| 양쪽 이전 판이전 판다음 판 | 이전 판 |
| tech:랜섬웨어 [2016/01/29 04:19] – [보안 허점 소프트웨어 삭제] 192.168.0.1 | tech:랜섬웨어 [2019/04/14 11:15] (현재) – [랜섬웨어] V_L |
|---|
| | {{tag>랜섬웨어}} |
| ======랜섬웨어====== | ======랜섬웨어====== |
| | |
| |
| | |
| 해커가 요구하는 대로 비트코인 등 가상 계좌로 돈을 보내면 복호화 프로그램을 **줄 지도 모른다. 하지만 먹튀할 때도 있다.** 랜섬웨어 사태 초기에는 어쨌든 돈을 주기만 하면 풀어주긴 한다는 인식을 퍼뜨려 보다 많은 피해자들이 송금하게 함으로써 이익을 극대화시킬 필요가 있었다. 그냥 [[먹튀]]에 불과하다는 인식이 퍼지면 피해자는 파일도 잠기고 돈까지 날리느니 그냥 파일만 포기해 버릴 테니까. 허나 랜섬웨어의 개념이 널리 퍼지고 한탕만 하고 빠지자는 생각을 하는 유포자 놈들 역시 늘어남에 따라, 그냥 돈만 긁어모으고 먹튀를 시전하는 사례 역시 크게 증가했다. 크립토월같은 최근 랜섬웨어들은 한화 수십 만원에 달하는 거액을 요구하는데다 복호화 프로그램을 안 주는 경우가 더 많다고. 적은 돈도 아니며 그 돈이 어디서 어떻게 쓰일지도 모르는 판국이라(( 이렇게 모인 피해 금액이 테러 범죄에 사용된다는 분석도 존재한다.)) 신중히 생각해야 한다. | 해커가 요구하는 대로 비트코인 등 가상 계좌로 돈을 보내면 복호화 프로그램을 **줄 지도 모른다. 하지만 먹튀할 때도 있다.** 랜섬웨어 사태 초기에는 어쨌든 돈을 주기만 하면 풀어주긴 한다는 인식을 퍼뜨려 보다 많은 피해자들이 송금하게 함으로써 이익을 극대화시킬 필요가 있었다. 그냥 먹튀에 불과하다는 인식이 퍼지면 피해자는 파일도 잠기고 돈까지 날리느니 그냥 파일만 포기해 버릴 테니까. 허나 랜섬웨어의 개념이 널리 퍼지고 한탕만 하고 빠지자는 생각을 하는 유포자 놈들 역시 늘어남에 따라, 그냥 돈만 긁어모으고 먹튀를 시전하는 사례 역시 크게 증가했다. 크립토월같은 최근 랜섬웨어들은 한화 수십 만원에 달하는 거액을 요구하는데다 복호화 프로그램을 안 주는 경우가 더 많다 . 적은 돈도 아니며 그 돈이 어디서 어떻게 쓰일지도 모르는 판국이라(( 이렇게 모인 피해 금액이 테러 범죄에 사용된다는 분석도 존재한다.)) 신중히 생각해야 한다. |
| |
| LAN을 이용해 네트워크를 구성한 상태에서 네트워크 내의 모든 컴퓨터가 죄다 오염되었다면 사태는 더 심각해진다. 키가 컴퓨터마다 고유하게 설정돼서 감염된 다른 컴퓨터에 적용할 수가 없기 때문에, 공용 네트워크를 통해 랜섬웨어가 세트로 퍼질 경우 컴퓨터마다 따로 돈을 내야 한다. | LAN을 이용해 네트워크를 구성한 상태에서 네트워크 내의 모든 컴퓨터가 죄다 오염되었다면 사태는 더 심각해진다. 키가 컴퓨터마다 고유하게 설정돼서 감염된 다른 컴퓨터에 적용할 수가 없기 때문에, 공용 네트워크를 통해 랜섬웨어가 세트로 퍼질 경우 컴퓨터마다 따로 돈을 내야 한다. |
| 일단 감염되면, 한동안 CPU팬이 미친듯이 회전하고 하드가 미친듯이 읽어진다 그리고 있는 대로 메모리를 끌어쓰기 시작한다. 그리고 화면 왼쪽 맨위에 이상한 글자가 한 글짜씩 생겨난다 아마 암호화작업을 하며 나오는 글자인거 같다 | 일단 감염되면, 한동안 CPU팬이 미친듯이 회전하고 하드가 미친듯이 읽어진다 그리고 있는 대로 메모리를 끌어쓰기 시작한다. 그리고 화면 왼쪽 맨위에 이상한 글자가 한 글짜씩 생겨난다 아마 암호화작업을 하며 나오는 글자인거 같다 |
| |
| 컴퓨터 성능에 따라 약 5분에서 최장 1시간 정도의 암호화 작업을 하는데(( 외장 하드를 주렁주렁 달고 그 안에 자료를 꽉꽉 채워놨다면 10시간 가까이 걸리기도 한다.)), 컴퓨터의 데이터를 기준으로 [[RSA|암호화 키와 복호화 키를 만들고]] 파일 데이터들을 전체 검색하듯이 찾기 시작한다. Ctrl+F를 하고 *.*를 입력했을 때 찾는 현상과 비슷하다. | 컴퓨터 성능에 따라 약 5분에서 최장 1시간 정도의 암호화 작업을 하는데(( 외장 하드를 주렁주렁 달고 그 안에 자료를 꽉꽉 채워놨다면 10시간 가까이 걸리기도 한다.)), 컴퓨터의 데이터를 기준으로 암호화 키와 복호화 키를 만들고 파일 데이터들을 전체 검색하듯이 찾기 시작한다. Ctrl+F를 하고 *.*를 입력했을 때 찾는 현상과 비슷하다. |
| |
| 이때까지는 **겉보기엔** 문제는 없다. 단순히 악성코드가 해당 컴퓨터에 대한 데이터베이스를 구축하고 있는 중이므로, 컴퓨터 속도가 느리고 뭔가가 계속 CPU를 갉아먹는데 Windows 작업 관리자로 잡히지 않는다면, 어떻게든 다른 외부 프로그램을 써서 악성코드로 의심되는 프로세스를 강제로 중지시키고(( 정말 프로세스를 미친듯이 최대한 끌어쓰기 때문에 렉이 버틸 수가 없다.이 상황에서 작업관리자 불러내기만 한다면 어떻게든 살 가능성이 있지만 이게 엔간치 성능이 좋아도 렉이 장난이 아니어서 단순히 컴이 셧다운됐나 하고 오인하기가 **굉장히** 쉽다.(..))) 현 상태에서 [[카스퍼스키]]나 멀웨어 제로 키트(( 'mzk'를 검색해 보면 다운받을 수 있다. 국내의 모 제작자가 배포하는 물건인데 상당히 강력하다.))를 비롯한 랜섬웨어 대응 백신을 돌려보거나 의심되는 파일을 삭제하면 그나마 최소한의 피해로 막을 수 있다. | 이때까지는 **겉보기엔** 문제는 없다. 단순히 악성코드가 해당 컴퓨터에 대한 데이터베이스를 구축하고 있는 중이므로, 컴퓨터 속도가 느리고 뭔가가 계속 CPU를 갉아먹는데 Windows 작업 관리자로 잡히지 않는다면, 어떻게든 다른 외부 프로그램을 써서 악성코드로 의심되는 프로세스를 강제로 중지시키고(( 정말 프로세스를 미친듯이 최대한 끌어쓰기 때문에 렉이 버틸 수가 없다.이 상황에서 작업관리자 불러내기만 한다면 어떻게든 살 가능성이 있지만 이게 엔간치 성능이 좋아도 렉이 장난이 아니어서 단순히 컴이 셧다운됐나 하고 오인하기가 **굉장히** 쉽다.(..))) 현 상태에서 [[카스퍼스키]]나 멀웨어 제로 키트(( 'mzk'를 검색해 보면 다운받을 수 있다. 국내의 모 제작자가 배포하는 물건인데 상당히 강력하다.))를 비롯한 랜섬웨어 대응 백신을 돌려보거나 의심되는 파일을 삭제하면 그나마 최소한의 피해로 막을 수 있다. |
| 중요한 파일은 물리적으로 분리된 여러 컴퓨터 및 외부 저장 매체에 분산 저장해야 하며, 후술하겠지만 사용하지 않을 때에는 번거롭더라도 연결을 해제해야 한다. 외장하드나 USB메모리보다는 재기록이 불가능한 공DVD가 더 안전하다. | 중요한 파일은 물리적으로 분리된 여러 컴퓨터 및 외부 저장 매체에 분산 저장해야 하며, 후술하겠지만 사용하지 않을 때에는 번거롭더라도 연결을 해제해야 한다. 외장하드나 USB메모리보다는 재기록이 불가능한 공DVD가 더 안전하다. |
| |
| 보호해야 할 자료가 상대적으로 저용량이라면 [[원드라이브]], [[구글드라이브]], [[드롭박스]] 등의 동기화식 클라우드 서비스를 이용하면 편리하다. 여러 컴퓨터에서 동시에 이들 서비스를 사용할 경우, 자동으로 데이터를 동기화해주기 때문에 다른 컴퓨터를 잠깐 껐다 켜주는 것만으로도 백업을 진행해준다. | 보호해야 할 자료가 상대적으로 저용량이라면 원드라이브, 구글드라이브, [[dropbox|드롭박스]] 등의 동기화식 클라우드 서비스를 이용하면 편리하다. 여러 컴퓨터에서 동시에 이들 서비스를 사용할 경우, 자동으로 데이터를 동기화해주기 때문에 다른 컴퓨터를 잠깐 껐다 켜주는 것만으로도 백업을 진행해준다. |
| |
| |
| |
| |
| 그리고 일부 사용자들은 "엄한 사이트 안들어가고 [[복돌이]] 안쓰면 안전하다"라고 생각하는 경우도 종종 보이는데 **절대 그렇지 않다!** 특히나 최근 문제가 된 사례에서는 [[제로데이|패치되지 않은 취약점]]을 이용했다. 아무리 정품만 쓰고, 불법사이트 안 들어가고, 백신을 깔아둔다고 해도 걸린다. 가장 중요한 것은 **최신버전으로 업데이트를 유지**하는 것이다. 가볍다는 이유로 구버전을 계속 쓴다든가, 컴퓨터가 느려진다는 이유로 자동 업데이트를 꺼둔다든가, 귀찮다는 이유로 업데이트 설치하겠냐는 메시지를 거절하거나, 업데이트 후 재부팅하겠다는 메시지를 계속 미룬다든가 하는 순간에 감염되는 수가 있다. | 그리고 일부 사용자들은 "엄한 사이트 안들어가고 복돌이 안쓰면 안전하다"라고 생각하는 경우도 종종 보이는데 **절대 그렇지 않다!** 특히나 최근 문제가 된 사례에서는 [[제로데이|패치되지 않은 취약점]]을 이용했다. 아무리 정품만 쓰고, 불법사이트 안 들어가고, 백신을 깔아둔다고 해도 걸린다. 가장 중요한 것은 **최신버전으로 업데이트를 유지**하는 것이다. 가볍다는 이유로 구버전을 계속 쓴다든가, 컴퓨터가 느려진다는 이유로 자동 업데이트를 꺼둔다든가, 귀찮다는 이유로 업데이트 설치하겠냐는 메시지를 거절하거나, 업데이트 후 재부팅하겠다는 메시지를 계속 미룬다든가 하는 순간에 감염되는 수가 있다. |
| |
| 물론 백신 개발사나 OS 개발사가 모든 공격을 예측하고 이를 사전에 방어하는 것은 불가능하므로, 최신 업데이트를 한다 해도 [[DTD|뚫릴 수는 있다]]. 다만 업데이트 안 할 때에 비해 공격당할 확률이 압도적으로 줄어드는 것은 당연. 어차피 뚫릴 거니까 업데이트도 안 하겠다는 똥멍청한 짓은 하지 말자. 다른 누군가가 공격 당하는 동안 개발사가 열심히 업데이트를 하는 셈이기 때문에, 최소한 남들이 당한 적 있는 랜섬웨어에 또 당하지는 않게 된다. 다만 자신이 희생양이 될 순 있다. | 물론 백신 개발사나 OS 개발사가 모든 공격을 예측하고 이를 사전에 방어하는 것은 불가능하므로, 최신 업데이트를 한다 해도 [[DTD|뚫릴 수는 있다]]. 다만 업데이트 안 할 때에 비해 공격당할 확률이 압도적으로 줄어드는 것은 당연. 어차피 뚫릴 거니까 업데이트도 안 하겠다는 똥멍청한 짓은 하지 말자. 다른 누군가가 공격 당하는 동안 개발사가 열심히 업데이트를 하는 셈이기 때문에, 최소한 남들이 당한 적 있는 랜섬웨어에 또 당하지는 않게 된다. 다만 자신이 희생양이 될 순 있다. |
| |
| ====하드웨어/소프트웨어적 격리==== | ====하드웨어/소프트웨어적 격리==== |
| 작업용 컴퓨터는 [[오프라인]] 상태로 둬서 랜섬웨어로부터 **물리적으로** 격리시키는 것이 가장 강력한 해결책이다. 만일의 사태를 위해서 백업은 필수. 업데이트가 상당히 불편해진다는 단점이 있긴 하나(( 업데이트 파일을 체크하고 별도의 저장 장치에 넣고 해당 컴퓨터에 꽂아 설치하는 과정을 수동으로 해야 한다.)) 상술한 동기화 서비스를 이용하면 백업 매체에 전원을 넣는 것만으로도 원본을 유지할 수 있다. | 작업용 컴퓨터는 오프라인 상태로 둬서 랜섬웨어로부터 **물리적으로** 격리시키는 것이 가장 강력한 해결책이다. 만일의 사태를 위해서 백업은 필수. 업데이트가 상당히 불편해진다는 단점이 있긴 하나(( 업데이트 파일을 체크하고 별도의 저장 장치에 넣고 해당 컴퓨터에 꽂아 설치하는 과정을 수동으로 해야 한다.)) 상술한 동기화 서비스를 이용하면 백업 매체에 전원을 넣는 것만으로도 원본을 유지할 수 있다. |
| |
| 또한 외장하드 등 분리 가능한 매체에 넣었다면 **반드시 물리적으로 분리할것.** 외장하드 뿐만 아니라 네트워크 드라이브 역시 오염될 가능성이 매우 높기 때문에 사용하지 않거나 필요할 경우에만 연결하는 것이 좋다. | 또한 외장하드 등 분리 가능한 매체에 넣었다면 **반드시 물리적으로 분리할것.** 외장하드 뿐만 아니라 네트워크 드라이브 역시 오염될 가능성이 매우 높기 때문에 사용하지 않거나 필요할 경우에만 연결하는 것이 좋다. |
| |
| ==== 보안 허점 소프트웨어 삭제 ==== | ==== 보안 허점 소프트웨어 삭제 ==== |
| 어도비 플래시를 아예 삭제해 버리는 것도 주요한 방법 중 하나이다. 어도비 측에서 공식적으로 플래시를 포기했다는 뉴스가 떴기에(( [[http://news.inews24.com/php/news_view.php?g_serial=931805&g_menu=020600|플래시|사용 중단 권고 관련 뉴스기사]] 참고.)) 사실상 공식적인 예방책. [[스마트폰]]의 득세로 점차적으로 플러그인 사용을 금기시하는 분위기가 형성되고 있는지라 플래시를 걷어내고 있는 추세이기도 해서, **할 수 있으면 플래시 플레이어 프로그램 자체를 끄거나 삭제하는 게 낫다.**(( 파폭은 기본설정이 꺼짐이고, 크롬과 익플만 해당. 윈8이후 IE나 크롬은 플래시가 내장되어 있어 삭제는 못하지만 끄는건 가능하다.)) | 어도비 플래시를 아예 삭제해 버리는 것도 주요한 방법 중 하나이다. 어도비 측에서 공식적으로 플래시를 포기했다는 뉴스가 떴기에(( [[http://news.inews24.com/php/news_view.php?g_serial=931805&g_menu=020600|플래시 사용 중단 권고 관련 뉴스기사]] 참고.)) 사실상 공식적인 예방책. 스마트폰의 득세로 점차적으로 플러그인 사용을 금기시하는 분위기가 형성되고 있는지라 플래시를 걷어내고 있는 추세이기도 해서, **할 수 있으면 플래시 플레이어 프로그램 자체를 끄거나 삭제하는 게 낫다.**(( 파폭은 기본설정이 꺼짐이고, 크롬과 익플만 해당. 윈8이후 IE나 크롬은 플래시가 내장되어 있어 삭제는 못하지만 끄는건 가능하다.)) |
| |
| 그리고 아크로뱃리더, 실버라이트, 자바가 설치된 시스템에서도 보안 취약점을 이용해 감염시킬 수 있다. | 그리고 아크로뱃리더, 실버라이트, 자바가 설치된 시스템에서도 보안 취약점을 이용해 감염시킬 수 있다. |
| |
| =====2015년 랜섬웨어 사태===== | =====2015년 랜섬웨어 사태===== |
| 2015년 4월 21일 새벽, <del>씨발</del>[[클리앙]]의 광고 서버가 해킹되어 랜섬웨어를 배포하였고, 구버전 플래시의 취약점을 이용하여 공격하는 방식으로 **사이트에 접속만 해도** 랜섬웨어에 감염되어 파일들이 암호화되는 사건이 발생하였다. 그 정체는 바로 [[크립토락커]]의 한글버전이었다. 이 사건으로 인해 클리앙의 이용자들이 피해를 입었으며 특히, 회사 컴퓨터로 접속하는 바람에 회사 중요파일들이 몽땅 암호화되어 피해는 더욱 심각해졌다. 특이한 것은 랜섬웨어가 한글화가 된 점으로, 한국을 집중적으로 노린 공격이라는 뜻이다.[[http://www.boannews.com/media/view.asp?idx=46010&page=1&kind=1|클리앙|랜섬웨어 사건의 전말]] | 2015년 4월 21일 새벽, <del>씨발</del>클리앙의 광고 서버가 해킹되어 랜섬웨어를 배포하였고, 구버전 플래시의 취약점을 이용하여 공격하는 방식으로 **사이트에 접속만 해도** 랜섬웨어에 감염되어 파일들이 암호화되는 사건이 발생하였다. 그 정체는 바로 크립토락커의 한글버전이었다. 이 사건으로 인해 클리앙의 이용자들이 피해를 입었으며 특히, 회사 컴퓨터로 접속하는 바람에 회사 중요파일들이 몽땅 암호화되어 피해는 더욱 심각해졌다. 특이한 것은 랜섬웨어가 한글화가 된 점으로, 한국을 집중적으로 노린 공격이라는 뜻이다.[[http://www.boannews.com/media/view.asp?idx=46010&page=1&kind=1|클리앙 랜섬웨어 사건의 전말]] |
| |
| 4월 22일에는 [[seeko]], [[디시인사이드]]의 광고서버가 해킹되어 랜섬웨어의 배포지가 되는 등, 국내 커뮤니티로 랜섬웨어 배포가 확산되면서 피해가 커질 전망이다. 특히 이번에 문제가 되는 랜섬웨어의 경우 취약점 공격이 1~2개로 한정되있는 것으로 보아 일종의 시범타 성격이 큰 바, 본격적으로 공격이 진행되면 지금보다도 더 큰 재앙이 도래할지도 모른다. | 4월 22일에는 seeko, 디시인사이드의 광고서버가 해킹되어 랜섬웨어의 배포지가 되는 등, 국내 커뮤니티로 랜섬웨어 배포가 확산되면서 피해가 커질 전망이다. 특히 이번에 문제가 되는 랜섬웨어의 경우 취약점 공격이 1~2개로 한정되있는 것으로 보아 일종의 시범타 성격이 큰 바, 본격적으로 공격이 진행되면 지금보다도 더 큰 재앙이 도래할지도 모른다. |
| | |
| | |
| [[https://hitomi.la/|히토미]]등의 사이트를 통해 감염된 사례도 보고되고 있다. | [[https://hitomi.la/tag/uncensored-korean-1.html|히토미]]등의 사이트를 통해 감염된 사례도 보고되고 있다. |
| | |
| |
| * 출처: 나무위키- 랜섬웨어([[https://creativecommons.org/licenses/by-nc-sa/2.0/kr/|CC BY-NC-SA 2.0 KR]]) | * 출처: 나무위키- 랜섬웨어([[https://creativecommons.org/licenses/by-nc-sa/2.0/kr/|CC BY-NC-SA 2.0 KR]]) |
| |
| {{tag>랜섬웨어}} | |
| |
