랜섬웨어

랜섬웨어(ransomware)란 컴퓨터나 시스템을 감염시켜 정상적으로 이용할 수 없게 만든 후 일종의 몸값(ransom)을 요구하는 악성 소프트웨어를 말한다. 멀웨어(malware)^[1]의 일종이다.

기존의 서버-클라이언트 구조에서는 중앙 서버가 랜섬웨어 공격을 당하면 전체 서비스가 마비되는 문제가 있다. 그러나 블록체인 방식으로 전 세계 여러 서버에 데이터를 분산 저장할 경우 랜섬웨어 공격을 막을 수 있다.

개요

2017년 5월 갑자기 등장한, 매우 강력한 전염성을 가진 멀웨어(malware) 워너크라이가 등장하여 전 세계를 강타하면서 이름을 알리게 되었다. 모든 랜섬웨어가 인터넷에 접속하는 것으로 감염되는 것은 아니지만, 워너크라이는 웜의 특성을 이용하여 전파력을 높여 막대한 피해를 안겨주어 랜섬웨어를 잘 모르는 일반인에게는 랜섬웨어가 인터넷 연결시에 감염된다고 믿는 사람들도 있을 정도의 파급력을 안겨주었다.

역사

랜섬웨어는 도스(DOS)가 사용되던 시절의 카지노 바이러스와 유사한 점을 보인다. 또한 2005년부터 알려지기 시작했으며 최초의 랜섬웨어로 알려진 악성 코드로는 도스(DOS) 환경에서 작동하는 AIDS 즉, 트로이 목마이며 비트코인으로 결제해야하던 현재와 달리 우편이나 대포통장을 사용했기 때문에, 어느 정도 범죄자의 추적이 가능했었으며. 플로피 디스크로 배포가 되었기 때문에 파급력이나 전파력이 크지 않았다. 하지만 비트코인이 등장 이후 처음에는 러시아에서 랜섬웨어를 이용한 사기가 유행했으나, 2013년 하반기 강력한 암호화 알고리즘으로 파일을 암호화하고 토르(Tor) 기반의 결제 홈페이지를 통해 비트코인. 즉, 돈을 요구하는 랜섬웨어 크립토락커가 등장하면서 전세계적으로 확대되었고 피해가 심각해지기 시작했다. 이로인해 추적도 어려워졌을 뿐더러 양자컴퓨터를 갖고있지 않는 이상 개인이 복호화할 수도 없었다. 또한 2017년에는 미국국가안보국(NSA)의 해킹 툴을 활용한 워너크라이(WannaCry)가 등장하면서 사상최대 규모의 랜섬웨어 공격이 이루어지고 유포 하루만에 전세계 100여개국 10여만대 이상의 컴퓨터를 감염시키며 전세계를 사이버테러의 공포로 몰아 넣었으며, 그 이름을 대중에게 알리게 되었다.

특징

예를 들어 사용자 PC의 특정 파일을 암호화하여 사용할 수 없게 만든 후, 해당 악성코드를 개발한 사람이 요구하는 몸값을 지불하면 해당 암호를 알려주는 방식이다. 2017년 6월 10일 호스팅 업체인 ㈜인터넷나야나의 서버 153대가 Erebus 랜섬웨어에 감염되어, 13억원에 상당하는 비트코인을 해커에게 지급하고, 복호화 키를 받아서 자료를 복구했다.

작동 원리

• 흐름

1. 공격 대상 파일검색
2. 파일 암호화
   1. 고정키 암호화
   2. 다이나믹키 암호화
      1. 암호화키 생성
      2. 암호화키 서버 전달
3. 파일 이동
4. 검염 안내 및 복구 방법 메시지 출력

원리

암호화 알고리즘을 기반으로 파일 데이터에 암호화 알고리즘을 이용해 암호화하여 사용할 수 없도록 하는 것이다. 또한 암호화 방식에는 크게 단방향, 양방향 방식이 있으며, 단방향 암호화란 한 번 암호화하면 다시 복호화할 수 없도록 하는 것이고 양방향 암호화는 암호화 후에도 복호화가 가능한 방식이다. 최근에 많이 사용하는 감염방식으로는 홈페이지를 방문만 해도 랜섬웨어에 감염시키는 방법으로 일명 드라이브 바이 다운로드(Drive by Download) 기법을 이용해서 공격자가 해당 웹사이트에서 보안이 취약한 점을 노려 악성코드를 숨겨놓아 사용자가 자신도 모르게 다운로드하여 실행 시키게해 감염시키는 방식이다.

종류

대표적인 종류로는 크립토(Crypt~), 케르베르(Cerber~), 매그니베르(magniber), 락커(~Locker), MBR 훼손 계열 등 그 외에도 많은 종류의 랜섬웨어가 존재하고 있으며 해독된 랜섬웨어까지 포함하면 더 많은 종류가 있다.

미해독

크립토(Crypt~) 계열

• 크립토락커(CryptoLocker)
  • 암호화 수준이 높아서 입금을 하지 않으면 복구가 불가능하다고 여겨졌으나, 파이어아이(FireEye)와 폭스잇(Foxit) 연구원들에 의해 복호화 서비스를 무료로 개시하면서 해결되는 줄 알았으나 크립토락커(CryptoLocker)과 비슷하지만 암호화 정도가 어려운 형식의 변종이 많아져 현재는 복구 프로그램도 서비스를 종료하였다. 현재로서 가장 좋은 해결법은 백업(Backup)과 안티 랜섬웨어 프로그램을 설치하거나, 보안프로그램도 꾸준히 업데이트 해주는 것이다.

• 크립토월(CryptoWall)
  • 잘 알려진 랜섬웨어들 중에서도 큰 몸값을 요구하기로 유명한 랜섬웨어이며 가장 빈번하게 사용되고 있다.

• 크립트XXX(CryptXXX)
  • 2015년에 유행했으나 2016년 4월 카스퍼스키에서 복호화 툴을 내놓으면서 잠잠해졌으나 2016년 5월부터 변종이 등장하여 다시 유행하기 시작했고 용량 200KB를 추가하여 복구 툴을 무력화시켰다. 오리지널은 카스퍼스키에서 복호화 툴을 다운받아 복호화하면 되며, 변종은 따로 복호화 툴은 존재하지 않으나 no more ransom의 복구 툴을 통해 복구할 수 있다고 한다.

• 크립믹(CrypMIC)
  • 2016년 7월부터 유행하기 시작한 CryptXXX의 카피캣이며, 아직 복구화 방법에 대해 대중화가 되어있지 않다

케르베르(Cerber~) 계열

• 케르베르 램섬웨어(Cerber Ransomware)
  • 2016년에 유행했으며 감염되면 인터넷이 강제종료되는 현상을 시작으로 .txt, .mp3, .mp4 등의 확장자가 .cerber 확장자로 암호화되고, 암호화된 파일이 있는 폴더에는 # DECRYPT MY FILES #(내 파일을 복구하는 법)이라는 텍스트 파일과 Attention. Your documents, photo, database and other important files have been encrypted.(뜻을 해석하면 경고. 당신의 문서, 사진, 데이터 그리고 다른 중요한 파일들이 암호화되었습니다.)라고 반복해서 말하는 음성 파일 및 웹 링크 등이 추가된다. 해결방법으로는 돈을 지불하거나 전문 복구 업체에 도움을 받아야하는데 복구 업체도 30% 정도의 낮은 복구 확률을 보인다. 강제 종료를 하게 되면 검은색 화면에 마우스만 떠있는 상태로 PC의 기능이 마비된다.

• 케르베르3(Cerber3)
  • cerber의 변종이다. 감염 시 파일의 확장자를 .cerber3로 변경하고. 평균 1BTC를 요구하며 모든 폴더 경로마다 결제를 위한 파일을 생성해둔다.

• 케르베르4, 5, 6(Cerber4, 5, 6)
  • cerber의 변종으로 2016년 10월부터 지속적으로 업데이트 되고 있다. 파일명을 랜덤으로 임의 수정하고 파일의 확장자를 랜덤으로 4자리(알파벳 + 숫자)로 수정 후 암호화하여 README.hta나 README.hta 또는 R_E_A_D__T_H_I_S.[Random].hta 파일을 생성한다. 무료로 복구하는 방법은 없으며 복구확률도 낮으므로 백업해두는 것이 가장 좋은 방법이다. 또한 케르베르(cerber~) 계열은 초록색 글씨의 형태를 취하거나 케르베르6(Creber6)의 경우 붉은색 바탕에 흰색 글씨를 쓰는 방식을 취하며, 케르베르6(Cerber6)는 버전명을 쓰지 않는다.

• CRBR Encryptor
  • 2017년 중반부터 새롭게 등장한 변종으로 비트코인 탈취 기능이 추가되었다.

매그니베르(Magniber) 계열

• 매그니베르 랜섬웨어(Magniber Ransomware)
  • Cerber 랜섬웨어의 후속작으로 볼 수 있으며, 2019년 현재까지도 많은 피해를 주고있는 랜섬웨어이다. 주로 윈도우나 IE의 오래된 보안 취약점을 이용하여 감염되며, 보안 업데이트가 미비한 PC가 감염되기 쉽다. 감염되면 redme.txt라는 랜섬노트가 생성된다. 2018년 4월 안랩에서 복호화 툴이 나왔지만 변종이 다시나오면서 현재까지 복호화 툴을 배포하지 않았다. 따라서 다른 랜섬웨어와 마찬가지로 꾸준한 업데이트와 백업이 제일 좋은 방법.

락커(~Locker) 계열

• 시놀락커(SynoLocker)
  • 시놀로지 NAS에 감염되는 랜섬웨어다. DSM 4.3버전 이하의 취약점을 이용해 침투하기 때문에 최신 DSM을 사용하면 보안가능하다.

• 나부커(NsbLocker)
  • 복호화키를 요구하지 않기 때문에 웬만한 백신으로 암호해제 가능하다. 랜섬웨어 종류 중에서 가장 약하다.

• 크리트로니(CTBLocker)
  • 2014년 7월에 공개된 랜섬웨어이다. 시비티락커 혹은 크리트로니(Critroni)라고 불리며 스팸메일로 유포되는 다운로더에 의해 생성 및 실행된다. 보통 .zip 또는 .cab 형태로 압축되어 유포되며 압축 해제된 파일은 .scr 확장자를 갖고 있으며 실행하면 %TEMP% 폴더에 정상 .rtf 파일을 생성/실행해서 마치 문서 파일처럼 위장하지만 백그라운드에서는 사용자 몰래 악성코드를 다운로드 한다.

• 토르락커(TorLocker)
  • 일본의 5ch의 유저에 의해 제작된 랜섬웨어이다. 다른 랜섬웨웨어와 비슷한 시스템을 채택하고 있으며 주로 일본에서만 많이 감염되고 있다. 일본 사이트를 자주 경유하는 경우 감염되기 쉽고, 복호화 툴은 몇 가지 존재하지만 100% 복구해주는 툴은 없다. 과거엔 2ch 게시판에서 이용자를 괴롭히려고 만들 었지만 현재도 게속 업데이트가 진행되고 있고, 2019년 초를 기점으로 변종이 생겼고 일본 극우에 의해 악의적으로 유포되어 범인을 한국으로 몰아가려고 하는 목적으로 쓰이고 있다.

• 록키(Locky)
  • 록커(Locker) 계통 중에서 가장 강력한 랜섬웨어로 크립토(Crypto) 계열과 마찬가지로 RSA-2048과 AES-128 유형의 암호화 기법을 사용한다. 국내도 타깃으로 하고 있으며 .hwp파일까지 암호화하며 Office의 매크로를 통해 일부 기관등에 유포되었다. 주로 스팸메일로 통해 유포되며, 가끔 자신에게 쓴 메일인척 위장하는 경우도 있으므로 메일에 항상 주심해야한다. 제목이 Invoice(송장), Document(문서)로 시작한다면 의심해보는 것이 가장 좋은 방법이며 현재 변종까지 등장하여 그렇다할만한 복호화 키가 존재하지 않고 복호화 가격은 0.5~5BTC사이이다.

MBR 훼손 계열

• 낫페트야(NotPetya)
  • 2017년 6월 26일 우크라이나를 공격한 후 한동안 확산되었던 낫페트야(NotPetya)는 감염 증상이 비슷하여 처음엔 페트야(petya)의 변종이라고 불리었는데, MBR의 복사본을 보관하지 않으며 복호화 키가 있어도 복구할 수 없다는 점에서 유사하지만 페트야의 변종이 아니라 랜섬웨어인 척 하는 와이퍼 악성코드라는 가능성이 커졌고 워너크라이(WannaCry)처럼 NSA의 이터널블루를 이용하거나, 복호화 키를 줄테니 비트코인을 보내라고 하는 것은 랜섬웨어인 척 해서 실제 목적을 감추려고 위함이었기 때문에, 해외 언론에서는 낫페트야는 랜섬웨어가 아닌 것으로 결정을 하였다. 또한 그 해 10월에는 NSA의 취약점 공격 소스 중 하나인 이터널로맨스를 이용해 낫페트야의 변종으로 추정되는 랜섬웨어 배드 래빗(Bad Rabbit)이 등장했다. 생각보다 해결방법도 간단한데 UEFI 환경에서 감염이 된 경우에는 펌웨어 파티션만 새로 만들면 되기에 OS를 건들일 필요가 없으므로 타격이 크지 않다고 할 수 있다.

• 산타나(Santana)
  • 페트야(Petya)와 비슷한 증상을 일으키나 암호화 방식이 다르다. 유사 카피캣으로 생각하면 된다.

• 골든아이(goldeneye)
  • 미샤와 페트야의 업그레이드 버전이며 파일, MBR까지 통째로 암호화시켜 버린다. 그러나 사용자 계정 컨트롤에서 아니오를 누를 경우 파일만 암호화시킨다. 또한 사용자 보안 옵션을 한 단계 낮출경우 그대로 둘 수 있다.

각주

같이 보기

• 블록체인
• ㈜인터넷나야나

이 랜섬웨어 문서는 블록체인 기술에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.