로그램은 설치 과정 없이 실행 파일만 클릭하면 바로 사용할 수 있는 포터블 버전으로 편리하게 사용이 가능하며, 홈페이지에서 32비트 또는 64비트를 선택하고 ‘I Accept’ 버튼을 누르면 ‘THREAT CLEAN 32.exe’ 또는 ‘THREAT CLEAN 64.exe’ 파일이 다운로드 할 수 있다. 트렌드마이크로 위협 제거 툴을 실행하기 전에 먼저 [[윈도우]]를 재부팅하고 ‘F8’을 눌러 윈도우 부팅 옵션에서 ‘안전모드 with 네트워크’로 부팅을 한 후, 설치된 트렌드마이크로 위협 제거 툴 파일을 실행한다. 안전모드에서 트렌드마이크로 위협 제거 툴을 실행하고 프로그램 우측에 위치하는 Scan Now 버튼을 누르면 크립토락커 감염 검사가 시작된다. 또한 온라인뱅킹 정보탈취 악성코드 P2PZeus의 검사도 가능하다. 검사 후 [[바이러스]]나 [[악성코드]]가 검색되었다면 제거한 뒤에 노말 모드로 재부팅하면 크립토락커 랜섬웨어의 제거는 완료된다.
+* '''크립토락커 예방법'''
+:* 크립토락커를 예방하기 위해 [[운영체제]]와 각종 [[응용프로그램]]의 보안 업데이트를 주기적으로 해야 한다. 이 업데이트는 [[MS]] 및 [[OS]] 업데이트를 포함하여 [[인터넷 익스플로러]], [[자바]](Java), [[플래시]](Flash) 등 대표적 프로그램을 항상 업데이트하여 최신 버전을 유지해야 한다. 한글판 랜섬웨어의 공격에서도 [[크롬]]이나 [[파이어폭스]] 같은 보안이 강화된 [[웹브라우저]]를 사용한 유저들은 위험을 피할 수 있었고, 대부분의 [[바이러스]]들은 윈도우 운영체제와 인터넷 익스플로러의 [[취약점]]을 악용해 침투하기 때문에 보안이 강회된 운영체제와 웹브라우저를 사용하는 것도 하나의 예방법이 될 수 있다.
-* 감염된 파일 복구법 : FireEye(파이어아이)와 Fox IT에서 암호화된 파일을 풀 수 있는 복원화 서비스를 제공하고 있다. 자신의 이메일 주소를 입력하고 크립토락커에 감염된 파일을 첨부하면 입력했던 메일로 해독키와 리커버리 프로그램 다운로드 링크를 받을 수 있다. 단, 감염된 파일 당 하나의 해독키가 있기 때문에 여러 파일이 감염되었을 경우 이 과정을 여러 번 반복해야하는 번거로움이 있다.
+:* 중요한 문서와 파일을 백업 : 컴퓨터에 [[안티 바이러스]] 프로그램을 설치했다고 해서 랜섬웨어를 피해갈 수 있을 거라고 보장할 수 없다. [[외장하드]]나 [[이동식 디스크]] 등 제3의 저장장치를 이용해 중요한 파일을 수시로 백업한다면 이후에 파일들이 손상되더라도 백업해놓은 파일로 인해 그 피해를 최소화할 수 있다.
-* 크립토락커 예방법
+:* 출처가 불분명한 메일 실행금지 : 백신 소프트웨어 개발 및 인터넷 보안시스템 공급업체인 [[안랩]]에서는 랜섬웨어 대분이 [[스팸메일]]을 통해 확산된다고 밝혔다. 발신인이 확인되지 않으면서 사용자의 호기심을 이끄는 메일 제목일 경우 스팸성 메일로 의심하며 클릭하지 않고 삭제하는 것이 좋으며, 지인의 메일이라도 한 번 더 확인해야 한다. 또한 중요한 문서의 경우에는 '읽기전용'으로 읽으며 수상한 웹사이트의 방문은 자제하는 것이 좋다.<ref>SK broadband 공식 블로그, 〈[https://blog.skbroadband.com/2756 한국판 랜섬웨어 '크립토락커' 피해와 예방법]〉, 《티스토리》, 2018-05-28</ref>
-# 운영체제와 각종 응용프로그램을 보안 업데이트 : MS OS 업데이트를 포함하여 [[인터넷 익스플로러]], 자바, 플래쉬 등 대표적 프로그램들은 항상 업데이트를 하여 최신 버전을 유지해야 한다. 이번 한글판 랜섬웨어의 공격에서도 크롬이나 파이어폭스 같은 보안이 강화된 웹브라우저를 사용한 유저들은 위험을 피할 수 있었고, 대부분의 [[바이러스]]들은 [[윈도우]] 운영체제와 [[인터넷 익스플로러]]의 취약점을 악용해 침투하기 때문에 보안이 강회된 운영체제와 웹브라우저를 사용하는 것도 하나의 예방법이 될 수 있다.
-# 중요한 문서와 파일을 백업 : PC에 [[안티 바이러스]] 프로그램을 깔아놨다고 해서 랜섬웨어를 피해갈 수 있을 거라는 보장은 할 수 없다. 외장하드나 이동식 디스크 등 제3의 저장장치를 이용해 중요한 파일을 수시로 백업시켜둔다면 나중에 파일들이 손상되더라도 [[백업]] 시켜둔 파일로 인해 그 피해를 최소화할 수 있다.
-# 출처가 불분명한 메일 실행금지 : 보안기업 [[안랩]]에서는 [[랜섬웨어 대부분]]이 스팸메일을 통해 확산된다고 했다. 발신인이 확인되지 않으면서 사용자의 호기심을 이끄는 메일 제목일 경우 스팸성 메일로 의심하며 클릭하지 않고 삭제하는 것이 좋으며, 지인의 메일이라도 한 번 더 확인해야 한다. 또한 중요한 문서의 경우에는 '읽기전용'으로 읽으며 수상한 웹사이트의 방문은 자제하는 것이 좋다.
-랜섬웨어는 인터넷 익스플로러 구버전 사용률이 높고 보안의식이 취약한 국내 환경을 노린 [[바이러스]]이기 때문에 운영 체제의 최신버전 유지나 백신 프로그램으로 기본적 보완조치만 한다면 문제될 것이 없다고 한다.<ref>SK broadband 공식 블로그, 〈[https://blog.skbroadband.com/2756 한국판 랜섬웨어 '크립토락커' 피해와 예방법]〉, 《티스토리》, 2018-05-28</ref>
+* '''크립토락커 치료법'''
+: 트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)은 온라인뱅킹 정보탈취 [[악성코드]] P2PZeus와 파일을 암호화한 뒤 몸값을 요구하는 크립토락커에 감염되었는지 검사하고 위협 발견 시 제거할 수 있는 [[온라인]] 보안 프로그램이다. 사용하고 있는 윈도우 시스템에 따라 32비트, 64비트로 파일을 다운받을 수 있다. 이 프로그램은 설치 과정 없이 실행 파일만 클릭하면 바로 사용할 수 있는 포터블 버전으로 편리하게 사용이 가능하며, 홈페이지에서 32비트 또는 64비트를 선택하고 ‘I Accept’ 버튼을 누르면 ‘THREAT CLEAN 32.exe’ 또는 ‘THREAT CLEAN 64.exe’ 파일을 다운로드 할 수 있다. 트렌드마이크로 위협 제거 툴을 실행하기 전에 먼저 윈도우를 재부팅하고 ‘F8’을 눌러 윈도우 부팅 옵션에서 ‘안전모드 with 네트워크’로 부팅을 한 후, 설치된 트렌드마이크로 위협 제거 툴 파일을 실행한다. 안전모드에서 트렌드마이크로 위협 제거 툴을 실행하고 프로그램 우측에 위치하는 Scan Now 버튼을 누르면 크립토락커 감염 검사가 시작된다. 또한 온라인뱅킹 정보탈취 악성코드 P2PZeus의 검사도 가능하다. 검사 후 바이러스나 악성코드가 검색되었다면 제거한 뒤에 노말 모드로 재부팅하면 크립토락커 랜섬웨어의 제거는 완료된다.
+* '''감염 파일 복구'''
+: FireEye(파이어아이)와 [[폭스아이티]](Fox IT)에서 암호화된 파일을 풀 수 있는 복원화 서비스를 제공하고 있다. 자신의 이메일 주소를 입력하고 크립토락커에 감염된 파일을 첨부하면 입력했던 메일로 해독키와 리커버리 프로그램 다운로드 링크를 받을 수 있다. 단, 감염된 파일 당 하나의 해독 키가 있기 때문에 여러 파일이 감염되었을 경우 이 과정을 여러번 반복해야 하는 번거로움이 있다.
 {{각주}}
@@ 65번째 줄: / 80번째 줄: @@
 * SK broadband 공식 블로그, 〈[https://blog.skbroadband.com/2756 한국판 랜섬웨어 '크립토락커' 피해와 예방법]〉, 《티스토리》, 2018-05-28
 * TREND MICRO 공식 홈페이지 - http://a.to/19S9wMY
+* Kinesis, 〈[https://blog.kinesis.kr/136 해킹보안 : 랜섬웨어 목적 및 원리 이해하기 #02]〉, 《티스토리》, 2016-07-05
-== 같이보기 ==
+== 같이 보기 ==
 * [[랜섬웨어]]
 * [[비트코인]]
 * [[암호화]]
+* [[복호화]]
+* [[알고리즘]]
 * [[운영체제]]
 * [[해킹]]
@@ 78번째 줄: / 96번째 줄: @@
 * [[안랩]]
+{{보안|검토 필요}}
-{{블록체인 기술|검토 필요}}

위키

이름공간

변수

보기

더 보기

검색