추적 misuse_hyde misuse_jemdol mctd patch return_to_sender

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

다음 판		이전 판
tech:랜섬웨어 [2016/01/26 01:34] – 바깥 편집 127.0.0.1tech:랜섬웨어 [2019/04/14 11:15] (현재) – [랜섬웨어] V_L
줄 1: 줄 1:
 +{{tag>랜섬웨어}}
 ======랜섬웨어====== ======랜섬웨어======
 +  
 +몸값을 뜻하는 ransom과 제품을 뜻하는 ware의 합성어로 사용자의 동의 없이 컴퓨터에 불법으로 설치되어서, 사용자 문서 등을  암호화하여 돈을 요구하는, 그야말로 **사용자의 파일을 인질로 잡는 악성 프로그램**을 말한다.
  
- * [[컴퓨터 관련 정]] +사실 그전까진 외국 사이트 등에서나 볼 수 있었지만, 한국에서는 2015년 들어 급격히 유행하기 시작했다. 특히 안이 취약한 사이트, 가짜 이메일 등에 감염시켜서 사용자 몰래 랜섬웨어를 실행시키고 감염되는 식이다. 이메일, 인스턴트 메세지, 웹사이트 등에서 링크를 클릭할 때 설치되며,(( 유포 방식에따라 전통적인(?) exe실행을 필요로하는놈도 있다. 물론 문제가 된 놈은 플래시 취약점 이용한 놈으로 아래에서 서술된 내용)) 설치된 뒤에 내부에 잠입한다.   
-    * 상위 항목: [[악성코드]]+
  
 +문서나 스프레드시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤, 돈을 보내주면 해독용 열쇠 프로그램을 전송해준다고하며 금품을 요구한다. 크립토락커 등 랜섬웨어의 대부분은 [[tor]]를 기반으로 한 웹페이지를 이용하기 때문에 추적이 어렵고 막대한 시간이 들기 때문에 검거가 어렵다. (( 또한 추적을 방지하기 위해  비트코인 으로 결제를 요구한다고 한다.)) 랜섬웨어가 암호화하는 파일의 종류는 .xls, .doc, .pdf, .jpg, .cd, .rar, .zip, mp4, png, psd,  hwp 등이 있다. 직장인이라면 잘 알겠지만 **업무용으로 주로 쓰이는 파일들이 많다.**
  
-%%#!html +    
-%%%%+1 경고! 이것은 대한민국에서 불법입니다.%% +해커가 요구하는 대로 비트코인 등 가상 계좌로 돈을 보내면 복호화 프로그램을 **줄 지도 모른다. 하지만 먹튀할 때도 있다.** 랜섬웨어 사태 초기에는 어쨌든 돈을 주기만 하면 풀어주긴 한다는 인식을 퍼뜨려 보다 많은 피해자들이 송금하게 함으로써 이익을 극대화시킬 필요가 있었다. 그냥 먹튀에 불과하다는 인식이 퍼지면 피해자는 파일도 잠기고 돈까지 날리느니 그냥 파일만 포기해 버릴 테니까. 허나 랜섬웨어의 개념이 널리 퍼지고 한탕만 하고 빠지자는 생각을 하는 유포자 놈들 역시 늘어남에 따라, 그냥 돈만 긁어모으고 먹튀를 시전하는 사례 역시 크게 증가했다. 크립토월같은 최근 랜섬웨어들은 한화 수십 만원에 달하는 거액을 요구하는데다 복호화 프로그램을 안 주는 경우가 더 많다 . 적은 돈도 아니며 그 돈이 어디서 어떻게 쓰일지도 모르는 판국이라(( 이렇게 모인 피해 금액이 테러 범죄에 사용된다는 분석도 존재한다.)) 신중히 생각해야 한다.
- +
-이 문서에서 설명하는 것은 타인의 신체적, 정신적, 금전적 피해를 야기할 가능성이 높은 대상이므로 [[대한민국]] 내에서 [[범죄 관련 정보|불법]]으로 규정되어 있으며, 이를 따라할 시 처벌 받을 수 있습니다. 또한 외국에서의 같은 행위로 인해 [[속지주의|현지의 유사한 법령]]으로 처벌받거나 외국인이라도 대한민국 내에서 [[속인주의]]에 의해 처벌받을 수 있으니 **절대 따라하지 마시길 바랍니다.** +
- +
-본 문서에 [[모방범죄]]를 야기하는 서술은 형법에 따라 범죄 교사 및 방조로 처벌 받을 수 있으므로 주의하시기 바랍니다. 서술에 대한 법적책임은 전적으로 해당 서술자에게 있습니다.%%#!html %% +
- +
-ransomware +
- +
-=====설명===== +
-몸값을 뜻하는 ransom과 제품을 뜻하는 ware의 합성어로 사용자의 동의 없이 [[컴퓨터]]에 불법으로 설치되어서, 사용자 문서 등을  암호화하여 [[돈]]을 요구하는, 그야말로 **사용자의 파일을 [[인질]]로 잡는 악성 프로그램**을 말한다. +
- +
-사실 그전까진 외국 사이트 등에서나 볼 수 있었지만, 한국에서는 2015년 들어 급격히 유행하기 시작했다. 특히 보안이 취약한 사이트, 가짜 이메일 등에 감염시켜서 사용자 몰래 랜섬웨어를 실행시키고 감염되는 식이다. 이메일, 인스턴트 메세지, 웹사이트 등에서 링크를 [[클릭]]할 때 설치되며,(( 유포 방식에따라 전통적인(?) exe실행을 필요로하는놈도 있다. 물론 문제가 된놈은 플래시 취약점 이용한 놈으로 아래에서 서술된 내용)) 설치된 뒤에 내부에 잠입한다.  일반적으로는 당연히 [[운영체제]]상의 일차적인 방패인 [[UAC]], [[리눅스|sudo]] 등이 존재하지만, [[예스맨#s-2|예스맨]]의 문제도 있고 [[제로 데이 공격|보안상의 구멍]]으로 우회해서 들어가는 녀석도 있다. +
- +
-문서나 스프레드시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤, 돈을 보내주면 해독용 열쇠 프로그램을 전송해준다고하며 금품을 요구한다. 크립토락커 등 랜섬웨어의 대부분은 [[tor]]를 기반으로 한 웹페이지를 이용하기 때문에 추적이 어렵고 막대한 시간이 들기 때문에 검거가 어렵다. (( 또한 추적을 방지하기 위해 [[비트코인]]으로 결제를 요구한다고 한다.)) 랜섬웨어가 암호화하는 파일의 종류는 .xls, .doc, .pdf, .jpg, .cd, .rar, .zip, mp4, png, psd, [[한글과컴퓨터|**hwp**]] 등이 있다. 직장인이라면 잘 알겠지만 **업무용으로 주로 쓰이는 파일들이 많다.** +
- +
-랜섬웨어로 인해 크게 피보는 직업중 하나는 바로 [[일러스트레이터]] 등 그래픽 관련 종사자들인데 그림을 그려서 생계를 유지해야하는 만큼 상당히 위험하다.(( 특히 랜섬웨어는 **png, jpg, psd**등의 일러스트레이터 등등의 직업에게 중요한 파일을 **전부** 암호화시키기 때문에 랜섬웨어로 피해를 입는 사람들은 이를 꽉 물게 된다. 다시 한 번 말하지만 [[백업]]을 생활화하자. [[답이 없다]]. [[클라우드 스토리지]]가 이러라고 있는 거기도 하고.)) 영상 제작 및 편집을 생업으로 하는 사람은 더더욱 주의를 기울일 필요가 있다. 이미지야 몇 천 장 단위라 해도 어렵지 않게 백업이 가능하지만 영상은 양이 좀 쌓이면 테라 단위를 가볍게 넘어가기 때문에 백업도 쉽지 않아서 피해를 보기 매우 쉽다. 예방만이 살 길. +
- +
-경제적인 피해 외에 심리적인 피해 역시 심대하다. 이미 몇년 전부터 랜섬웨어의 피해를 입어왔던 해외에서는 돌아가신 어머니 사진이나 죽은 아이의 사진이 열리지 않게 되었다는 안타까운 사례가 굉장히 많다. +
- +
-주로 외국 사이트에서 이런 랜섬웨어를 만들수 있는 해킹툴을 판매하는 모습이 주로 포착되는데, **호기심에라도 절대 구매하지 말자.** 어느 모습을 보던 간에 불법임이 확실하며 괜히 돈좀 번답시고 프로그램 유포했다가 바로 경찰서 가는 사태가 벌어질 수 있다. +
- +
-해커가 요구하는 대로 비트코인 등 가상 계좌로 돈을 보내면 복호화 프로그램을 **줄 지도 모른다. 하지만 먹튀할 때도 있다.** 랜섬웨어 사태 초기에는 어쨌든 돈을 주기만 하면 풀어주긴 한다는 인식을 퍼뜨려 보다 많은 피해자들이 송금하게 함으로써 이익을 극대화시킬 필요가 있었다. 그냥 [[먹튀]]에 불과하다는 인식이 퍼지면 피해자는 파일도 잠기고 돈까지 날리느니 그냥 파일만 포기해 버릴 테니까. 허나 랜섬웨어의 개념이 널리 퍼지고 한탕만 하고 빠지자는 생각을 하는 유포자 놈들 역시 늘어남에 따라, 그냥 돈만 긁어모으고 먹튀를 시전하는 사례 역시 크게 증가했다. 크립토월같은 최근 랜섬웨어들은 한화 수십 만원에 달하는 거액을 요구하는데다 복호화 프로그램을 안 주는 경우가 더 많다. 적은 돈도 아니며 그 돈이 어디서 어떻게 쓰일지도 모르는 판국이라(( 이렇게 모인 피해 금액이 테러 범죄에 사용된다는 분석도 존재한다.)) 신중히 생각해야 한다.+
  
 LAN을 이용해 네트워크를 구성한 상태에서 네트워크 내의 모든 컴퓨터가 죄다 오염되었다면 사태는 더 심각해진다. 키가 컴퓨터마다 고유하게 설정돼서 감염된 다른 컴퓨터에 적용할 수가 없기 때문에, 공용 네트워크를 통해 랜섬웨어가 세트로 퍼질 경우 컴퓨터마다 따로 돈을 내야 한다. LAN을 이용해 네트워크를 구성한 상태에서 네트워크 내의 모든 컴퓨터가 죄다 오염되었다면 사태는 더 심각해진다. 키가 컴퓨터마다 고유하게 설정돼서 감염된 다른 컴퓨터에 적용할 수가 없기 때문에, 공용 네트워크를 통해 랜섬웨어가 세트로 퍼질 경우 컴퓨터마다 따로 돈을 내야 한다.
  
-이런 특성때문에 **사상 최악의 악성코드**라고 불리기도 한다. [[트로이 목마(악성코드)|트로이 목마]] 같은 악성코드를 포함한 다른 [[악성코드]]들은 단순히 프로그램을 파괴하거나 변조하는 어떻게 보면 심한 장난을 치는 것 같은 행동양식을 보이는데 비해, 이건 대놓고 컴퓨터를 인질삼아 돈을 요구하는 [[강도]]나 다를바가 없기 때문이다. 여기에 이 악성코드를 없애도 암호화된 파일은 복구가 되지 않는 것은 물론, [[백신]] 프로그램으로도 복구 소프트웨어로도 한계가 있기 때문에, [[백업]]만이 해결책이다. 백신이야 말할 것도 없지만, 일부 랜섬웨어는 파일의 내용도 변경시키기 때문.(( 복구 프로그램은 파일의 실제 내용이 들어간 영역을 통해 복구를 수행하는데, 그 영역 자체가 변조되니 당연히 복구가 불가능하다. 특히 덮어쓰기가 손쉬운 HDD 등에서 이러한 피해가 크다.)) +이런 특성때문에 **사상 최악의 악성코드**라고 불리기도 한다.  
- +  
-게다가 랜섬웨어는 어느 정도 기술만 있으면 해킹툴을 이용해서 쉽게 만들 수 있는 물건이다. 범인이 잡히고 나서 증언을 들어보면 랜섬웨어 하나 잘 뿌리면 몇천단위 돈은 금방 만질 정도라 랜섬웨어를 만드는 대부분의 이유는 **[[대출 갤러리|들키지만 않으면 저렇게]] [[맞대기|쉽게 돈을 벌 수 있으니까]]**로 요약할 수 있다. 이 경우는 돌려줄 생각도 없으니 훨씬 악질적인 범죄자다. +
- +
-[[youtube(ZURTl6bbSVY)]] +
-[[DOS]]시절에는 이와 비슷하게 [[하드디스크]]의 [[FAT]]를 [[RAM]]에 백업해 놓고 파괴시키는 바이러스가 있었는데, 돈을 요구하지는 않고 게임에서 이겨야지 인질로 메모리에 붙잡아뒀던 [[FAT]]를 다시 복구시켜 준다.+
 =====증상===== =====증상=====
 일단 감염되면, 한동안 CPU팬이 미친듯이 회전하고 하드가 미친듯이 읽어진다 그리고 있는 대로 메모리를 끌어쓰기 시작한다. 그리고 화면 왼쪽 맨위에 이상한 글자가 한 글짜씩 생겨난다 아마 암호화작업을 하며 나오는 글자인거 같다 일단 감염되면, 한동안 CPU팬이 미친듯이 회전하고 하드가 미친듯이 읽어진다 그리고 있는 대로 메모리를 끌어쓰기 시작한다. 그리고 화면 왼쪽 맨위에 이상한 글자가 한 글짜씩 생겨난다 아마 암호화작업을 하며 나오는 글자인거 같다
  
-컴퓨터 성능에 따라 약 5분에서 최장 1시간 정도의 암호화 작업을 하는데(( 외장 하드를 주렁주렁 달고 그 안에 자료를 꽉꽉 채워놨다면 10시간 가까이 걸리기도 한다.)), 컴퓨터의 데이터를 기준으로 [[RSA|암호화 키와 복호화 키를 만들고]] 파일 데이터들을 전체 검색하듯이 찾기 시작한다. Ctrl+F를 하고 *.*를 입력했을 때 찾는 현상과 비슷하다.+컴퓨터 성능에 따라 약 5분에서 최장 1시간 정도의 암호화 작업을 하는데(( 외장 하드를 주렁주렁 달고 그 안에 자료를 꽉꽉 채워놨다면 10시간 가까이 걸리기도 한다.)), 컴퓨터의 데이터를 기준으로  암호화 키와 복호화 키를 만들고  파일 데이터들을 전체 검색하듯이 찾기 시작한다. Ctrl+F를 하고 *.*를 입력했을 때 찾는 현상과 비슷하다.
  
 이때까지는 **겉보기엔** 문제는 없다. 단순히 악성코드가 해당 컴퓨터에 대한 데이터베이스를 구축하고 있는 중이므로, 컴퓨터 속도가 느리고 뭔가가 계속 CPU를 갉아먹는데 Windows 작업 관리자로 잡히지 않는다면, 어떻게든 다른 외부 프로그램을 써서 악성코드로 의심되는 프로세스를 강제로 중지시키고(( 정말 프로세스를 미친듯이 최대한 끌어쓰기 때문에 렉이 버틸 수가 없다.이 상황에서 작업관리자 불러내기만 한다면 어떻게든 살 가능성이 있지만 이게 엔간치 성능이 좋아도 렉이 장난이 아니어서 단순히 컴이 셧다운됐나 하고 오인하기가 **굉장히** 쉽다.(..))) 현 상태에서 [[카스퍼스키]]나 멀웨어 제로 키트(( 'mzk'를 검색해 보면 다운받을 수 있다. 국내의 모 제작자가 배포하는 물건인데 상당히 강력하다.))를 비롯한 랜섬웨어 대응 백신을 돌려보거나 의심되는 파일을 삭제하면 그나마 최소한의 피해로 막을 수 있다. 이때까지는 **겉보기엔** 문제는 없다. 단순히 악성코드가 해당 컴퓨터에 대한 데이터베이스를 구축하고 있는 중이므로, 컴퓨터 속도가 느리고 뭔가가 계속 CPU를 갉아먹는데 Windows 작업 관리자로 잡히지 않는다면, 어떻게든 다른 외부 프로그램을 써서 악성코드로 의심되는 프로세스를 강제로 중지시키고(( 정말 프로세스를 미친듯이 최대한 끌어쓰기 때문에 렉이 버틸 수가 없다.이 상황에서 작업관리자 불러내기만 한다면 어떻게든 살 가능성이 있지만 이게 엔간치 성능이 좋아도 렉이 장난이 아니어서 단순히 컴이 셧다운됐나 하고 오인하기가 **굉장히** 쉽다.(..))) 현 상태에서 [[카스퍼스키]]나 멀웨어 제로 키트(( 'mzk'를 검색해 보면 다운받을 수 있다. 국내의 모 제작자가 배포하는 물건인데 상당히 강력하다.))를 비롯한 랜섬웨어 대응 백신을 돌려보거나 의심되는 파일을 삭제하면 그나마 최소한의 피해로 막을 수 있다.
줄 57: 줄 35:
     * 백신이 오작동한다. 혹은 강제로 꺼지거나 삭제된다.     * 백신이 오작동한다. 혹은 강제로 꺼지거나 삭제된다.
     * 안전모드로 기동할 경우, 중간까지는 로딩되는 듯하다가 다시 정상 윈도우로 부팅된다. 즉, **안전모드 자체로 진입할 수가 없다.**     * 안전모드로 기동할 경우, 중간까지는 로딩되는 듯하다가 다시 정상 윈도우로 부팅된다. 즉, **안전모드 자체로 진입할 수가 없다.**
-    * --당연하겠지만-- 유저가 암호화된 파일을 열 수 없다. 원래 해당 파일을 편집했던 프로그램으로 올려도 '읽을 수 없는 형식'이라 표시된다. 예를 들어 .ppt파일이 .ppt.vvv파일로 변경되었으면 파워포인트로 열 수 없다.+    *  유저가 암호화된 파일을 열 수 없다. 원래 해당 파일을 편집했던 프로그램으로 올려도 '읽을 수 없는 형식'이라 표시된다. 예를 들어 .ppt파일이 .ppt.vvv파일로 변경되었으면 파워포인트로 열 수 없다.
     * 만약 유저가 아직 암호화되지 않은 문서파일을 열 경우, **한동안은 편집이 가능하지만 문서를 저장하는 순간 암호화된다.** 모 [[컴맹]] 유저는 이걸 이용해서 중요 문서들을 연 후 내부 문장들을 다 이메일로 보내는 Ctrl+C, Ctrl+V 노가다를 했다 하니 혹시나 정말 급한 사람은 참조.     * 만약 유저가 아직 암호화되지 않은 문서파일을 열 경우, **한동안은 편집이 가능하지만 문서를 저장하는 순간 암호화된다.** 모 [[컴맹]] 유저는 이걸 이용해서 중요 문서들을 연 후 내부 문장들을 다 이메일로 보내는 Ctrl+C, Ctrl+V 노가다를 했다 하니 혹시나 정말 급한 사람은 참조.
     * 외장하드나 USB로 파일 백업을 시도할 경우, **강제적으로 외장 메모리 접속을 해제시킨다.** 그리고 **옮기기를 시도한 파일들이 전부 암호화된다.**     * 외장하드나 USB로 파일 백업을 시도할 경우, **강제적으로 외장 메모리 접속을 해제시킨다.** 그리고 **옮기기를 시도한 파일들이 전부 암호화된다.**
줄 63: 줄 41:
       * 이렇게 감염된 외장하드를 다른 컴퓨터에 연결한다 해도 당장은 이상이 없다. 배드섹터가 발생한 부분을 제외하고는 정상적으로 파일에 접근할 수 있으며, 외장하드에 파일을 옮기는 것도, 그 파일을 가져오는 것도 가능하다. 하지만 외장하드 내에 위에서 설명한 html과 txt파일이 생성되어 있다면 **절대로 해당 파일을 열지 말자. 감염된다.(( 일부 랜섬웨어는 감염되지는 않고 홈페이지만 열리는 경우가 있다.))**       * 이렇게 감염된 외장하드를 다른 컴퓨터에 연결한다 해도 당장은 이상이 없다. 배드섹터가 발생한 부분을 제외하고는 정상적으로 파일에 접근할 수 있으며, 외장하드에 파일을 옮기는 것도, 그 파일을 가져오는 것도 가능하다. 하지만 외장하드 내에 위에서 설명한 html과 txt파일이 생성되어 있다면 **절대로 해당 파일을 열지 말자. 감염된다.(( 일부 랜섬웨어는 감염되지는 않고 홈페이지만 열리는 경우가 있다.))**
     * 재부팅을 할 때마다 상기한 txt파일, html파일이 시작 프로그램 목록에 또 추가된다. (2번 부팅하면 익스플로러가 2개 뜨고, 3번 부팅하면 익스플로러가 3번 뜨고...--[[고만해 미친놈들아]]--)     * 재부팅을 할 때마다 상기한 txt파일, html파일이 시작 프로그램 목록에 또 추가된다. (2번 부팅하면 익스플로러가 2개 뜨고, 3번 부팅하면 익스플로러가 3번 뜨고...--[[고만해 미친놈들아]]--)
-    * 악성코드는 대략 C드라이브\Program files와 C드라이브\USER\Appdata\Roaming 안에 둥지를 트는 것으로 확인되는데, 문제는 **지워지지 않고, 지웠다 하더라도 증상이 계속된다.** +    * 악성코드는 대략 C드라이브\Program files와 C드라이브\USER\Appdata\Roaming 안에 둥지를 트는 것으로 확인되는데, 문제는 **지워지지 않고, 지웠다 하더라도 증상이 계속된다.** (일부 랜섬웨어는 알약에서 Gen:Variant.Kazy 라는 이름으로 잘못된 진단을 하는 경우가 있다) 
-(일부 랜섬웨어는 알약에서 Gen:Variant.Kazy 라는 이름으로 잘못된 진단을 하는 경우가 있다)+ 
 +모든 시스템 접근권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 대응방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나,깔려있는 게임하거나 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참조할 것.(( 멀웨어바이트에서 나온 카멜레온이라는 필수 프로그램(예를 들어 윈도우 탐색기, IE 등)으로 위장한 백신을 최후의 저항방법으로 사용할 수 있지만, 안전모드가 전혀 통하지 않고  외부 연결이 힘들기 때문에 업데이트가 문제가 된다. 그리고 이런게 워낙 변형된 종류가 많아서 정말로 잡힐지, 혹은 잡더라도 치료가 제대로 될 지는 알 수 없다.)) 
 + 
 + 
 +=====종류===== 
 +  
 + 
 +    * 시놀락커(SynoLocker) : 시놀로지 NAS에 감염되는 랜섬웨어. [[https://goo.gl/GHXEed|구버전|DSM 사용자는 최신 DSM 사용을 권장한다.]] 
 +    * 나부커(NsbLocker) : 가장 약한 형태. 복호화키를 요구하지 않기 때문에, V3를 포함한 어지간한 백신으로도 암호해제가 가능하다. 
 +    * CryptoLocker 
 +    * 크립토월(CrptoWall)=크립토디펜스 : 잘 알려진 랜섬웨어들 중에서도 큰 몸값을 요구하기로 유명하다(( 적어도 500 US달러를 요구한다. 그리고 이는 크립토월을 일정부분 이은 테슬라크립트도 마찬가지.)).  
 +    * [[tech:vvv랜섬웨어|테슬라크립트(TeslaCrypt)]] : 크립토락커와 크립토월을 조합해서 만들어진 랜섬웨어. 이건 문서파일 등 외에도 게임파일을 노린다는 점에서 개인도 주타겟으로 삼고 있다.  닌텐도 세이브가 날아갔다. 카스퍼스키, 개인 블로그 등에서 복호화 툴이 공개되었다.   [[https://github.com/Googulator/TeslaCrack|TeslaCrypt 2.2 (.vvv, .ccc확장자) 복호화 툴이 GitHub에 풀렸다.]] 
 +    * 토렌트락커 
 +    * 버록 
 +    * 비트크립트 - 복구 가능  [[https://noransom.kaspersky.com/|랜섬웨어|복호화 툴]] 
 +    * 크리트로니(=CTBLocker) 
 +    * 코인벌트 - 복구 가능 [[https://noransom.kaspersky.com/|랜섬웨어|복호화 툴]] 
 +    * 폴리스랜섬 
 +    * 더티디크립트 
 +    * 마이컴고 
 +    * ransom32(랜섬32) : 기존의 랜섬웨어는 어도비 플래시의 취약점을 이용하여 광고를 통해 감염되는 방면 이 랜섬웨어는 다운로드한 파일을 통해 자바스크립트를 완전히 감염되기 때문에 백업말고는 답이 없다 자바스크립트는 클라이언트 스크립트이기 때문에 100퍼 보안이 어렵기 때문에 이것을 악용한 것 같다. 
 +    * radamant : 확장자 rrk(변종으로 rmd). 한국어로 친절하게 안내해줄 뿐 아니라 알집 확장자인 alz까지 변환해버린다. 
 + 
 +위의 종류는 일부분이고 매우 많은 종류가 있다.
  
-이쯤 되면 대략 **가정용 컴퓨터로는 [[버틸 수가 없다.]]** 모든 시스템 접근권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 대응방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나,깔려있는 게임하거나 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참조할 것.(( 멀웨어바이트에서 나온 카멜레온이라는 필수 프로그램(예를 들어 윈도우 탐색기, IE 등)으로 위장한 백신을 최후의 저항방법으로 사용할 수 있지만, 안전모드가 전혀 통하지 않고  외부 연결이 힘들기 때문에 업데이트가 문제가 된다. 그리고 이런게 워낙 변형된 종류가 많아서 정말로 잡힐지, 혹은 잡더라도 치료가 제대로 될 지는 알 수 없다.)) 
 =====대처법===== =====대처법=====
-노는 PC, 일하는 PC, 보관용 PC의 분리 +노는 PC, 일하는 PC, 보관용 PC의 분리 
---PC에 중요한 파일이 없으면 포맷 한번에 날아가는 귀찮은 바이러스에 불과하다. 참 쉽죠?--+
  
 크게 [[백업]]과 격리, 예방으로 나눌 수 있으며 사실상 그 외의 대응 수단은 전무하다. 공격자가 요구하는 금액을 주면 운 좋게 해독키를 받을 가능성이 없지는 않으나, 상술하였듯 먹튀 가능성(( 일반적으로 범죄자들과 거래를 하면 그걸 약점잡아 더 뜯어내려 드는 경우가 흔하다. 애초에 신뢰할 수 없다는 것.))도 있고 여러모로 추천할만한 방법은 아니다. 크게 [[백업]]과 격리, 예방으로 나눌 수 있으며 사실상 그 외의 대응 수단은 전무하다. 공격자가 요구하는 금액을 주면 운 좋게 해독키를 받을 가능성이 없지는 않으나, 상술하였듯 먹튀 가능성(( 일반적으로 범죄자들과 거래를 하면 그걸 약점잡아 더 뜯어내려 드는 경우가 흔하다. 애초에 신뢰할 수 없다는 것.))도 있고 여러모로 추천할만한 방법은 아니다.
  
-참고로 아래의 대처법은 랜섬웨어에 아직 걸리지 않았거나, 걸렸다고 해도 암호화가 다 진행되지 않은 경우에 해당하는 대처법이다. 전부 암호화가 되면 그때는 [[망했어요]]. 그래도 랜섬웨어가 계속 있으면 부팅할 때마다 자동으로 안내문을 여는 등 좋을 건 없으니 악성코드 삭제툴을 한 번 돌린 다음 눈물을 머금으며 암호화된 파일과 랜섬웨어가 싸지른 똥들을 보이는 족족 치워주자. + 
 현재까지의 이론과 기술력으로는 랜섬웨어에 걸린 파일들을 복구하는 방법은 기본적으로 붙잡힌 해당 랜섬웨어 제작자가 만든(..) 복호화 툴을 기본으로 하는 것이며,**변종 랜섬웨어는 아주 많다.** 현재까지의 이론과 기술력으로는 랜섬웨어에 걸린 파일들을 복구하는 방법은 기본적으로 붙잡힌 해당 랜섬웨어 제작자가 만든(..) 복호화 툴을 기본으로 하는 것이며,**변종 랜섬웨어는 아주 많다.**
  
 그러니 중요한 자료가 있는 사람이라면 지금 이 글을 보는 순간 바로 백업과 보안 조치를 시작하라. 그러니 중요한 자료가 있는 사람이라면 지금 이 글을 보는 순간 바로 백업과 보안 조치를 시작하라.
 ====백업==== ====백업====
-가장 강력하고 가장 확실하며 수많은 실전 경험(?)이 축적되고 검증된 대처법이다. 백업 이기는 랜섬웨어는 없다. 아래 설명된 모든 방법을 시도하기 전에 백업부터 먼저 챙기자. 아래 설명된 방법들을 다 지켜서 철통방어를 한다고 해도 **창은 언제나 방패를 이겨왔다**. 백업은 현실세계의 [[1UP]]이다.+가장 강력하고 가장 확실하며 수많은 실전 경험(?)이 축적되고 검증된 대처법이다. 백업 이기는 랜섬웨어는 없다. 아래 설명된 모든 방법을 시도하기 전에 백업부터 먼저 챙기자. 아래 설명된 방법들을 다 지켜서 철통방어를 한다고 해도 **창은 언제나 방패를 이겨왔다**.  
  
 중요한 파일은 물리적으로 분리된 여러 컴퓨터 및 외부 저장 매체에 분산 저장해야 하며, 후술하겠지만 사용하지 않을 때에는 번거롭더라도 연결을 해제해야 한다. 외장하드나 USB메모리보다는 재기록이 불가능한 공DVD가 더 안전하다. 중요한 파일은 물리적으로 분리된 여러 컴퓨터 및 외부 저장 매체에 분산 저장해야 하며, 후술하겠지만 사용하지 않을 때에는 번거롭더라도 연결을 해제해야 한다. 외장하드나 USB메모리보다는 재기록이 불가능한 공DVD가 더 안전하다.
  
-보호해야 할 자료가 상대적으로 저용량이라면 [[원드라이브]][[구글드라이브]], [[드롭박스]] 등의 동기화식 클라우드 서비스를 이용하면 편리하다. 여러 컴퓨터에서 동시에 이들 서비스를 사용할 경우, 자동으로 데이터를 동기화해주기 때문에 다른 컴퓨터를 잠깐 껐다 켜주는 것만으로도 백업을 진행해준다. 랜섬웨어에 오염된 줄도 모르고 그대로 동기화시켜버리면 [[망했어요]]가 될 거라 생각할 수도 있으나, **이러한 서비스들은 클라우드 서버에 파일 히스토리를 남겨 언제든 해당 시간대로 복구가 가능하다.** 클라우드 기업들이 빙다리 핫바지도 아니기 때문에 일개 [[양아치]] 놈들이 (( 랜섬웨어의 파급효과 자체는 무시무시하지만, 기술적인 관점에서만 보자면 매우 저능한 수준의 악성 코드다. "취약 지점으로 침투 > 사용자 파일 오버라이트"가 동작의 전부이며 취약 지점 탐색 외에는 대학교 학부생도 어렵지 않게 제작할 수 있는 수준이다.그렇다고 만들어서 배포하지는 말고 **물론 저능하다고 해서 위험하지 않은 건 절대 아니다!** 이런 짓거리를 생각해낸 놈들의 창의성이야말로 [[대다나다]])) 서버의 백업본까지 어찌할 방도가 없다. 어찌보면 랜섬웨어에 대항할 수 있는 가장 훌륭한 방어 수단.+보호해야 할 자료가 상대적으로 저용량이라면 원드라이브, 구글드라이브, [[dropbox|드롭박스]] 등의 동기화식 클라우드 서비스를 이용하면 편리하다. 여러 컴퓨터에서 동시에 이들 서비스를 사용할 경우, 자동으로 데이터를 동기화해주기 때문에 다른 컴퓨터를 잠깐 껐다 켜주는 것만으로도 백업을 진행해준다. 
  
 또한 시스템 복원 지점을 정기적으로 설정했다면 파일복구가 아예 불가능한 것이 아니다. shadow explorer라는 툴을 사용하면 쉽게 복구를 할 수 있다. (포맷을 안 해도 된다!) 하지만 요새 나오는 것들은 시스템 복원 지점을 기본적으로 삭제해놓고 들어간다고 하니 주의하자. 또한 시스템 복원 지점을 정기적으로 설정했다면 파일복구가 아예 불가능한 것이 아니다. shadow explorer라는 툴을 사용하면 쉽게 복구를 할 수 있다. (포맷을 안 해도 된다!) 하지만 요새 나오는 것들은 시스템 복원 지점을 기본적으로 삭제해놓고 들어간다고 하니 주의하자.
줄 89: 줄 88:
 ====백신 및 OS 업데이트==== ====백신 및 OS 업데이트====
 일반적인 바이러스에 대해서도 당연하게 언급되는 이야기지만 [[OS]], 백신 프로그램 업데이트를 꾸준하게 해주는 게 좋다. 윈도우 최신 보안 업데이트 역시 당연히 필수. 일반적인 바이러스에 대해서도 당연하게 언급되는 이야기지만 [[OS]], 백신 프로그램 업데이트를 꾸준하게 해주는 게 좋다. 윈도우 최신 보안 업데이트 역시 당연히 필수.
-그리고 보통은 이런 보안책이 없는 윈도우 XP에서 기승을 부리기 때문에 되도록 최신 버전 OS를 설치해서 사용하는게 좋다. 윈도7 역시 최신 업데이트를 하지 않으면  [[http://www.datanet.co.kr/news/articleView.html?idxno=94914|짤|없이 감염되며]]  최근에는 [[Windows 8.1|윈도8.1]], [[Windows 10|10]]에서의 감염사례도 보고되었다.+그리고 보통은 이런 보안책이 없는 윈도우 XP에서 기승을 부리기 때문에 되도록 최신 버전 OS를 설치해서 사용하는게 좋다. 윈도7 역시 최신 업데이트를 하지 않으면  [[http://www.datanet.co.kr/news/articleView.html?idxno=94914|짤 없이 감염되며]]  최근에는 [[Windows 8.1|윈도8.1]], [[Windows 10|10]]에서의 감염사례도 보고되었다.
  
-랜섬웨어가 기승을 부릴 때는 [[바이러스 토탈]]에 들어가 자신이 들어가고자 하는 사이트, 혹은 다운받은 파일에 랜섬웨어가 심어져 있는지 확인하는 것이 좋다. 그리고 UAC가 뜰 때 예스맨이 되지 말고 잘 살펴보자. 이것으로도 플래시 자동실행 등 보안 취약점을 활용한 랜섬웨어는 막을 수 없지만, 적어도 본인의 동의를 요구하는 일부 랜섬웨어는 막을 수 있다. 
  
-그리고 일부 사용자들은 "엄한 사이트 안들어가고 [[복돌이]] 안쓰면 안전하다"라고 생각하는 경우도 종종 보이는데 **절대 그렇지 않다!** 특히나 최근 문제가 된 사례에서는 [[제로데이|패치되지 않은 취약점]]을 이용했다. 아무리 정품만 쓰고, 불법사이트 안 들어가고, 백신을 깔아둔다고 해도 걸린다. 가장 중요한 것은 **최신버전으로 업데이트를 유지**하는 것이다. 가볍다는 이유로 구버전을 계속 쓴다든가, 컴퓨터가 느려진다는 이유로 자동 업데이트를 꺼둔다든가, 귀찮다는 이유로 업데이트 설치하겠냐는 메시지를 거절하거나, 업데이트 후 재부팅하겠다는 메시지를 계속 미룬다든가 하는 순간에 감염되는 수가 있다.+그리고 일부 사용자들은 "엄한 사이트 안들어가고 복돌이 안쓰면 안전하다"라고 생각하는 경우도 종종 보이는데 **절대 그렇지 않다!** 특히나 최근 문제가 된 사례에서는 [[제로데이|패치되지 않은 취약점]]을 이용했다. 아무리 정품만 쓰고, 불법사이트 안 들어가고, 백신을 깔아둔다고 해도 걸린다. 가장 중요한 것은 **최신버전으로 업데이트를 유지**하는 것이다. 가볍다는 이유로 구버전을 계속 쓴다든가, 컴퓨터가 느려진다는 이유로 자동 업데이트를 꺼둔다든가, 귀찮다는 이유로 업데이트 설치하겠냐는 메시지를 거절하거나, 업데이트 후 재부팅하겠다는 메시지를 계속 미룬다든가 하는 순간에 감염되는 수가 있다.
  
 물론 백신 개발사나 OS 개발사가 모든 공격을 예측하고 이를 사전에 방어하는 것은 불가능하므로, 최신 업데이트를 한다 해도 [[DTD|뚫릴 수는 있다]]. 다만 업데이트 안 할 때에 비해 공격당할 확률이 압도적으로 줄어드는 것은 당연. 어차피 뚫릴 거니까 업데이트도 안 하겠다는 똥멍청한 짓은 하지 말자. 다른 누군가가 공격 당하는 동안 개발사가 열심히 업데이트를 하는 셈이기 때문에, 최소한 남들이 당한 적 있는 랜섬웨어에 또 당하지는 않게 된다. 다만 자신이 희생양이 될 순 있다. 물론 백신 개발사나 OS 개발사가 모든 공격을 예측하고 이를 사전에 방어하는 것은 불가능하므로, 최신 업데이트를 한다 해도 [[DTD|뚫릴 수는 있다]]. 다만 업데이트 안 할 때에 비해 공격당할 확률이 압도적으로 줄어드는 것은 당연. 어차피 뚫릴 거니까 업데이트도 안 하겠다는 똥멍청한 짓은 하지 말자. 다른 누군가가 공격 당하는 동안 개발사가 열심히 업데이트를 하는 셈이기 때문에, 최소한 남들이 당한 적 있는 랜섬웨어에 또 당하지는 않게 된다. 다만 자신이 희생양이 될 순 있다.
 + 
  
-XP 지원중단이 논란이 된 이유가 바로 이것이다. XP자체의 취약점이 있다면 아무리 사용자가 노력을 해도 뚫릴 수 밖에 없다. 그래서 모든 시스템은 개발사에서 지속적인 보안 업데이트를 계속하여 크래커들과의 끝없는 창과 방패 싸움을 하면서 쓰는 것이다. 그런데 XP는 바로 이런 지원을 중단하겠다고 선언했으므로 더이상 가급적이면 쓰지 말라는 것이다. 물론 아직까지 XP자체의 취약점을 이용해서 범죄가 발생한 사례는 알려져 있지 않다. 그러나 사용자도 미쳐 몰랐던 시스템 취약점을 고쳤다는 내용의 업데이트는 계속 올라오고 있다.(( 참고로 XP는 지원중단을 선언하며 더이상 보안업데이트가 되지 않아야 하지만 가끔씩은 업데이트가 이뤄진다. 아마 XP뿐만 아니라 윈도우 시리즈 전반에 공통으로 적용되는 취약점 패치는 계속되는 것으로 추정된다. 아니면 그냥 [[츤데레]]거나 취소선이 그어져 있긴 하지만 진짜 사실일 가능성도 있다. 취약점으로 인한 문제 발생시 법적 책임을 회피하기 위해서 더이상 지원 안 한다고 선언만 해놓고 계속 지원해주는 것일 확률이 있다.물론 그렇다고 xp를 마음껏 써도 된다는 의미는 아니다.)) 
- 
-못 믿겠으면 당장 제어판으로 가서 윈도우즈 업데이트 이력을 한번 보자. 업데이트를 켜놨다면 **엄청난 수의 목록**이 뜨는데 몇 개 눌러보면 '관리자 권한을 취득할 수 있었던 취약점 해결' 이런식으로 패치 내역이 나와 있다. 한마디로 그 패치가 되기 전까진 크래커가 **당신의 시스템을 맘대로 조작해서 랜섬웨어를 포함한 여러 프로그램을 깔 수 있었다**는 의미다. 다만 실제로 저런 취약점을 이용하려면 OS개발사보다도 더 빨리 취약점을 찾아내야 하기 때문에 굉장한 노력이 들어가고 그런 노력을 들여서 할 수 있는것이라고 해봤자 남의 컴퓨터를 강제로 포멧하거나 이상한 장난을 치는 정도였기 때문에 실제로 문제가 되는일이 적었을 뿐이다. 하지만 랜섬웨어는 노력에 따르는 금전적 이득을 얻을수 있기 때문에 사태가 커진 것이다. 
  
 결국 윈도우에서 12월 8일자로 대량의 보안 업데이트를 개시했다. [[https://technet.microsoft.com/ko-kr/library/security/dn639106.aspx|링크]] MS15-124부터 MS15-135까지 무려 11개의 보안 취약점이 해결된 것. 아직 랜섬웨어에 걸리지 않았다면 **반드시 설치하자.** **지금 당장 설치해야 한다.** 하단을 보면 알겠지만 **인터넷 익스플로러의 특정 스크립트를 통해 __윈도우 브라우저 권한을 전부 획득하는 보안문제__를 해결할 수 있다.** 결국 윈도우에서 12월 8일자로 대량의 보안 업데이트를 개시했다. [[https://technet.microsoft.com/ko-kr/library/security/dn639106.aspx|링크]] MS15-124부터 MS15-135까지 무려 11개의 보안 취약점이 해결된 것. 아직 랜섬웨어에 걸리지 않았다면 **반드시 설치하자.** **지금 당장 설치해야 한다.** 하단을 보면 알겠지만 **인터넷 익스플로러의 특정 스크립트를 통해 __윈도우 브라우저 권한을 전부 획득하는 보안문제__를 해결할 수 있다.**
  
-2015년 12월 8일자 마이크로소프트 윈도우 업데이트를 통해 해결할 수 있는 취약점은 다음과 같다. 
  
- *[[Internet Explorer]] 메모리 손상 취약점 해결 
- *Internet Explorer XSS 필터 우회 취약성 
- *Internet Explorer 정보 유출 취약성 
-  *Microsoft [[Silverlight]] 정보 유출 취약성 --기어코 이놈이 일을 냈다.-- 
-  *Windows Media Center 정보 유출 취약성 --그리고 이놈도 일을 냈다.-- 
- *Microsoft 브라우저 ASLR 우회 취약성 
- *Microsoft 브라우저 권한 상승 취약성 
- *Microsoft 브라우저 메모리 손상 취약성 
-  *Windows DNS 해제 후 사용 취약성 
-  *그래픽 메모리 손상 취약성 
-  *Windows 정수 언더플로 취약성 
-  ***[[Microsoft Office]] 메모리 손상 취약성** (( 이건 오피스 파일이 면역이란게 아니고 오피스 파일이 악성코드 매개가 될 가능성을 막았다는 말이다.)) 
-  *Windows 라이브러리 로드 원격 코드 실행 취약성 
-  *Windows PGM UAF 권한 상승 취약성 
-  *WIndows 커널 메모리 권한 상승 취약성 
- *스크립팅 엔진 정보 유출 취약성 
- *스크립팅 엔진 메모리 손상 취약성 
-  *JScript 5.7 및 VBScript 5.7에서 발생할 수 있는 보안 취약성 
  
-중요한 업데이트이므로 Window 보안 업데이트 만큼은 꼭 받아두자. 보면 알겠지만 랜섬웨어가 획득할 수 있었던 대부분의 문제를 해결한다. 라이브러리 로드 원격 코드 실행 및 권한 상승 취약성을 다수 해결하므로 **서비스팩4**에 해당할 만큼 중요한 업데이트가 될 듯하다. -  +
-유료 백신을 여러 개 실행하고 있는 상태에서 랜섬웨어에 걸리는 실험을 해 본 유저가 있는데, 그 어떤 백신도 막지 못했다는 이야기가 있었다. +
-백신들을 여러 개 사용했기 때문에 충돌이 있었을 가능성도 있지만, 백신을 너무 믿지 말고 OS 업데이트 역시 해두라는 말을 하고 싶다. +
-업데이트 이후로도 증상이 발생하는지는 [[추가 바람]]+
  
 ====하드웨어/소프트웨어적 격리==== ====하드웨어/소프트웨어적 격리====
-작업용 컴퓨터는 [[오프라인]] 상태로 둬서 랜섬웨어로부터 **물리적으로** 격리시키는 것이 가장 강력한 해결책이다. 만일의 사태를 위해서 백업은 필수. 업데이트가 상당히 불편해진다는 단점이 있긴 하나(( 업데이트 파일을 체크하고 별도의 저장 장치에 넣고 해당 컴퓨터에 꽂아 설치하는 과정을 수동으로 해야 한다.)) 상술한 동기화 서비스를 이용하면 백업 매체에 전원을 넣는 것만으로도 원본을 유지할 수 있다.+작업용 컴퓨터는 오프라인 상태로 둬서 랜섬웨어로부터 **물리적으로** 격리시키는 것이 가장 강력한 해결책이다. 만일의 사태를 위해서 백업은 필수. 업데이트가 상당히 불편해진다는 단점이 있긴 하나(( 업데이트 파일을 체크하고 별도의 저장 장치에 넣고 해당 컴퓨터에 꽂아 설치하는 과정을 수동으로 해야 한다.)) 상술한 동기화 서비스를 이용하면 백업 매체에 전원을 넣는 것만으로도 원본을 유지할 수 있다.
  
 또한 외장하드 등 분리 가능한 매체에 넣었다면 **반드시 물리적으로 분리할것.** 외장하드 뿐만 아니라 네트워크 드라이브 역시 오염될 가능성이 매우 높기 때문에 사용하지 않거나 필요할 경우에만 연결하는 것이 좋다. 또한 외장하드 등 분리 가능한 매체에 넣었다면 **반드시 물리적으로 분리할것.** 외장하드 뿐만 아니라 네트워크 드라이브 역시 오염될 가능성이 매우 높기 때문에 사용하지 않거나 필요할 경우에만 연결하는 것이 좋다.
  
-위험하다 싶은 사이트에 굳이 들어갈 일이 생긴다면 [[VMware]], [[VirtualBox]] 등 [[소프트웨어/목록#s-8|가상화 프로그램]]을 쓰는 것도 좋지만 굉장히 귀찮을 뿐더러 랜섬웨어 감염에 예고가 있는 것도 아니고, 또한 호스트 머신과 가상 머신 사이에 공유폴더를 지정해둘 경우 이 공유폴더 역시 고스란히 감염될 수 있기 때문에 여러모로 단발성이 짙은 방법이다.+ 
  
-====문제아들보안 허점 소프트웨어 삭제 ==== +==== 보안 허점 소프트웨어 삭제 ==== 
-어도비 플래시를 아예 삭제해 버리는 것도 주요한 방법 중 하나이다. 어도비 측에서 공식적으로 플래시를 포기했다는 뉴스가 떴기에(( [[http://news.inews24.com/php/news_view.php?g_serial=931805&g_menu=020600|플래시|사용 중단 권고 관련 뉴스기사]] 참고.)) 사실상 공식적인 예방책. [[스마트폰]]의 득세로 점차적으로 플러그인 사용을 금기시하는 분위기가 형성되고 있는지라 플래시를 걷어내고 있는 추세이기도 해서, **할 수 있으면 플래시 플레이어 프로그램 자체를 끄거나 삭제하는 게 낫다.**(( 파폭은 기본설정이 꺼짐이고, 크롬과 익플만 해당. 윈8이후 IE나 크롬은 플래시가 내장되어 있어 삭제는 못하지만 끄는건 가능하다.)) 또한 검증되지 않은 광고를 통해 침입할 수도 있으므로 애드블록 플러스 같은 확장 프로그램으로 대비를 해 두는 것도 방법이다.+어도비 플래시를 아예 삭제해 버리는 것도 주요한 방법 중 하나이다. 어도비 측에서 공식적으로 플래시를 포기했다는 뉴스가 떴기에(( [[http://news.inews24.com/php/news_view.php?g_serial=931805&g_menu=020600|플래시 사용 중단 권고 관련 뉴스기사]] 참고.)) 사실상 공식적인 예방책. 스마트폰의 득세로 점차적으로 플러그인 사용을 금기시하는 분위기가 형성되고 있는지라 플래시를 걷어내고 있는 추세이기도 해서, **할 수 있으면 플래시 플레이어 프로그램 자체를 끄거나 삭제하는 게 낫다.**(( 파폭은 기본설정이 꺼짐이고, 크롬과 익플만 해당. 윈8이후 IE나 크롬은 플래시가 내장되어 있어 삭제는 못하지만 끄는건 가능하다.))  
  
-그리고 아크로뱃리더, 실버라이트, 자바가 설치된 시스템에서도 보안 취약점을 이용해 감염시킬 수 있다.  내 PC의 4대 문제아 플래시를 포함한 이 4가지 프로그램은 사용을 자제하거나 항상 최신버전을 유지하는 것도 좋은 예방책 되겠다. 걍 다 삭제해버리는게 젤 좋을 듯  --자바 개발자 : 뭐?-- 다만 여전히 사용되고 있는 포맷인 PDF는 [[엣지]]브라우저나 [[구글 크롬]]에서는 자체 렌더링 엔진을 제공하니 대체가능하지만 기능이 아쉬운편. 윈8은 내장앱인 리더로 볼 수 있고, 윈10도 윈8의 리더를 설치해서 쓸 수 있다. --윈7은 그냥 크롬써라, 윈XP는 그냥 **쓰지마**-- 물론 PDF 읽기가 가능한 서드파티 프로그램이 많으니 그걸 써도 좋다. 보안을 떠나 왠만한 서드파티들은 아크로뱃만큼 느리진 않다. 당장 MS Word도 --좀 깨지지만-- **편집**까지 가능하니+그리고 아크로뱃리더, 실버라이트, 자바가 설치된 시스템에서도 보안 취약점을 이용해 감염시킬 수 있다. 
  
  
 +  * 구글 크롬은 어도비플래쉬플레이어가 자체 내장 되어 있다. ''%%chrome://plugins/%%''에서 플래쉬 플레이어를 끄면 된다.
 ====수동 대처 방법==== ====수동 대처 방법====
 랜섬웨어가 파일을 암호화하는 동안 사용자가 바이러스를 지우거나 멈추는 것을 막기 위해 위에 서술한 대로 백신, 명령 프롬프트(cmd), 윈도우 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자(Ctrl+Alt+Del), 안전모드 부팅 등을 막는다. 그러면 사용자는 아무것도 하지 못한 채 발만 동동 구르며 암호화를 지켜보게 된다.  랜섬웨어가 파일을 암호화하는 동안 사용자가 바이러스를 지우거나 멈추는 것을 막기 위해 위에 서술한 대로 백신, 명령 프롬프트(cmd), 윈도우 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자(Ctrl+Alt+Del), 안전모드 부팅 등을 막는다. 그러면 사용자는 아무것도 하지 못한 채 발만 동동 구르며 암호화를 지켜보게 된다. 
줄 151: 줄 126:
  
 ====그 외의 피해 최소화 방법==== ====그 외의 피해 최소화 방법====
-만약 랜섬웨어 피해가 발생하게 된다면 즉시 **시스템 복원이라던가 백신을 총동원시켜서 피해를 정지시켜야 한다.** (( 물론 현대의 랜섬웨어는 그것들을 전부 무력화시키려고 하니 많이 힘들 것이다.))그 이후에는 백업을 해두도록 하자. 어차피 프로그램은 다시 깔면 그만이지 않은가? 랜섬웨어가 모든 문서를 다 스캔한 뒤에 암호화를 하는 게 아니라 순차적으로 하나하나 암호화를 진행하기 때문에 **1초라도 더 빨리 정지시켜야하며 파티션을 새로 나눈다음에 그곳에 남은 파일을 옮긴다음 포맷을 해야 한다. 포맷하고 윈도우를 새로 설치하는 작업이 끝났다면 반드시 **백신 프로그램으로 스캔할 것.** 그래야 추가 데미지를 막을 수 있고 내 파일도 온전하게 지킬 수 있다.(( 드라이브를 나눌 경우 동시에 공격받는다.))+만약 랜섬웨어 피해가 발생하게 된다면 즉시 **시스템 복원이라던가 백신을 총동원시켜서 피해를 정지시켜야 한다.** (( 물론 현대의 랜섬웨어는 그것들을 전부 무력화시키려고 하니 많이 힘들 것이다.))그 이후에는 백업을 해두도록 하자. 어차피 프로그램은 다시 깔면 그만이지 않은가? 랜섬웨어가 모든 문서를 다 스캔한 뒤에 암호화를 하는 게 아니라 순차적으로 하나하나 암호화를 진행하기 때문에 **1초라도 더 빨리 정지시켜야하며 파티션을 새로 나눈 다음에 그곳에 남은 파일을 옮긴다음 포맷을 해야 한다. 포맷하고 윈도우를 새로 설치하는 작업이 끝났다면 반드시 **백신 프로그램으로 스캔할 것.
  
-해커를 정말 잘 설득하면 공짜로(!) 키를 받을 수 있다. 처음부터 공격적으로 욕설을 사용하면 더 큰 해를 부를 수 있으니 정신을 놓아선 안 된다. 아니면 감성팔이를 하는 것 또한 어느 정도의 가능성이 있다. 아니면 이쪽에서도 사기를 치는 방법이 있다. "돈을 지불하려고 하는데 당신 랜섬웨어 때문에 비트코인 지갑이 망가졌네요. 잠깐 풀어주세요." 혹은 "비트코인을 외부 저장소에 뒀는데 랜섬웨어 때문에 연결이 되질 않아요." 하고 나서 복호화 키만 받고 내뺀다든지... + 
---이건 이거대로 사기꾼이다-- --사기엔 사기가 답이다-- --PROFIT!!-- +
-**그러나 이런 식으로 피해를 해결할 수 있는 확률은 매우 적으니 처음부터 조심하자!!** +
  
  
줄 162: 줄 135:
  
  
-=====종류===== 
-취소선 쳐진 경우는 범인들이 체포되어 암호키가 공개된 경우. 
- 
-    * 시놀락커(SynoLocker) : 시놀로지 NAS에 감염되는 랜섬웨어. [[https://goo.gl/GHXEed|구버전|DSM 사용자는 최신 DSM 사용을 권장한다.]] 
-    * 나부커(=NsbLocker) : 가장 약한 형태. 복호화키를 요구하지 않기 때문에, V3를 포함한 어지간한 백신으로도 암호해제가 가능하다. 
-    * [[CryptoLocker]] 
-    * 크립토월(CrptoWall)=크립토디펜스 : 잘 알려진 랜섬웨어들 중에서도 큰 몸값을 요구하기로 유명하다(( 적어도 500 US달러를 요구한다. 그리고 이는 크립토월을 일정부분 이은 테슬라크립트도 마찬가지.)).  
-    * 테슬라크립트(TeslaCrypt) : 크립토락커와 크립토월을 조합해서 만들어진 랜섬웨어. 이건 문서파일 등 외에도 게임파일을 노린다는 점에서 개인도 주타겟으로 삼고 있다.  닌텐도 세이브가 날아갔다. 카스퍼스키, 개인 블로그 등에서 복호화 툴이 공개되었다. 
-    * 토렌트락커 
-    * 버록 
-    * 비트크립트 
-    * 크리트로니(=CTBLocker) 
-    * 코인벌트 
-    * 폴리스랜섬 
-    * 더티디크립트 
-    * 마이컴고 
-    * ransom32(랜섬32) : 기존의 랜섬웨어는 어도비 플래시의 취약점을 이용하여 광고를 통해 감염되는 방면 이 랜섬웨어는 다운로드한 파일을 통해 자바스크립트를 완전히 감염되기 때문에 백업말고는 답이 없다 자바스크립트는 클라이언트 스크립트이기 때문에 100퍼 보안이 어렵기 때문에 이것을 악용한 것 같다. 
-    * radamant : 확장자 rrk(변종으로 rmd). 한국어로 친절하게 안내해줄 뿐 아니라 알집 확장자인 alz까지 변환해버린다. 
- 
-위의 종류는 일부분이고 매우 많은 종류가 있다. 
 =====2015년 랜섬웨어 사태===== =====2015년 랜섬웨어 사태=====
-2015년 4월 21일 새벽, [[클리앙]]의 광고 서버가 해킹되어 랜섬웨어를 배포하였고, 구버전 플래시의 취약점을 이용하여 공격하는 방식으로 **사이트에 접속만 해도** 랜섬웨어에 감염되어 파일들이 암호화되는 사건이 발생하였다. 그 정체는 바로 **[[크립토락커]]의 한글버전이었다.''' 이 사건으로 인해 클리앙의 이용자들이 피해를 입었으며 특히, 회사 컴퓨터로 접속하는 바람에 회사 중요파일들이 몽땅 암호화되어 피해는 더욱 심각해졌다. 특이한 것은 랜섬웨어가 한글화가 된 점으로, 한국을 집중적으로 노린 공격이라는 뜻이다.[[http://www.boannews.com/media/view.asp?idx=46010&page=1&kind=1|클리앙|랜섬웨어 사건의 전말]]+2015년 4월 21일 새벽, <del>씨발</del>클리앙의 광고 서버가 해킹되어 랜섬웨어를 배포하였고, 구버전 플래시의 취약점을 이용하여 공격하는 방식으로 **사이트에 접속만 해도** 랜섬웨어에 감염되어 파일들이 암호화되는 사건이 발생하였다. 그 정체는 바로 크립토락커의 한글버전이었다.  이 사건으로 인해 클리앙의 이용자들이 피해를 입었으며 특히, 회사 컴퓨터로 접속하는 바람에 회사 중요파일들이 몽땅 암호화되어 피해는 더욱 심각해졌다. 특이한 것은 랜섬웨어가 한글화가 된 점으로, 한국을 집중적으로 노린 공격이라는 뜻이다.[[http://www.boannews.com/media/view.asp?idx=46010&page=1&kind=1|클리앙 랜섬웨어 사건의 전말]]
  
-4월 22일에는 [[seeko]][[디시인사이드]]의 광고서버가 해킹되어 랜섬웨어의 배포지가 되는 등, 국내 커뮤니티로 랜섬웨어 배포가 확산되면서 피해가 커질 전망이다. 특히 이번에 문제가 되는 랜섬웨어의 경우 취약점 공격이 1~2개로 한정되있는 것으로 보아 일종의 시범타 성격이 큰 바, 본격적으로 공격이 진행되면 지금보다도 더 큰 재앙이 도래할지도 모른다.  +4월 22일에는 seeko, 디시인사이드의 광고서버가 해킹되어 랜섬웨어의 배포지가 되는 등, 국내 커뮤니티로 랜섬웨어 배포가 확산되면서 피해가 커질 전망이다. 특히 이번에 문제가 되는 랜섬웨어의 경우 취약점 공격이 1~2개로 한정되있는 것으로 보아 일종의 시범타 성격이 큰 바, 본격적으로 공격이 진행되면 지금보다도 더 큰 재앙이 도래할지도 모른다.  
- +   
-[[6월 11일]] 자로 다시 랜섬웨어가 기승을 부리기 시작했다. +  
- +[[https://hitomi.la/tag/uncensored-korean-1.html|]]등의 사이트를 통해 감염된 사례도 보고되고 있다. 
-10월 중순부터 ccc바이러스라 불리우는 랜섬웨어가 유행하기 시작했다.모든 파일의 확장자명을 cc나 ccc로 바꾼후 비트코인을 요구하는 창과 결제방법창을 띄운다고한다. + 
- +
-11월 13일 드디어 CoinVault의 랜섬웨어 유포/제작자가 네덜란드 경찰에 의해 검거되었고, 현재 CoinVault 랜섬웨어의 모든 복호화 키를 넘겨 받아서 [[카스퍼스키]]에서 복구 툴을 만들어 배포중이다. 해당 홈페이지 참조 [[https://noransom.kaspersky.com/|랜섬웨어|복호화 툴]] +
-복구 가능한 랜섬웨어는 CoinVault 와 Bitcryptor 두 가지이다. +
- +
-12월 5일에는 일본에서 시작된걸로 보이는 통칭 'VVV' 랜섬웨어가 기승을 부리기 시작했다. 몇몇 대형 [[마]] 사이트를 매개로 퍼진다고 알려졌으며 이것도 위와 마찬가지로 광고를 통해 전염되고, 파일 확장자를 'vvv'로 바꾸고 암호화시키는데다 **윈도우 복원포인트까지 삭제시킨다**고 한다. 단 일본 웹에서는 마토메 사이트가 매개라는 점에 대해 의혹을 제기하는 견해도 적지 않다. 랜섬웨어 문제가 본격적으로 공론화되기 전인 2010년경부터 이미 VVV 랜섬웨어 자체는 존재했고, 굳이 마토메 사이트가 아니라도 해외 웹사이트나 성인 사이트의 광고를 매개로 감염되는 사례가 있었기 때문에 마토메 사이트 감염설을 마토메 안티들의 선동이라고 보는 시각도 많다.(( 애초에 마토메 사이트에 들어갔다가 감염되었다는 정의 소스 자체도 어느 트위터 유저의 트윗뿐이었고 그 외에는 사례가 나오지 않았다.)) 또한 주로 트위터를 중심으로 이 랜섬웨어에 대해 검증지 않은 불확실한 정보들이 무수히 돌고 있는 형편이라 사람들을 불안하게 만들고 있다. +
- +
-12월 8일, 상기 항목을 보면 알겠지만 마이크로소프트에서 관련 대응 업데이트를 개시했다. 보안업데이트도 중지한다는 XP도 이번만큼은 업데이트를 지원할 만큼 긴급하게 업데이트를 단행한 건데, 문제는 이 업데이트를 설치하고 나서도 랜섬웨어에 감염되는 사례가 있어 아직은 조심해야 할 단계다.  +
- +
-[[http://cafe.naver.com/malzero/94376|멜웨어|제로 키트 카페]] 2013년에 올라온 게시글인데 VVV랜섬웨어도 이 게시글에 작성된 방법으로 치료할 수 있다.  +
- +
-1월 10일경에 TeslaCrypt 2.2 (.vvv, .ccc확장자) 복호화 툴이 GitHub에 풀렸다. [[https://github.com/Googulator/TeslaCrack]] +
- +
-[[분류:악성코드]]+
  
   * 출처: 나무위키- 랜섬웨어([[https://creativecommons.org/licenses/by-nc-sa/2.0/kr/|CC BY-NC-SA 2.0 KR]])   * 출처: 나무위키- 랜섬웨어([[https://creativecommons.org/licenses/by-nc-sa/2.0/kr/|CC BY-NC-SA 2.0 KR]])
  
-{{tag>랜섬웨어}}