최근 수정 시각 : 2017-11-09 20:06:38

랜섬웨어

파일:Semi_protect.png
이 문서는 비로그인 사용자의 편집이 제한되어 있습니다. 자세한 사유는 여기를 참고하시기 바라며, 편집을 원하는 비로그인 사용자는 편집 요청 기능을 이용해 주시기 바랍니다.

파일:나무위키프로젝트.png
이 문서는 나무위키 가독성 프로젝트에서 다루는 문서입니다.
해당 프로젝트 문서를 방문하여 도움이 필요한 문서에 기여하여 주세요!


Ransomware (Ransom + Ware)

파일:external/blog.kaspersky.com/ransomware-expert-tips-featured.jpg
[출처]
국제 랜섬웨어 차단 및 복원 사이트(노모어랜섬)
위 사이트는 네덜란드 경찰청, 유로폴 그리고 유명 보안업체 카스퍼스키, 인텔 시큐리티에서 시작한 랜섬웨어감염방지,예방을 목표로하는 프로젝트다.
언어별 명칭
한국어 랜섬웨어
영어 Ransomware
중국어 (/) 勒索軟件 () 勒索軟體
() 勒索软件[2]
일본어 ランサムウェア[3]

1. 개요2. 상세
2.1. 치료2.2. 예방
3. 역사
3.1. 비트코인 등장 이전3.2. 비트코인 등장 이후
4. 종류
4.1. 미해독됨
4.1.1. Crypt~ 계열4.1.2. Cerber~ 계열4.1.3. ~Locker 계열4.1.4. ~MBR훼손 계열4.1.5. 그 외
4.2. 해독됨
5. 모바일에서의 랜섬웨어6. 피해 사례
6.1. 2015년6.2. 2016년6.3. 2017년

1. 개요

노턴 시큐리티에서 제작한 '30초만에 보는 랜섬웨어'

몸값을 뜻하는 Ransom과 제품을 뜻하는 Ware의 합성어이며, 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 암호화 시켜 인질로 잡아 금전을 요구하는 악성 프로그램을 말한다.

모바일과 macOS에서도 활동한다. 랜섬웨어 종류에 따라 백신 프로그램이 사전에 랜섬웨어의 암호화를 차단하기도 한다.[4]

2017년 5월에 갑자기 등장한, 매우 강력한 전염력을 보여주는 워너크라이가 대한민국을 강타하면서 랜섬웨어가 화제가 되었다. 모든 랜섬웨어가 인터넷에 접속만 해도 감염되는건 아니나, 워너크라이는 웜의 특성을 이용하여 전파력이 높았던 경우다. 이를 통해 랜섬웨어가 크게 알려지면서 랜섬웨어를 잘 모르던 일반인들 중에선 '랜섬웨어 = 인터넷 연결시 감염'인 걸로 생각하는 사람들이 있으나, 이는 오해다. 안랩이 2017년 대처해야 할 바이러스로 랜섬웨어를 꼽았을 정도로* 오래 전부터 랜섬웨어 바이러스는 존재했던 위협이다.

2. 상세

랜섬웨어에 감염된 컴퓨터[5]

감염되면 CPU 쿨러가 미친듯이 회전하며 파일을 암호화하기 시작한다. 때문에 하드디스크와 메모리 점유율이 급격히 상승하게 된다. 종류에 따라서는 일정한 텀을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다.

더 자세히 설명하자면 파일 목록과 RSA 공개키를 확보하고 각 파일에 AES키를 생성하여 암호화한다. 다만 모든 랜섬웨어가 그런 것은 아니다. TLS에서 볼 수 있듯이 가장 흔한 방식이긴 하지만.

암호화가 모두 완료되기 전에 재부팅하면 랜섬웨어에 걸렸습니다라는 식의 협박 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업된다. 그리고 대부분의 작업을 할 수 없다. 대표적인 증상은 다음과 같다.
  • 중요 시스템 프로그램이 열리지 않는다.
    • 명령 프롬프트[6], 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능 워드패드(Word Pad), 레지스트리(regedit). 알림 목록[7] 등.
  • 윈도우 복원 시점이 제거되거나 업데이트를 막아버린다.
  • 별도의 다른 악성코드를 심기도 한다.
  • CPU와 램 사용량이 급격하게 증가하고 파일들이 암호화된다.
    • 암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt파일을 생성한다. 이것은 하위 폴더, 상위 폴더 구분없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것.[8]
  • 안티 바이러스가 오작동한다. 혹은 강제로 꺼지거나 삭제된다.
  • 안전모드로 진입할 수 없다.
  • 암호화된 파일을 열 수 없다.
    • 만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화된다.
  • 강제로 이동식 저장장치의 연결을 해제시킨다.
    • 외장하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장하드를 손상시킨다.[9]
  • 재부팅을 할 때마다 랜섬웨어 txt 파일, html 파일이 시작 프로그램 목록에 추가된다.
  • 악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다. 대표적인 경로는 아래를 참조하자. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다.
 - C:\Program Files\
- C:\Users\(사용자 이름)\Appdata\Roaming\
 
  • 실행되면 숙주파일이 사라지는 경향이 있다. 따라서 한번 암호화가 끝나면 다시 암호화가 되지 않는다.
  • 특정 경우 연결된 이동식 저장매체 또한 감염된다. 외장하드, USB 메모리, SD카드 등. 심지어 플로피 디스크도 감염된다.[10] 조심할 것.

이쯤 되면 대략 가정용 컴퓨터로는 버틸 수가 없다! 모든 시스템 접근권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 대응방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참조할 것.[11]

간혹 바이러스로 인지하지 않는 경우조차 발생한다. 대부분의 랜섬웨어는 실행된 후 어느 정도는 손해를 끼치고 나서야 탐지, 제거되는데 특성상 이미 늦은 상태인 경우가 많다. 랜섬웨어 특화 백신이 아닌 이상은 어쩔 수 없다.[12]

위에 서술된 것은 어디까지나 일부분을 설명한 것이며, 항상 저런 현상인 것은 절대로 아니다. 또한 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물이다. 하지만 파일의 확장자를 바꾸거나 암호화하는 것은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것이다.

2.1. 치료

  • 안티바이러스(바이러스 백신 소프트웨어)에서 랜섬웨어가 탐지되어 차단되었다는 메시지를 보인다면 더 이상의 문제는 없으니 안티바이러스를 통해 시스템 정밀 검사를 실행하고 추후 재발 방지 대책을 세우면 된다.
  • crypt, vvv, zepto, fun 등이나 알 수 없는 명칭들로 확장자가 변환[13]되고, 랜섬웨어 협박문과 함께 타이머가 보이기 시작한다면 바로 아래 대처법을 시행해야 한다. 최근에는 파일 확장자나 이름을 바꾸지 않으면서 암호화하는 경우가 발생된다. [14]
  • 이 방법은 안전 모드가 작동이 가능한 경우에만 해당[15]되며, 안전 모드를 복구[16]할 수 없다면 랜섬웨어에 의해 암호화된 파일을 별도의 저장소에 백업하고 감염된 PC에 Windows를 재설치한 후 아래 4번 항목부터 진행해야 한다.
  • 하드디스크의 MBR[]Master Boot Record의 약자로, 하드디스크의 맨 앞에 기록되어 있는 시스템 기동용 영역.]이 암호화되는 랜섬웨어(페트야/미샤[18], 골든아이[19], 사타나 등) 일 경우 운영체제 진입이 되지 않으므로 별도의 복구 방법을 사용해야 한다.

1. 우선 데스크탑의 경우 전원 플러그를 뽑거나 리셋 버튼을 눌러야 한다. 노트북이라면 강제 종료[20]를 하거나 배터리를 탈착해야 한다.
2. 안전 모드로 진입한다. Windows 7 까지는 2.1, Windows 8 부터는 2.2, 2.2.1 항목을 참고한다.
2.1. (Windows 7 까지) 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 버튼으로 '안전 모드(네트워킹 사용)' 을 선택한 후, 'Enter' 키를 눌러 진입한다.
2.2. (Windows 8 부터) 명령 프롬프트(cmd)를 실행하여 다음 명령어를 입력한 후, 키보드의 'Enter' 키를 누른다.[21]
shutdown /r /o[22]
2.2.1. (Windows 8 부터) 시스템이 다시 시작 되어 옵션 선택 화면이 나오면 '문제 해결', '고급 옵션', '시작 설정', '다시 시작' 버튼을 차례대로 클릭한다. 한 번 더 재 시작이 되면 숫자 5[23]를 키보드로 입력한다.
3. 안전 모드로 진입이 완료되었을 경우, 적절한 안티 바이러스 제품으로 검사하여 랜섬웨어를 제거한다. 결제 협박문이 남아 있을 경우, 랜섬웨어 결제 안내 파일 제거 스크립트(RIFR)[24]를 이용하여 제거한 후 시스템을 다시 시작한다.
4. 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아있을 것이다. 따라서 암호화된 파일이 복호화가 가능하다면 복호화 툴을 이용한다. 이는, 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 전부 공개하거나, 사법 당국이나 안티 바이러스 업체가 복호화 키를 찾아낸 경우에만 해당된다.
5. 그러나, 4번의 경우도 완벽한 건 아니라서 특정 파일[25]이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할 수도 있다.

2016년부터 한국의 각종 백신들도 랜섬웨어에 대응 할 수 있도록 계속해서 업데이트 되고 있으며 대표적인 랜섬웨어들의 암호화 행위를 사전에 차단할 수 있게 되었다.# 바탕화면이 바뀌였거나 이상한 압축파일이 생겼음에도 불구하고 변조, 암호화 된 파일이 없다면 백신에서 사전에 차단한 것이므로 협박문을 삭제하고 다른 바이러스가 존재하고 있는지 Malware zero kit을 이용하여 바이러스를 제거한 후 사용하면 된다.

2.2. 예방

랜섬웨어/예방법 문서 참조

3. 역사

3.1. 비트코인 등장 이전

▲ 랜섬웨어와 유사한 형태를 취하고 있는 DOS 시기의 악성 코드 카지노 바이러스.#
랜섬웨어 이전에도, 사용자의 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어놓는 종류의 악성코드는 많이 있었다. 대표적인 예가 바로 위에 있는 DOS 시절의 카지노 바이러스다. 랜섬웨어와 비슷하게 하드디스크FATRAM에 백업해 놓고, "잭팟이 터져야 한다"는 요구조건이 만족되지 않으면 파괴시키는 형식을 취했다. 돈을 요구하지는 않고, 잭팟이 터지는 요구조건을 만족시켜야 인질로 메모리에 붙잡아뒀던 FAT를 다시 복구시켜 준다.

비트코인 등장 이전인 초창기 랜섬웨어는 결제 수단으로 대포통장을 사용했기 때문에, 어느 정도 범죄자의 추적이 가능했었다.[26] 그리고 현재처럼 크게 확산되지 않아서, "랜섬웨어"라는 개념 자체가 거의 형성되지 않았다.

비트코인 등장 후 크립토락커가 등장하면서 랜섬웨어 = 컴퓨터 암호화라고 여겨지고 있다. 다만 이전에도 이런 형식의 컴퓨터를 암호화하지 않는 형식의 랜섬웨어들은 많이 존재했고, 종류가 다르긴 하지만 카지노 바이러스같은 경우도 있었다. 크립토락커가 등장한 이후 랜섬웨어의 대세는 컴퓨터 암호화 랜섬웨어인 것으로 보인다. 상기한 링크에서 말하는 형식의 랜섬웨어는 사용자 스스로 해제하는 것도 쉽기 때문.

이걸 보아도 악질적이지만 적어도 비트코인 등장 이후와 비교하면 그나마 신사적이라고 볼 수 있다.

3.2. 비트코인 등장 이후

대부분 Tor 기반의 결제 홈페이지를 이용하여 거래하고 비트코인으로 결제하기 때문에 범죄자 추적이 더욱 어려워졌고, 각종 랜섬웨어들이 우후죽순 생겨나 급격히 유행하기 시작했다. 이 때문에 암호 알고리즘비트코인(+ Tor)[27]의 환장할 조합이라고 불리기도 한다. 여기서 쓰이는 암호화 방식도 대단한데 상당수의 랜섬웨어들이 RSA-1024와 AES-128[28] 암호화 방식을 쓰는데 감이 안 온다면 요즘은 공개키 암호화 방식은 기본으로 RSA-1024 이상을 쓰고 개인키 암호화 방식도 3DES, AES-128이상을 보통으로 쓴다. 어쨌든 개인이 푸는 것은 불가능하다. 양자 컴퓨터를 이용하면 암호화 해제가 가능할 것이라고 하지만 아직까지는 현실적인 해법이 아니다.
  • 급격한 유행
    이전까지는 외국 사이트 등에서나 간간이 볼 수 있었지만, 2015년 들어 한국 웹에서 급격히 유행하기 시작했다. 특히 보안이 취약한 사이트, 가짜 이메일, 구글 애드센스, 그외 광고창 등에 심어져 들어와 사용자 몰래 랜섬웨어를 실행시키고 감염되는 식이다. 이메일, 인스턴트 메세지, 웹사이트 등에서 링크를 클릭하기만 해도 플래시 취약점을 이용하여 설치된다! 일반적으로는 당연히 운영체제상의 일차적인 방패인 UAC, sudo 등이 존재하지만, 예스맨의 문제도 있고 보안상의 구멍으로 우회해서 들어가는 녀석도 있다. 유포 방식에 따라 EXE 파일 실행을 필요로 하는 경우도 있지만, 대부분은 플래시의 취약점을 이용한다. 뿐만 아니라 최근에는 랜섬웨어를 주문받아 제작하여 파는 유형까지 유행하고 있다.
  • 증상
    문서나 스프레드시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤, 돈을 보내주면 해독용 열쇠 프로그램을 전송해준다고 하며 금품을 요구한다. 크립토락커 등 랜섬웨어의 대부분은 Tor를 기반으로 한 웹페이지를 이용하기 때문에 추적이 어렵고 막대한 시간이 들기 때문에 검거가 어렵다.[29] 랜섬웨어가 암호화하는 파일의 종류는 .xls, .doc, .pdf, .jpg, .avi, .rar, .zip, .mp4, .png, .psd, .hwp, .java, .js등이 있다. 직장인이라면 잘 알겠지만 업무용으로 주로 쓰이는 파일들이 많다. 암호화라는것이 특정 파일에만 먹히고 특정 파일에는 안 먹히는 것이 아니다. 제작자가 지정한 파일만 선택적으로 암호화하게 되므로 랜섬웨어의 종류에 따라 조금씩의 차이가 있을 수 있다.
  • 각종 피해
    현대 사회의 상당수 기업 업무, 창작활동 등은 대부분 컴퓨터로 이루어지고 그 결과물도 컴퓨터에 저장된다. 따라서 랜섬웨어가 한번 휩쓸고 지나가면 직업의 종류에 상관없이 크게 피를 보게 된다. 예방만이 살 길. 다만 많은 경우, 돈을 지불해서 살려야 하는 중요한 파일들은 대체로 용량이 그리 크지 않다는 점을 이용해 용량이 큰 파일은 나중에 암호화하거나, 심지어는 실제로 암호화는 하지 않고 확장자만 바꾸는 등의 동작을 하는 경우가 많다. 그렇기에 생각보다 동영상의 피해는 별로 없을 수도 있다. 물론 랜섬웨어라는건 변종에 따라 그 동작이 천차만별이니 방심은 금물이다.
    경제적인 피해 외에 심리적인 피해 역시 심대하다. 2010년대 초부터 이미 랜섬웨어의 피해를 입어왔던 해외에서는 돌아가신 어머니 사진이나 죽은 아이의 사진이 열리지 않게 되었다는 안타까운 사례가 굉장히 많다.
    해커가 요구하는 대로 비트코인 등 가상 계좌로 돈을 보내면 복호화 프로그램을 줄 지도 모르나 대부분은 주지 않는다. 사실 애초에 복구해 줄 생각이 없어서 파일을 암호화시키는 게 아니라 그냥 박살내놓고 암호화한 척 하는 경우도 있을 정도. 랜섬웨어 사태 초기에는 어쨌든 돈을 주기만 하면 풀어주긴 한다는 인식을 퍼뜨려 보다 많은 피해자들이 송금하게 함으로써 이익을 극대화시킬 필요가 있었다. 허나 랜섬웨어의 개념이 널리 퍼지고 빠르게 한탕만 하고 빠지자는 생각을 하는 유포자 또한 늘어남에 따라, 그냥 돈만 긁어모으고 먹튀를 시전하는 사례 역시 크게 증가하였으며 추적당할 위험까지 감수하며 줄 이유도 없다. 크립토월같은 최근 랜섬웨어들은 한화 수십 만원에 달하는 거액을 요구하는데다 복호화 프로그램을 안 주는 경우가 더 많다고. 적은 돈도 아니며 그 돈이 어디서 어떻게 쓰일지도 모르는 판국이라[30] 신중히 생각해야 한다.
    LAN을 이용해 네트워크를 구성한 상태에서 네트워크 내의 모든 컴퓨터가 죄다 오염되었다면 사태는 더 심각해진다. 키가 컴퓨터마다 고유하게 설정돼서 감염된 다른 컴퓨터에 적용할 수가 없기 때문에, 공용 네트워크를 통해 랜섬웨어가 세트로 퍼질 경우 컴퓨터마다 따로 돈을 내야 한다. 다만 공용 네트워크라 하더라도 타 컴퓨터에 대한 쓰기 권한이 없다면 전염되지는 않는다고 한다.
  • 그 외 여담
    이런 특성 때문에 사상 최악의 악성코드라고 불리기도 한다. 트로이 목마 같은 악성코드를 포함한 다른 악성코드들은 단순히 프로그램을 파괴하거나 변조하는, 의미없는 테러와 같은 행동양식을 보이는데 비해 이건 대놓고 컴퓨터를 인질삼아 돈을 요구하는 강도나 다를 바가 없기 때문이다. 누군지도 모르는 남의 컴퓨터를 망가뜨린다는 가학적인 쾌감 정도가 고작인 기존의 바이러스들에 비해 확실한 금전적 이득을 제공할 수 있다는 것은 굉장히 큰 메리트이며 랜섬웨어가 창궐하는 데 일조하고 있다.
    여기에 이 악성코드를 없애도 암호화된 파일은 복구가 되지 않는 것은 물론, 백신 프로그램으로도 복구 소프트웨어로도 한계가 있기 때문에, 백업만이 해결책이란 것도 문제다. 백신이야 말할 것도 없지만, 일부 랜섬웨어는 파일의 내용도 변경시키기 때문. 복구 프로그램은 파일의 실제 내용이 들어간 영역을 통해 복구를 수행하는데, 그 영역 자체가 변조되니 당연히 복구가 불가능하다. 특히 덮어쓰기가 손쉬운 HDD 등에서 이러한 피해가 크다.
    주로 외국 사이트에서 이런 랜섬웨어를 만들 수 있는 해킹툴을 판매하는 모습이 주로 포착된다. 랜섬웨어 유포자들이 몸값을 받아내는 창구로 비트코인 계좌를 사용하면서, 컴퓨터 관련 사이트나 커뮤니티에서는 비트코인 자체에 대한 비난, 욕설까지 발생하고 있다. 비트코인 옹호자들은 비트코인의 투명한 운영에 대해 언급하며 옹호하기도 하는데 사실 이것도 말장난에 가깝다. 돈을 주고 받는 거래 내역은 볼 수 있는데, 정작 그 돈을 받는 지갑의 주인이 누구냐고 묻는다면 대답 할 수 없기 때문. 대놓고 돈을 받고 있는 셈인데 왜 공권력이 손을 놓고 있겠는가? 게다가, 최근에는 이더리움 채굴에 그래픽 카드가 대거 끌려가면서 그래픽 카드 가격이 폭등하고 물량은 물량대로 모자르는 상황이 발생, 애꿎은 소비자들만 피해를 보는 상황이 지속되자 가상화폐에 대한 반감에 불을 더 지펴버렸다.

4. 종류

4.1. 미해독됨

4.1.1. Crypt~ 계열

  • CryptoLocker
  • 크립토월(CrptoWall)=크립토디펜스 : 잘 알려진 랜섬웨어들 중에서도 큰 몸값을 요구하기로 유명하다.[31] 현재 가장 빈번하게 사용되고 있는 랜섬웨어.
  • CryptXXX : 2015년에 유행했으나 2016년 4월 카스퍼스키에서 복호화툴을 내놓으면서 사태가 진정되기 시작했다. 하지만 2016년 5월부터 변종이 등장함에 따라 또다시 유행하기 시작했다. 카스퍼스키 복호화툴은 원본파일과 감염파일간에 용량이 차이가 안나는 부분을 이용해서 원본과 감염파일간의 대조를 통해 복구하는 데 변종은 용량을 200k 바이트를 추가시켜 복구툴을 무력화 시킨다. 또한 헤더파일과 뒤에 의미없는 코드를 추가시켜 복구가 더욱 힘들게 만든다. 오리지날과 변종 중 자신이 걸린 것을 확인하려면 !Recovery 메모장에 RSA4096이 적혀있다면 오리지날이고 RZA4096이면 변종이다. RSA4096에 걸렸다면 카스퍼스키에서 복호화툴을 다운받아 복호화하면 된다. RZA4096이라면 복호화툴은 없었으나 no more ransom의 복구툴을 통해 복구에 성공한 사례가 있다. CRYPT XXX 3.0 신형변종(RZA-4096) 랜섬웨어 복호화 성공
  • CrypMIC : 2016년 7월부터 기승을 부리기 시작한 CryptXXX의 카피캣.

4.1.2. Cerber~ 계열

  • Cerber Ransomware : 2016년 들어 이 랜섬웨어의 피해가 급증하고 있다. 이 랜섬웨어에 감염되면 인터넷이 강제종료되는 현상을 시작으로 .txt, .mp3, .mp4등의 확장자가 .cerber 확장자로 암호화되고, 암호화된 파일이 있는 폴더에는 # DECRYPT MY FILES #(내 파일을 복구하는 법)이라는 텍스트 파일과 Attention. Your documents, photo, database and other important files have been encrypted.(뜻을 해석하면 경고. 당신의 문서, 사진, 데이터 그리고 다른 중요한 파일들이 암호화됐음.)라고 반복해서 말하는 음성파일, 웹 링크 등이 추가된다. 해결 방법은 해커한테 돈을 지불하거나(돈을 지불해도 먹튀하는 경우가 많다.) 전문 복구 업체한테 연락해서 복구하는 법 밖에 없다. 복구 업체도 대략 30% 정도의 낮은 복구율을 보이고 있다. 강제종료할 경우 프로그램이고 뭐고 아무 것도없는 검은색 화면으로 변경됨과 동시에 다른 랜섬웨어가 그렇듯 제어판 및 프로그램 실행불가 등 PC의 기능이 마비된다.[32] 강제종료 후 현금요구창도 없어지지만 정말 아무 것도 없는 검은화면과 마우스뿐이라는 게 문제다.
  • CERBER3 : 위에서 서술한 cerber의 변종이다. 감염시 파일의 확장자를 cerber3 로 변경하고, 평균적으로 1BTC을 요구한다. 모든 폴더 경로마다 결제를 위한 파일( @____READ ME[email protected] )을 생성해 둔다.
  • CERBER4, 5, 6 : cerber의 변종으로 2016년 10월부터 계속적으로 업데이트 되고 있다. 파일명을 랜덤으로 임의 수정하고 파일의 확장자를 랜덤으로 4자리(주로 알파벳+숫자의 형태로 변한다)로 수정 후 암호화하며, README.hta 나 _README_.hta 파일을 생성한다. 2017년 2월 현재 복호키가 없다. 여담으로 일반적인 CERBER형 랜섬웨어의 경우 초록색 글씨의 형태를 취하나 CERBER6은 붉은색 바탕에 흰색 글씨를 쓰는 방식을 취한다. CERBER6은 버전명을 쓰지 않는다.

4.1.3. ~Locker 계열

  • 시놀락커(SynoLocker) : 시놀로지 NAS에 감염되는 랜섬웨어. 구버전 DSM 사용자는 최신 DSM 사용을 권장한다.
  • 나부커(=NsbLocker) : 가장 약한 형태. 복호화키를 요구하지 않기 때문에, V3를 포함한 어지간한 백신으로도 암호해제가 가능하다.
  • 크리트로니(=CTBLocker)
  • TorLocker : 일본에서 2ch에서 제작된 랜섬웨어이다. 다른 랜섬웨어와 비슷한 시스템을 채택하고 있다. 주로 일본에서만 많이 감염되는 경우가 많으며, 일본 사이트를 자주 경유하는 국내의 컴퓨터도 감염 사례가 있다. 복호화 툴은 몇가지 있지만 제대로 복구해주는 툴은 없다.
  • Locky : 이쪽은 locker계통 중에서 가장 막강한 유형의 랜섬웨어. RSA-2048과 AES-128 유형의 암호화 기법을 사용한다. 국내도 타깃으로 하는 랜섬웨어로, hwp 까지 암호화하며 Office 의 매크로를 통해 일부 기관 등에 유포되었다. 2016년에는 이 랜섬웨어가 악명을 떨쳤다. 주로 스팸메일을 통하여 유포되며, 가끔씩 자신에게 쓴 메일인 척 위장하는 경우도 있으므로 주의해야 한다. 제목이 Invoice(송장)[33], Document(문서)로 시작한다면 일단 의심해보자. zepto, thor, odin, loptr, osiris, zzzzz, aesir, shit, diablo6, lukitus, ykcol, asasin 등의 형태로 바꾸는 변종도 등장했으며 2017년 10월에도 복호화키를 찾지 못한 상태다. 참고로 이 랜섬웨어는 몸값이 0.5~5비트코인까지 다양하다.

4.1.4. ~MBR훼손 계열

  • 페트야(Petya) : 2016년 발견된 신종 랜섬웨어로 독일의 한 기업 인사팀을 타깃으로 공격한 정황이 확인되었다. 문서 파일만 암호화하는 기존 랜섬웨어들과 달리 이놈은 아예 부팅 영역까지 건드리면서 시스템 자체를 먹통으로 만들어버린다는 점에서 상당한 악질이다. 관련 기사, 피해자의 트윗, 페트야 감염 동영상 동영상에서 랜섬웨어 실행 후 빨간 화면에 ANSI 아트로 작성된 해골바가지가 뜨며 깜빡이므로 상당히 소름 돋을 수도. 다행히 해독 키를 찾아내는 방법이 있다. 이 링크에 나온 방법대로 따라해 주면 된다.
    페트야의 증상은 이렇다. 컴퓨터의 MBR 영역을 악성 로더로 심은 뒤 블루스크린을 뜨게 만들어 강제로 재부팅을 하도록 유도한다. 그 다음 chkdsk(디스크 검사)으로 모방한 것을 실행해서, 디스크 내 MFT를 암호화 시킨 뒤 빨간색 해골 모양이 반짝이게 한다. 이 화면에서 엔터를 누르면 키를 구매해야 한다는 문구가 나온다.
    2017년 6월 27일 우크라이나를 공격한 후 한동안 확산되었던 낫페트야(NotPetya)[명칭주의]는 처음엔 페트야의 변종이라는 추측이 대세였다. 감염 증상이 페트야와 유사하기 때문. 하지만 MBR의 복사본을 보관하지 않기에 복호화 키를 얻어도 실제로는 복구할 수 없다는 점 등 이상한 점이 있어 보안전문가들 사이에서도 페트야와 다른 신종 랜섬웨어라는 의견이 나오는 등 의견이 분분했고(낫페트야와 페트야의 차이도 참조), 6월 30일 이후로는 랜섬웨어인 척 하는 와이퍼 악성코드일 가능성이 높아졌다(분석 보고서 내용). 워너크라이처럼 NSA의 이터널블루를 이용한 거나, 복호화 키를 줄 테니 비트코인을 보내라고 하는 건 랜섬웨어인 척 해서 실제 목적을 감추려고 한 것 같다고 한다. 해외 언론에선 그 후 낫페트야가 랜섬웨어가 아닌 걸로 수정된 곳이 많지만, 한국 언론은 10월에도 랜섬웨어인 걸로 보도하는 곳이 대부분이다. 10월에는 낫페트야와 마찬가지로 NSA의 취약점 공격 소스 중 하나인 이터널로맨스를 이용해 낫페트야의 변종으로 추정되는 랜섬웨어 배드 래빗(Bad Rabbit)[35]이 등장.#
    그나마 UEFI 환경에서 감염이 된 경우에는 펌웨어 파티션만 다시 밀어버리고 새로 잡아주면 되기에 윈도우를 통째로 날릴 필요가 없이 복구하기가 쉬운 편. 더구나 5년 전부터는 MBR보다는 UEFI 환경으로 윈도우가 설치된 경우가 많아서 페트야나 낫페트야가 확산되어도 생각 외로 타격이 크지 않다고 볼 수 있다.
  • 산타나: 페트야와 비슷한 증상을 일으키나 암호화 방식이 페트야와 다르다.
  • 미샤(MISCHA): 일반 파일들과 하드디스크 MBR 중 하나를 선택하여 대상을 암호화하는 랜섬웨어다.
  • 골든아이(goldeneye): 미샤와 페트야의 극상위호환 버전이며 파일, MBR까지 쌍으로 암호화시켜 버린다.

4.1.5. 그 외

  • 폴리스랜섬
  • 더티디크립토
  • 버록
  • ransom32(랜섬32) : 기존의 랜섬웨어는 웹과 관련된 취약점을 이용하여 감염되는 반면, 이 랜섬웨어는 정상파일을 가장하여 사용자가 직접 다운로드한 뒤 실행까지 해야 실행되는 랜섬웨어로 조금만 주의한다면 공격당할 가능성은 낮은 편이다. # Node.js로 개발되었다.
  • radamant : 확장자 rrk(변종으로 rmd). 한국어로 안내해줄 뿐 아니라 알집 확장자인 alz까지 변환해버린다.
  • Xrypted : RSA-4096으로 암호화된다.
  • 에레버스(Erebus) : 인터넷나야나 랜섬웨어 감염 사태 당시 인터넷나야나의 서버를 감염시킨 건 이 랜섬웨어의 리눅스형 변종이다.
  • WannaCry : 2017년 5월 전세계에 피해를 준 신종 랜섬웨어. Microsoft Windows의 SMBv2 원격코드 실행 취약점을 악용한 것으로, 기존의 방식과는 달리 인터넷만 연결되어 있어도 감염된다.

위의 종류는 극히 일부분이고 그 외에도 매우 많은 종류가 있다.

4.2. 해독됨

이 목록의 랜섬웨어들은 현재 여러가지 이유로 무력화된 상태의 랜섬웨어들이다.
  • 테슬라크립토(TeslaCrypt) : CryptoLocker와 크립토월을 조합해서 만들어진 랜섬웨어. 이건 문서파일 등 외에도 게임파일을 노린다는 점에서 개인도 주타깃으로 삼고 있고 있었다(닌텐도 세이브가 날아갔다.), 4.0까지 출몰하면서 복호화가 어려웠었으나, 2016년 5월 제작자가 범행을 중단하고 마스터키를 공개하였기 때문에 TeslaDecoder툴을 받으면 복구가 가능하다. TeslaCrypt shuts down and Releases Master Decryption Key 위와 같은 페이지의 번역본이다. 랜섬웨어침해대응센터
  • 토렌트라커 : 아래에 서술될 2015 랜섬웨어 사태에서 퍼진 랜섬웨어인 Crypt0l0cker의 원형이다. 이름이 이름인지라 Crypt0l0cker가 CryptoLocker의 변형이라고 많이 알려져 있으나, 사실 토렌트락커의 변형이다. 직접 구글에 영어로 torrentlocker라고 처 보자. 이미지를 보면, 2015년에 유행했던 Crypt0l0cker와 매우 유사함을 알 수 있다.
  • CryptoWall 3.0
  • 비트크립토(Bitcryptor)
  • 코인벌트(CoinVault) : 제작자/유포자가 네덜란드 경찰에 의해 검거되었다.
  • 마이컴고 : 동명의 개발사에서 출시된, PC보안 프로그램을 가장한 랜섬웨어. "중요한 파일을 숨겨서 타인이 볼 수 없게 해주거나 타인으로부터 유출되지 않도록 완벽하게 보호"[36]해준다고 하지만, 파일을 찾을 때에는 월정액 9900원을 내야 한다. 특히 영상 파일들을 노리며, 심지어 폴더로 분류를 해 놓은 것들을 같은 이름의 폴더끼리[37] 합쳐버린다.
    회사 자체가 사라졌다.
  • Hidden-Tear : GitHub에 올라왔던 최초의 오픈소스 랜섬웨어이다! 코드 공부할 때 쓰라고 만든 것이다(...). 툴키디를 방지하기 위해 취약점이 있었다. 그래도 악용되었다. 그리고 뚫렸다 2016년 1월에 제작자가 서비스를 중단했다.
  • eda2 : 위와 동일한 제작자가 만들었고, 동일한 목적으로 만들고, GitHub에도 소스가 올라왔지만.. 이것은 알려진 취약점이 없었다! 결국 악용 사례가 나오자 2016년 3월에 제작자가 서비스를 중단했다.
  • 비트라커 :윈도우 7 엔터프라이즈 버전부터 탑재된 자체 기능을 이용한 랜섬웨어다. MS도 키가 없으면 복구가 불가능하다고 한다. 오유에 어떤 용자가 해커와 협상을 하면서 낚시를 시전해(!) 키를 받아냈는데 복호화 키가 같다고 해커가 말했다고 그 유저가 말했으니 참조바람[38] 해당글
  • OSX.KeRanger : macOS에서만 동작한다. 본격 사용자가 알아서 깔아야 하는 랜섬웨어. Transmission을 해킹하여 거기안에다가 집어넣었다. 현재는 XProtect 로 인해 macOS에서 실행 자체가 불가능하다. 변종이 나오면 몰라도.
  • jigsaw : 파일 변조 유형 랜섬웨어 중에서도 페트야 다음가는 최악의 파괴력을 자랑하는 랜섬웨어. 다른 랜섬웨어가 단순히 파일만 바꾸는 것과는 달리 이 랜섬웨어는 직쏘의 사진을 띄우고 1시간마다 파일 하나를 날리며 강제 종료시 파일을 전부 파괴하게 설계되어있다. 하지만 뚫렸다 이 영상에 복호화 방법이 나와 있으니 참고
  • 련선웨어 : GitHub에 올라온 오픈소스 랜섬웨어 중 하나로 개발자 본인이 복호화 툴을 내놓았다.
  • 랜섬호스 : 이 역시 GitHub에 올라온 오픈소스 랜선웨어 중 하나로 Base64로 암호화 한다. 복구 조건은 히오스 1시간 플레이 하는 것이다. 이 랜섬웨어 역시 복호화 툴이 있다.

5. 모바일에서의 랜섬웨어

모바일에선 랜섬웨어가 없다고 생각하면 큰 오산이다.


위 영상은 모바일에선 랜섬웨어가 어떻게 작동하는지를 보여주는 영상이다. 영상에서 보듯, 스마트폰뿐만 아니라 연동되어 있는 스마트워치에까지 감염이 된다. 하지만 개인용 PC와 영업용 PC부터 시작해서 서버같은 영업용 시스템을 공격하는것에 비해 피해규모가 매우 적은데. iOS는 영세한 해커 나부랭이들이 뚫기가 불가능할 정도로 강력한 샌드박스와 탈옥 이외에는 권한 획득 자체가 안되도록 설계가 되어있고, 안드로이드는 이미 가짜앱과 악성앱 문제같이 iOS, 즉 아이폰에 비해 보안이 허술하지만 그래도 대응책들이 이미 많이 알려져 있고[39] 그리고 PC같이 사용자 동의없는 앱 설치를 싹 다 막아놓았다. 거기에 클라우드 스토리지가 보편화됨에 따라 데이터로 인질 잡는것 자체가 무력화 된것도 있다.

스마트 TV에서도 랜섬웨어 감염이 보고되었다.

6. 피해 사례

6.1. 2015년

2015년 4월 21일 새벽, 클리앙의 광고 서버가 해킹되어 랜섬웨어가 배포되었다. 클리앙 랜섬웨어 사건의 전말. 우리나라 랜섬웨어의 시초격인 사건[40]이며, 크립토락커의 한글버전 즉 랜섬웨어에도 한글화가 되어 한국을 집중적으로 노린 공격이었다. 공격은 구버전 플래시의 취약점을 이용하여 공격하는 방식이었으며, 사이트에 접속만 하는 별 거 아닌 행위로 랜섬웨어에 감염되고 파일들이 암호화되어버리는 처음 보는 광경에 나름 컴덕들이었던 클리앙 이용자들이 멘붕을 일으켰다. 이 사건으로 인해 다수 클리앙의 이용자들이 피해를 입었는데, IT 커뮤니티 특성상 정보도 얻을 겸 회사 컴퓨터로 접속하는 경우도 많아, 그 바람에 회사 중요파일들이 몽땅 암호화되는 등 피해 규모는 심각한 편이었다. 이후로 컴덕들의 플래시 및 랜섬웨어에 대한 경각심이 높아지게 되었다.

4월 22일에는 seeko, 디시인사이드의 광고서버가 해킹되어 랜섬웨어의 배포지가 되는 등, 국내 커뮤니티로 랜섬웨어 배포가 확산되면서 피해가 커질 전망이다. 특히 이번에 문제가 되는 랜섬웨어의 경우 취약점 공격이 1~2개로 한정돼 있는 것으로 보아 일종의 시범타 성격이 큰 바, 본격적으로 공격이 진행되면 지금보다도 더 큰 재앙이 도래할지도 모른다.

10월 중순부터 ccc바이러스라 불리우는 랜섬웨어가 유행하기 시작했다. 모든 파일의 확장자명을 cc나 ccc로 바꾼 후 비트코인을 요구하는 창과 결제방법창을 띄운다고 한다.

11월 13일 드디어 CoinVault의 랜섬웨어 유포/제작자가 네덜란드 경찰에 의해 검거되었고, 현재 CoinVault 랜섬웨어의 모든 복호화 키를 넘겨 받아서 카스퍼스키에서 복구 툴을 만들어 배포중이다. 해당 홈페이지 참조 랜섬웨어 복호화 툴 복구 가능한 랜섬웨어는 CoinVault와 Bitcryptor 두 가지이다.

12월 5일에는 일본에서 시작된 걸로 보이는 통칭 'VVV' 랜섬웨어가 기승을 부리기 시작했다. 몇몇 대형 마토메 사이트를 매개로 퍼진다고 알려졌으며 이것도 위와 마찬가지로 광고를 통해 전염되고, 파일 확장자를 'vvv'로 바꾸고 암호화시키는데다 윈도우 복원포인트까지 삭제시킨다고 한다. 단 일본 웹에서는 마토메 사이트가 매개라는 점에 대해 의혹을 제기하는 견해도 적지 않다. 랜섬웨어 문제가 본격적으로 공론화되기 전인 2010년경부터 이미 VVV 랜섬웨어 자체는 존재했고, 굳이 마토메 사이트가 아니라도 해외 웹사이트나 성인 사이트의 광고를 매개로 감염되는 사례가 있었기 때문에 마토메 사이트 감염설을 마토메 안티들의 선동이라고 보는 시각도 많다.[41] 또한 주로 트위터를 중심으로 이 랜섬웨어에 대해 검증되지 않은 불확실한 정보들이 무수히 돌고 있는 형편이라 사람들을 불안하게 만들고 있다.

12월 8일, 문서 상단에서 언급했듯이 마이크로소프트에서 관련 대응 업데이트를 개시했다. 보안업데이트도 중지한 XP도 이번만큼은 업데이트를 지원할 만큼 긴급하게 업데이트를 단행한 건데, 문제는 이 업데이트를 설치하고 나서도 랜섬웨어에 감염되는 사례가 있어 아직은 조심해야 할 단계다.

6.2. 2016년

1월 10일경에 TeslaCrypt 2.2 (.vvv, .ccc확장자) 복호화 툴이 GitHub에 풀렸다. https://github.com/Googulator/TeslaCrack 한글 사용법은 랜섬웨어침해대응센터에서 참조하도록 하자. 사이트 시도해본 결과 본 방법으로 TeslaCrypt 2.2 외에도 같은 확장자로 변경되는 CryptoWall 3.0의 복호화도 가능하다.

2월 말에는 확장자를 .mp3(음악파일)로 바꾸는 랜섬웨어가 기승을 부리기 시작했다.

3월 ~ 4월 천리안 메일 계정들이 털렸는지 천리안 메일계정으로 랜섬웨어가 심어진 스팸 메일이 무차별적으로 살포되었다. 특히 메일 중에는 사용자 자신이 자신에게 보낸 메일인 것 처럼 위장하는 메일도 있으므로 자신에게 메일쓰기 기능을 쓴 적이 없다면 호기심에라도 열어보는 일이 없도록 하자. 천리안 뿐만 아니라 네이버 메일에서도 이 현상이 자주 나타나고 있으니 주의하도록 하자. (그래도 네이버는 첨부파일 다운 전 악성코드가 포함되어있다고 경고라도 해준다) 그리고 대부분 자기 자신에게 보낸 것처럼 위장하는 메일에 있는 랜섬웨어의 종류는 Locky라고 한다. Invoice(송장), payment, 여행계획이 있을 시 flight plan 등으로 시작하는 제목이라면 무조건 의심하자.

3월에 트랜스미션에 맥에서 처음 구동되는 랜섬웨어가 발견되었다.(...) 수많은 사람들이 피해를 입었고, 제작자는 바로 버전업을 해버렸다.

5월 21일 카스퍼스키에서 제공하는 복호화 툴로도 해결이 안되는 랜섬웨어가 발견되었다. 트위터에 의하면 현재 새로운 버전에 대한 연구도 진행 중이라고 한다.

5월 22일 12:02분 경 오늘의 유머 광고에 랜섬웨어가 침투하였다.

6월 5일 Diep.io에서 랜섬웨어에 감염된 사례가 발견되었다.

6월 5일 오전 중에 .crypz 형식의 랜섬웨어가 새로 발견되었다. 국외와 국내에서 동시다발적으로 보고가 되고있어 주의가 필요하다. 해당 바이러스의 경우 CryptXXX 3.0의 변종으로 추측되며 CryptXXX 3.0계열의 경우 급조해 만든 변형이라는 거. 결제 시스템도 엉망이라 입금을 해도 해커가 입금여부를 확인 못하고 심지어 해커의 복원툴마저 고장 나는 것으로 추측되어 돈을 지불한다 하더라도 복원될 가능성이 거의 없다고 알려졌다. 그리고 이 와중에 .cryp1 형식의 랜섬웨어가 추가로 발견되었다.

6월 7일 뽐뿌 광고에 랜섬웨어가 침투한 것이 발견되었다. #, # 3일부터 진행 중이었다고 한다. 참고로 6월 2일 컬쳐랜드에 접속한 후 랜섬웨어에 감염됐다는 글이 올라왔는데,뽐뿌 링크, 아카이브. 해당 랜섬웨어 감염 피해자가 컬쳐랜드 공식 홈페이지를 방문하였다가 감염된 것이 아닌 뽐뿌에서 이벤트 링크를 통해서 컬쳐랜드에 들어갔다고 한다. 뽐뿌에서 랜섬웨어를 걸렸을 가능성이 크다.

7월 14일 3dp Chip 다운로드 사이트 광고에 랜섬웨어 감염이 의심된다는 제보1 제보2가 있었다. 현재는 문제가 수정된 상태이다. 실제로 피해를 본 사람도 있다고 한다. 자세한 내용 추가 바람

7월 20일 윈도우 바로가기 파일(.lnk) 형태의 랜섬웨어가 발견되었다. 이번에 발견된 바로가기 파일은 악성 자바스크립트 파일을 생성 및 실행하는 코드가 삽입돼 있어 사용자 모르게 랜섬웨어를 감염시키며, 해당 랜섬웨어는 사용자 PC의 사진 및 그림 파일, 각종 오피스 문서 등을 암호화하여 몸값을 요구한다. 암호화된 파일은 확장자 뒤에 ‘.vault’가 추가되며 더 이상 파일을 사용할 수 없게 된다고 한다.

8월 23일 포켓몬GO의 인기를 악용한 랜섬웨어가 등장하였다...

9월 25일 Locky계열의 다른 변종 *.odin 확장자가 발견되었다. 아직 보안업체에서도 방패가 없다. Odin이면 루팅프로그램 아닌가

10월 14일, 나무라이브에서 랜섬웨어가 유포되었고, 확인된 감염된 유저가 1명 발생했다. 유포된 랜섬웨어는 6월에 암호키가 공개된 테슬라크립토이며 추천조작 프로그램이라는 이름을 달고 url을 첨부해 유포되었다. 그리고 10월 16일에도 유포되었다. 이 때는 대놓고 .exe 파일로 링크를 걸어서 다행히도 백신이 대부분 차단했다. 어쨌거나 이런 유형의 url은 클릭도 하면 안 된다. 그리고 랜섬웨어를 목격했다면 즉각 신고해야 한다.

10월 18일, 또 다시 나무라이브에서 랜섬웨어가 유포되었고, 감염된 사용자가 발생하였다. 이번엔 지난번 유포된 '테슬라크립토'가 아닌 '크립토 월'로, 이건 아예 공개 키가 없는 상태이다.

6.3. 2017년

4월 6일, 동방 프로젝트 갤러리에 한 갤러가 '련선웨어'라고 하는 랜섬웨어를 만들었다는 글이 올라왔다. 링크 이 랜섬웨어의 해제 방법은 돈이 아닌, 탄막 슈팅 게임인 동방성련선을 직접 구해서 설치를 한 뒤 가장 높은 난이도인 루나틱에서 점수 2억점 이상을 달성하는 것이다. 이 와중에 개발자 자신이 테스트 과정에서 자기 컴퓨터에 걸린 게 처음이자 마지막 감염이었다(...).[42] 련선웨어 문서 참조.

5월에 발생한 랜섬웨어 워너크라이에 대해서는 2017년 5월 워너크라이 랜섬웨어 사태 문서 참고.

6월 8일경 중국에서 Lycorisradiata라는 신종 모바일 랜섬웨어가 발견되었다. 이번에 발견된 랜섬웨어는 화면만 잠그고 돈을 요구했던 기존 랜섬웨어와는 달리 실제로 사진, 동영상과 같은 파일들을 잠그는 것으로 알려져 한국에 피해가 우려되었다. 참고로 결제화면이 워너크라이랑 유사하다.(...)

6월 10일경 국내 유명 호스팅 업체 '인터넷나야나'에 랜섬웨어 공격이 발생하였다. 그리고 11월 6일, 이번에는 인터넷나야나에서 운영하는 코리아 IDC가 랜섬웨어에 감염되었다. 인터넷나야나 랜섬웨어 감염 사태 문서 참고.

6월 27일에 우크라이나를 공격한 낫페트야[명칭주의]가 전세계로 확산되었다. # 우크라이나를 노린 것으로 보이는지라 러시아가 배후일 거라는 추측이 나왔다. 이로 인해 피해를 본 나라는 워너크라이 사태 때보다 적지만, 악질적이라 나토에선 아예 가해국에게 보복응징을 해야한다는 말까지 나왔다. 10월 24일엔 낫페트야의 변종으로 추정되는 배드 래빗이 등장해 동유럽을 중심으로 확산되고 있는데, 낫페트야의 배후가 배드 래빗의 배후인 것으로 추정된다고 한다.

8월 10일에는 '역사상 최악의 랜섬웨어'라고 하는 스캐럽이 국내에서 발견되었다고 한다. 확장자가 없는 파일까지도 암호화 시킨 후 셧다운을 시켜버리고 부팅 자체를 불가능하게 만들어서 랜섬웨어에 걸렸는지도 확인이 불가능하며 이 때문에 결제요구 문구가 뜨지도 않는다. 즉 랜섬웨어지만 랜섬웨어가 아니라 그냥 트로쟌(트로이목마)인 셈. 제작자의 실수로 보인다.기사

11월 4일에 yjnowl이라는 랜섬웨어가 등장했다. 자세한건 추가바람.


[출처] Expert tips to avoid falling victim to ransomware - Jeffrey Esposito(Kaspersky Lab Daily)[2] 勒索는 '강탈하다', 軟件/軟體은 '소프트웨어'를 뜻한다. 즉, 직역하면 '(돈을) 강탈하는 소프트웨어'라는 뜻이다.[3] 영어 Ransomware의 발음을 그대로 옮겼다. '란사므웨아'라고 발음한다.[4] 협박문을 담은 TXT 파일과 파일들을 압축한 rar 포멧 파일들은 존재하는데 암호화, 변조된 파일도 없고 압축된 파일들을 열어봐도 비밀번호도 걸리지 않았거나 바탕화면이 바뀌였음에도 불구하고 암호화, 변조된 파일이 없다면 백신에서 미리 차단한 것[5] 이 랜섬웨어는 한국에서 가장 많이 발견되는 CERBER 랜섬웨어다.[6] 명령 프롬프트가 열리지 않기 때문에, 도스 기반으로 우회해서 파일을 복사한다든지 별도의 도스 기반 비상용 백신을 돌리는 게 불가능해진다. mzk도 여기서부터는 무용지물.[7] 윈도우10 한정, 사실 윈10에서는 대부분의 랜섬웨어가 전부 Windows Defender에서 차단되어 버리기 때문에 끄거나 프로그램을 승인하지 않는 이상 걸릴 확률이 낮긴하다.[8] 즉, 디렉토리 암호화가 완료되기 전까지는 생성하지 않는단 소리다. 어디까지 랜섬웨어 피해를 받았는지 확인할 수 있는 부분.[9] 연결을 해제했다 다시 연결하고 해제하는 것이 계속 반복되면 배드섹터가 발생할 수 있다.[10] 이를 감염되지 않는 컴퓨터에 연결할시 즉시 그 컴퓨터도 감염이 일어난다.[11] 멀웨어바이츠에서 나온 카멜레온이라는 일반적으로 차단되지 않는 프로세스(예를 들어 윈도우 탐색기, IE 등. 랜섬웨어가 돈을 받아내기 위해서는 필수적인 프로세스이므로 차단하지 않는다.)로 위장한 백신을 최후의 저항방법으로 사용할 수 있지만, 안전모드가 전혀 통하지 않아 업데이트에 방해를 받을 수 있다.(실제 상당수의 바이러스가 일반 모드에서의 업데이트를 방해할 수 있다.) 일단 현재 업데이트는 문제 없이 되었다. 테슬라크립트(확장자 .VVV)의 경우는 치료도 잘 됐다. 다른 랜섬웨어의 경우는 추가바람. 그리고 이런게 워낙 변형된 종류가 많아서 정말로 잡힐지, 혹은 잡더라도 치료가 제대로 될 지는 알 수 없다.[12] 대부분 최상위 폴더부터 알파벳 순으로 암호화하므로 이를 이용해 감지하는 백신이 있다[13] 최근에는 선정적 단어로 확장자가 변환되는 사례가 발견된다. 예: fucked(Manifestus), ifuckedyou(SerbRansom), sexy(PayDay), xxx(TeslaCrypt3.0) 등. 추가바람. 또한 일부 랜섬웨어는 유명한 파일 확장자를 사칭하기도 한다.[14] https://www.checkmal.com/page/resource/video/?detail=read&idx=479&p=1&pc=20 등 참조[15] 랜섬웨어 종류에 따라 안전 모드로 진입이 되지 않는 경우가 있다.[16] Comodo Cleaning Essentials에 포함된 Comodo KillSwitch의 Quick Repair 도구를 사용하면 복구가 가능할 수도 있다. 자세한 건 이 문서 일부 참고.[] [18] 한 파일에 바이러스가 2개 들어 있다. UAC 화면에서 '예'를 누르면 페트야가, '아니오'를 누르면 미샤가 실행된다.[19] 상기한 페트야와 미샤를 합친 것이다.[20] 배터리 일체형 제품의 경우 전원 버튼을 꾹 누르면 꺼진다.[21] 명령 프롬프트(cmd) 미동작 시, 마우스 오른쪽 클릭 -> '새로 만들기' -> '바로가기' 버튼을 클릭한 후, '항목 위치 입력' 란에 아래 명령어를 입력 후 '다음' 버튼을 클릭해 이름을 지정하고 '마침' 버튼을 클릭한다. 마지막으로 바탕화면에 바로가기 아이콘이 생겼다면 아이콘을 더블 클릭하여 실행하고 2.2.1. 부터 진행한다.[22] 고급 시작 옵션으로 Windows를 다시 시작하라는 명령어이다.[23] 안전 모드(네트워킹 사용) 사용[24] Ransomware Information File Remover의 약자이며, 바이러스 제로 시즌 2라는 보안 카페의 매니저가 제작하고 있는 랜섬웨어 결제 안내 파일 제거 도구. 자세한 사항은 바이러스 제로 시즌 2 문서 참고.[25] 암호화 과정에서 시스템이 강제 종료되어 파일이 손상된 파일이나, 한국에서만 주로 사용하는 한컴오피스 문서 등이 포함된다.[26] 현금을 인출하는 순간을 이용하여 잡는 방법이다.[27] 해커들이 받은 비트코인을 세탁할 때 필요하다.[28] 이따끔씩 AES-256을 쓰는 경우도 보인다.[29] 또한 추적을 방지하기 위해 비트코인으로 결제를 요구한다고 한다.[30] 이렇게 모인 피해 금액이 테러 범죄에 사용된다는 분석도 존재한다. 결국 악순환의 연속.[31] 적어도 500 US달러를 요구한다. 그리고 이는 크립토월을 일정부분 이은 테슬라크립토도 마찬가지.[32] 단 강제종료한 시점에서 프로그램 암호화는 멈춘다.[33] 이런 경우 발신자를 FedEx미국우정공사(USPS) 같은 택배와 관련된 곳으로 사칭하고는 "배송 실패" 혹은 "배송 확인" 어쩌구 하는 내용의 제목과 함께 첨부파일이 딸려 온다.[명칭주의] 낫페트야에겐 명칭이 여럿인데, 문제는 이 때문에 혼란을 일으키기 쉽다는 것. 페트야의 변종으로 여겨졌기 때문에 페트야라고 부르는 사람들이 많고(2017년 10월 현재 언론 등에서 말하는 '페트야 랜섬웨어'는 대체로 원래의 페트야가 아니라 낫페트야를 가리킨다(내용상 '2017년 6월의 페트야'를 말한다면 그건 낫페트야다.).), 그 다음으로 널리 알려진 명칭이 낫페트야, 엑스페더(ExPetr)다.[35] 배드 래빗은 낫페트야와 유사한 점이 많지만 다른 점도 여럿이라고 한다. 일단 배드 래빗은 랜섬웨어로 보이며, 이터널블루를 이용하지 않는다고 한다.[36] 공식 블로그의 소개문 일부를 그대로 옮겨왔다.[37] 예를 들어 상위 폴더가 연도, 하위 폴더가 월이면 연도는 무시하고 1월은 1월끼리 뭉쳐놓는다는 뜻[38] 여담이지만 해당 유저는 해커에게 메일로 인실좆을 시전했다(...). 구글번역기라 정확하게 되지는 않았다만.[39] 허가받지 않은 어플리케이션 설치 체크 같은[40] 진짜 시초는 위에서 언급한 마이컴 고이지만 사건정도(?)의 피해는 찾아보지 못했다[41] 애초에 마토메 사이트에 들어갔다가 감염되었다는 정보의 소스 자체도 어느 트위터 유저의 트윗뿐이었고 그 외에는 사례가 나오지 않았다.[42] 물론 리뷰어들이 디버깅을 한 후 일부러 가상머신으로 실행한 건 제외. 이후 제작자는 밤을 새서 2억점을 채웠다고 한다.[명칭주의]

분류