랜섬웨어 치료 및 예방

랜섬웨어 치료 및 예방

유해사이트 및 익명의 사이트에 잘못들어가서 자신도 알지 못하는 사이 다운로드된 파일로 인해 

PC의 중요문서 및 파일이 암호화 되어버리는 일이 주변에서 종종 발생하고 있습니다.

이를 랜섬웨어라고 하는데요.

오늘은 이 랜섬웨어 치료 및 예방에 대해 포스팅 해 보도록 하겠습니다.

랜섬웨어란 ransom(몸값) 과 ware(제품)의 합성어로 파일을 인질로 잡고 돈을 요구하는 

악성코드를 뜻합니다.

문서,사진,동영상 및 PC의 중요한 정보를 암호화 시켜 사용자가 중요파일을 확인할 수 없게 만들고 난뒤,

암호화를 해제하기 위한 KEY를 제공받기 위해서는 금품을 요구하는 해커들이 만들어낸 일종의 악성 바이러스입니다.

랜섬웨어 치료는 해커가 제공하는 복구툴이 없으면 사실상 치료가 불가능하다고 하는데요.

최악의 경우 사용자가 급한 마음에 해커가 요구하는데로 직접 돈을 건네고도 키를 받지못하는 경우가 발생하고 있다고 합니다.

그럼 이렇게 위험하고 개인의 영역까지 침범해버리는 랜섬웨어에 감염되었을때 나타나는 증상에 대해서 알아보도록 하겠습니다.

일단 랜섬웨어에 감염되게 되면 한동안 CPU가 엄청난 회전을 하며 동시에 하드디스크를 읽기 시작합니다.

있는대로 메모리를 끌어당겨 해당 메모리 공간을 이용해 파일을 암호화하기 시작하며 

종류에 따라서는 일정한 텀을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만드는 것도 있다고 합니다.

컴퓨터 사양에 따라 약 5분에서 최장 1시간 정도의 파일 암호화 작업을 진행하기 시작합니다.

C&C 서버에서 RSA 공개키를 받아온 다음 파일 데이터들을 전체 검색하며 찾기 시작합니다.

이때까지 사용자는 컴퓨터가 조금 느려진것을 제외하고는 딱히 체감되는 문제가 없어 눈치채는 것 조차 힘들게됩니다.

이렇게 파일 목록과 RSA 공개키가 확보되면 파일 각각에 대해 AES 키를 매번 생성하여 파일을 암호화 하기 시작합니다.

파일 내용을 암호화 하고 파일로 다시 쓸때는 사용한 AES 키를 서버에서 받아온 RSA 공개키를 이용해서 암호화하여 같이 저장하게 됩니다.

그렇기 때문에 공격을 시작한 자만이 갖고 있는 비밀키가 있어야 이 AES 키를 알아내어 복호화를 할 수 있는 것 입니다.

암호화가 모두 완료되거나 완료되기전에 재부팅을 하는 경우, 

이 악성코드는 '당신은 랜섬웨어에 걸렸습니다' 라는 식의 txt 파일이나 알림창(한국어 or 영어) 을 팝업하는 동시에 

컴퓨터용으로 복호화 파일을 전달할 html 연결 페이지를 자동으로 띄워주게 됩니다.

그리고 그순간부터 사용자는 자신의 PC를 사용할 수 없게 되버립니다.

이런식으로 자신의 중요 파일들이 잠겨버리게 되는겁니다.

그럼 랜섬웨어의 대표적인 증상들에 대해 알아보겠습니다.

■ 프로그램들이 열리지 않는다.

    프로그램을 실행하면 열릴듯 하다 다시 꺼지는 현상이 반복됩니다.  

    혹은 상기 프로그램이 종료되면서 메세지가 적힌 메모장이 열리게됩니다.

■ 윈도우 복원 시점을 제거한다.

   또한 운영체제 업데이트를 막아버리기도 한다.(요부분은 랜섬웨어가 별도의 다른 악성코드를 심기도 한다고 합니다)

■ 암호화가 완료된 파일들이 들어있는 폴더에 html과 txt 파일을 생성한다. 

   이것은 하위/상위 폴더 구분없이 일단 해당 디렉토리의 모든 파일을 

   암호화 하고 난 뒤에 생성하게 됩니다.

■ 안티바이러스 프로그램이 오작동한다. 혹은 강제로 꺼지거나 삭제된다.

■ 안전모드로 기동할 경우, 중간까지는 로딩되는 듯하다가 다시 일반 Windows로 부팅된다. 

   즉,안전모드 자체로 진입이 불가하게 됩니다.

■ 사용자가 암호화된 파일을 열수 없다. 원래 해당 파일을 편집했던 프로그램으로 연결해도 '읽을수 없는 형식' 이라 표시된다.

■ 만약 사용자가 아직 암호화되지 않은 문서파일을 열 경우, 한동안은 편집이 가능하지만 문서를 저장하는 순간 암호화 되버린다.

■ 외장하드나 USB등의 이동식 저장 매체로 파일 백업을 시도할 경우, 강제적으로 외장 메모리 접속을 해제시킨다.

    즉 USB나 외장하드를 전혀 사용할 수 없게 되버리는 것입니다.

■ 연결된 이동식 저장매체 또한 감염된다. 외장하드,USB 메모리,SD 카드 등 예외는 없다.

이정도의 증상이 나오게 되면 사용자는 모든 시스템 접근권한이 거부당한 채일 테고, 

사용자가 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 랜섬웨어 치료 및 예방에 대한 대응방안을 찾아보거나, 

내 파일들이 암호화되는걸 지켜보거나, 다른 프로그램을 실행 해 보는 정도 일겁니다.

그나마 다른 프로그램이 실행은 되겠지만 백신이 무효화되어 악성코드를 잡지 못하는 현상이 발견되기도 할 겁니다.

위의 증상들이 절대적인 랜섬웨어의 현상은 물론 아닙니다.

종류도 많은데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 이것만으로 판단하기는 어렵기 때문입니다.

하지만 파일의 확장자가 바뀌고 암호화되는 것은 동일하니 이런 현상이 발생한다면 100% 랜섬웨어에 감염된 것이라고 보면 됩니다.

그럼 랜섬웨어 치료 및 예방에 대해 알아보도록 하겠습니다.

■ 바이러스 백신 소프트웨어에서 랜섬웨어가 탐지되어 차단되었다는 메세지를 보인다면

더이상의 문제는 없으니 백신소프트웨어를 통해 시스템 정밀 검사를 실행하고 추후 재발 방지 대책을 세우면 됩니다.

■  파일들이 알수없는 명칭과 확장자로 변환되며 랜섬웨어 협박문과 함께 타이머가 보이기 시작하면

바로 아래 대처법을 시행해야 합니다.

■  이방법은 안전모드가 작동이 가능한 경우에만 해당되며 그렇지 않은 경우 랜섬웨어에 의해 암호화된 파일을 별도의

저장소에 백업하고 감염된 PC에 Windows를 재 설치한 후 아래 4번 항목부터 진행하여야 합니다.

1. 우선 데스크탑의 경우 전원 플로그를 뽑아야 합니다. 노트북이라면 강제 종료를 한 후 배터리를 탈착할 수 있다면 하도록 합니다.

2. 안전모드로 진입합니다.

2.1 (Windows 7까지)시스템 부팅 전 F8키를 연타한 뒤, 키보드의 화살표 버튼으로 '안전모드(네트워킹 사용)'을 선택한 후 'Enter' 키를 눌러 진입하도록 합니다.

2.2 (Windows 8부터) 명령 프롬프트(cmd)를 실행하여 다음 명령어를 입력 한 후, 키보드의 'Enter'키를 누르도록 합니다.

2.2.1 (Windows 8부터) 시스템이 다시 시작되어 옵션 선택 화면이 나오면 '문제해결','고급옵션','시작설정''다시시작' 버튼을 차례대로

       클릭합니다. 한번 더 재시작이 되면 숫자 5를 키보드로 입력하도록 합니다.

3. 안전모드로 진입이 완료되었을 경우, 적절한 안티바이러스 제품을 검색하여 랜섬웨어를 제거하도록 합니다.

결제 협박문이 남아 있을 경우, 랜섬웨어 결제 안내 파일 제거 스크립트를 이용하여 제거한 후 시스템을 다시 시작하도록 합니다.

4. 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아 있을 것입니다. 따라서 암호화 된 파일이 복호화 가능하다면

복호화 툴을 사용하도록 합니다. 단, 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 전부 공개하거나, 사법당국과 안티바이러스 업체가

복호화 키를 찾아낸 경우에만 해당되도록 합니다.

5. 다만 , 4번의 경우도 완벽한 건 아니라서 특정 파일이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할수도 있습니다.

<나무위키를 참조하였습니다.>

랜섬웨어의 치료 및 예방 에 대해 알아보았는데요.

사실상 랜섬웨어에 감염될 경우 복호화 툴이 없을 경우 복호화가 어렵다고 할수 밖에 없습니다.

설사 복호화 툴이 있다고 해도 완벽하게 복호화가 된다는 보장 또한 하기 어렵습니다.

결국 이런 경우 거의 PC를 초기화 하거나 데이터 복구업체를 통해 복구 작업을 시도할 수 밖에 없습니다.

제일 처음부분에도 말씀드렸듯이 개인이 해커에게 돈을 주고 복호화를 시도한다해도 해커가 최악의 경우

복호화 키를 주지 않을 수도 있다고 하니 조심하셔야 할 것 같습니다.

랜섬웨어의 치료는 어렵습니다.

그러니 현재는 예방하는 것에 최선을 다해야 할 듯 싶습니다.

가장 간단한 랜섬웨어의 치료 및 예방입니다.

우선, 백신소프트웨어의 최신 업데이트 및 실시간 감지여부 확인, Windows,Ms-Office,한글 등 최신 업데이트 설치 및 확인 및

유해한 사이트,신뢰할수 없는 사이트,출처를 알수 없는 사이트의 열람을 금하고,

발신자가 명확치 않은 메일의 첨부파일 열람에 주의 하셔야 합니다.

또한 중요 파일은 PC 외 외부 저장장치 등을 이용하여 주기적으로 백업해 놓는 것이 필요합니다.

불특정 해외 웹사이트 방문 또는 여러가지 다른 경로로도 확산되고 있다고 하니 랜섬웨어 치료 이전에 데이터 백업과 보안에

신경 써야 할 것 같습니다.

요즘은 개인/기업의 PC 뿐 아니라 모바일로도 랜섬웨어의 피해사례가 속출 하고 있다고 합니다.

불특정 다수 경로 및 알수없는 출처에 해당하는 파일등을 실행할때 주의하셔야 할 듯 싶습니다.

이상 랜섬웨어 치료 및 예방에 대해 알아보았습니다.

모두 조심하셔서 피해를 입지 않도록 바라겠습니다.