랜섬웨어란?

CERBER 랜섬웨어 감염 PC 바탕화면

랜섬웨어?

랜섬웨어란 Ransome 몸값 + ware 제품의 합성어이다.

암호학에서 나온 악성코드의 일종으로, 일단 감염이 되면 바탕화면이 위와 같이 변하고 파일이 암호화되어 접근할 수 없게 된다.

감염자가 해커의 요구를 들어주지 않는다면 복호화를 할 수 없다. 물론 요구를 들어준다고 해서 복호화를 할 수 있다고 확신할 수도 없다. 주로 해커의 요구는 돈이며 지불방식은 Tor와 가상화폐를 이용하여 진행됩니다. Tor와 가상화폐를 사용하는 이유는 뒤가 안 잡히기 때문이다.

 

Tor에 대해 궁금하다면 다음을 참고하도록 하자.

https://hardner.tistory.com/35

Tor Browser란?

 

시간이 지남에 따라 복호화툴이 나오기도 하지만 해독 키 없이 파일을 복구하는 것은 어려운 문제이다.

 

랜섬웨어 유포방식

- 스팸메일 및 스피어 피싱

스팸은 랜섬웨어 유포를 위한 가장 흔한 방법이다. 일반적으로 사회공학 기법을 이용하여 퍼진다.

피해자들은 이메일 내용에 속아서 첨부파일을 다운로드하거나 링크를 클릭한다.

속을 수밖에 없는 이유는 여러 방면으로 사용자가 속을 수 밖에 없는 방법으로 메일이 오기 때문이다.

예로 은행이나 직장에서 오는 메일 등이 있다.

 

- 신뢰할 수 없는 사이트

신뢰할 수 없는 사이트의 경우 접속만으로도 '드라이브 바이 다운로드' 공격으로 감염될 수 있다.

이를 예방하기 위해서는 PC의 운영체제 및 각종 SW의 보안 패치를 항상 최신으로 업데이트하는 것이 중요하다.

또한 감염의 원인이 될 수 있는 신뢰성이 떨어지는 사이트의 접속 자제해야 한다.

※드라이브 바이 다운로드?

취약한 웹사이트에 접속했을 때 사용자 모르게 악성 스크립트가 동작하여 취약점을 유발하는 코드를 실행하여 악성코드를 다운로드하고 실행하여 사용자의 PC를 감염시키는 기법이다.

 

- 파일공유 사이트

토렌트, 웹하드 등 P2P 사이트를 통해 동영상 등의 파일을 다운로드하고 이를 실행할 경우, 악성코드에 감염되는 사례가 있어 이에 대한 주의가 필요하다.

 

- SNS

최근 페이스북, 트위터 등 SNS에 올라온 단축 URL 및 사진을 이용하여 랜섬웨어를 유포하는 사례가 있다.

특히, SNS 계정 해킹을 통해 신뢰할 수 있는 사용자로 위장해 랜섬웨어를 유포할 수 있기 때문에 이에 대한 주의가 필요하다.

 

- 네트워크망

네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하여 악성코드를 감염·확산시킵니다.

이를 예방하기 위해서는 사용하는 PC의 운영체제와 SW의 최신 보안 패치를 적용하여 항상 최신의 보안 상태를 유지해야 한다.

 

 

유명한 랜섬웨어

- 겐드크랩(GandCrab)

겐드크랩 악성코드는 버전 1이 발견된 2018년 1월부터 시작해 현재까지 지속적으로 위협을 가하고 있다. 주로 유창한 한국어 구사 능력을 기반으로 이메일을 통한 이력서 사칭, 파일 다운로드 유도, 멀티 바이징 등을 통해 지금 이 순간도 활발히 유포하고 있다. 겐드크랩 랜섬웨어에 감염되면 주요 파일(doc, ppt, hwp 등)을 암호화시키며, 확장자는 4 버전까지는 GDCB, KRAB 등으로 변경되고, 5 버전부터는 임의의 확장자 명으로 변화된다. 암호화된 파일의 복구를 위해 Tor 브라우저를 설치해야 하며, 미화 3000달러 상당의 대시(DASH) 또는 비트코인(BitCoin)을 지불하도록 요구한다. 주요 목적은 금전적 이득이다. 개발자는 다크 웹에서 Raas(Ransomwer as a Service)를 기반으로 랜섬웨어를 제작해 판매하고 있으며 유포자는 다크 웹을 통해 이 악성코드를 구매해 유포하고 감염시스템 정보, 복호화 키 정보 등을 웹 페이지를 통해 관리한다.

 

- 워너크라이(WannaCry)

2017년 5월 워너크라이 랜섬웨어 공격은 미국 국가안보국(NSA)에서 유출된 'EternalBlue'라는 악용 벡터를 이용해 인터넷을 통해 확산됐다. 전례가 없는 규모로 150여 개국에 23만 대 이상의 컴퓨터를 감염시켰으며, 비트코인 가상화폐를 사용하는 사용자들에게 돈을 20여 개의 다른 언어를 사용하여 요구했다. WannaCry는 컴퓨터당 300달러를 요구했고, 컴퓨터가 감염된 날로부터 피해자들에게 7일간의 마감시간을 주었다. 만약 기한 내에 요구사항을 안 들어주면 암호화된 파일은 삭제되었다.

WannCry는 마이크로소프트 윈도우 운영체제의 SMB(Sever Message Block, MS17-010)을 이용하여 악성코드를 감염시킨 후, 해당 PC 또는 서버에서 접속 가능한 IP를 스캔하여 네트워크로 전파했다. 감염된 PC는 다양한 문서 파일(doc, ppt, hwp 등) 외 다수의 파일이 암호화되고, 바탕화면이 변경되며, 확장자를 .WNCRY 또는 .WNCRYT로 변경된다.

 

- 케르베르(CERBER)

CERBER는 말하는 랜섬웨어로 유명하다.

※감염 시에 "Attention! Attention! Attention!?

Your documents, photos, databases and other important files have been encrypted” 음성 메시지가 출력됨.

웹사이트 접속 시 취약점을 통해 감염되며, 파일을 암호화하고 확정자를 .cerber로 변경한다. 최근 이메일을 통해 유포되는 정황이 발견되었다. 악성코드 내에 저장되어있는 IP 주소와 서브넷 마스크 값을 사용하여 UDP 패킷을 전송하며 네트워크가 연결되지 않더라도 파일은 암호화된다. 윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만든다.

 

https://en.wikipedia.org/wiki/Ransomware

Ransomware - Wikipedia

https://www.datto.com/blog/how-ransomware-is-spread

How is Ransomware Spread?

https://www.krcert.or.kr/ransomware/information.do

KISA 인터넷 보호나라&KrCERT

+KISA_갠드크랩_분석_스페셜_리포트.pdf.