CryptoLocker 무서운 개념 또 종류, 대응 방법은 무엇일까
37,994 오늘 7 어제 129 랜섬웨어Ransomware는 악성 소프트웨어의 한 종류로, 컴퓨터 시스템이나 데이터를 암호화하여 사용자가 접근할 수 없게 만들고, 이를 풀기 위해 사용자에게 금전적으로 요청을 하는 것을 말합니다. 2023년 4월 24일 11시 경, 기업 동료의 다급한 호출이 있었습니다. 특정 사이트에 들어갔다. 나온 뒤, 뭔가 이상한 메세지가 계속 표시되고 컴퓨터도 빠르게 느려졌다는 것이었습니다. 메세지를 확인해보니 기업 내부 파일 서버에 네트워크 드라이브로 연결하여 사용 중인 RaiDrive 의 업로드 실패 알림이었습니다.
업로드가 실패된 파일과 경로를 보니, 제가 기업 동료에서 읽기 권한만 주고 쓰기 권한은 주지 않은 폴더였습니다.
비트코인의 등장 이전
랜섬웨어가 탄생하기 이전에도 사용자의 PC를 사용하지 못하도록 만드는 악성 코드는 많이 있었습니다. 유사 랜섬웨어 격입니다. 그중 가장 대표 격인 녀석이 카지노 바이러스다. 금전을 요구하지는 않았습니다. 하지만 과거의 하드디스크 용량은 작았기에 이를 주기억장치RAM에 하드의 데이터를 백업 후 카지노 게임을 진행하여 잭팟이 당첨되지 않으면 재부팅 하여 주기억장치의 데이터를 날렸다. 의외로 정직하게 잭팟이 당첨되면 복구해 주었다.
위와 달리 최초의 랜섬웨어로 알려진 것은 AIDS 트로이목마입니다. 1989년 세계보건기구 에이즈 회담에서 이 악성 코드가 담긴 디스켓이 배포되었습니다. 자료를 복구하기 위해선 파나마의 한 우편함에 미화 189를 보내어 별도의 복호화 디스켓을 받아야 했다. 비트코인 등장 이전 랜섬웨어는 결제 수단, 우편내역, 송금내역 등이 남아있었기에 범죄자의 추적이 얼추 가능했었다.
RDP를 이용한 랜섬웨어 설치
RDP 즉 원격 데스크탑 서비스를 공격 벡터로 이용하는 공격자들은 일반적으로 외부에서 접근 가능한 시스템을 대상으로 RDP가 활성화되어 있는 시스템들을 스캐닝합니다. 스캐닝 과정에서 찾은 시스템들에 대해서는 무차별 대입 공격이나 사전 공격을 수행합니다. 만약 사용자가 부적절한 계정 정보를 사용하고 있을 경우 공격자는 쉽게 계정 정보를 획득할 있습니다.
공격자가 획득한 계정 정보로 원격 데스크탑을 사용해 시스템에 로그인할 경우 해당 시스템에 대한 제어를 획득할 수 있기 때문 이후 여러 악성 행위를 수행할 있습니다.
Venus 랜섬웨어를 설치한 공격자도 RDP를 공격 벡터로 사용한 것으로 추정되며, 다음과 같이 탐색기 프로세스explorer.exe에 의해 다수의 악성코드들이 생성되는 것이 근거 중 하나입니다.
랜섬웨어가 작동하는 방법
작동하는 방법은 암호해독 과정이라고 보시면 됩니다. 몇 가지로 나누어 구분할 수 있으며 정리하면 다음과 같습니다. 디스크 코더 랜섬웨어 스크린 락커 크립토 랜섬웨어 PIN 락커 디스크 코더는 전체 디스크를 암호화는 것이고 스크린은 기기의 화면을 제어당하는 것입니다. PIN 락커는 안드로이드 기기 대상으로 하는 랜섬웨어라 생각하시면 됩니다. 이외에도 여러 형태가 있을 것이라 생각되며 이를 방지하기 위한 방안으로 인원은 예방을 말하곤 합니다.
랜섬웨어를 예방하고 대처하는 방법 중 예방을 추천 어떤 것이든 예방이 가장 중요합니다. 그리고 병이나 바이러스가 걸리고 나면 어떻게든 해결할 방법을 찾는 것이죠. 특히나 기업이나 국가가 아닌 개인일 경우 예방이 더욱더 중요합니다. 할 수 있습니다.
감염 상태 확인 및 복구
최가장먼저 현재 랜섬웨어 프로세스를 확인 후 종료를 시켜야했으나 어떤 랜섬웨어인지 확인을 빠르게 할 수 없으므로 우선 감염이 의심되는 PC를 재부팅하였습니다. 이곳에서 다행인 부분은, 이미 파일이 모두 감염된 이후에 확인을 했다면 어떤 PC가 감염되었는지 찾기가 어려울 수도 있었으나 이상 증상이 보인 직후에 바로 알려주었기 때문에 감염 PC를 구체적인 상태로 조치가 가능했습니다. 원래대로라면 랜섬웨어가 의심되는 순간 랜선을 제거하고 Wi-Fi 연결도 해제를 하는 것이 가장 좋았지만 파일 서버의 경우 버저닝을 해둔 것이 어느정도 안심이 되었고 재부팅 이후 로컬 파일들도 더 이상 진행이 안되는 것으로 보였기 때문에 랜섬웨어의 실행 파일부터 찾기로 하였습니다.
그리고 바탕화면에 를 알 수 없는 설치 자료를 찾을 수 있었습니다.
APT 공격
이 게시글은 KMOOC 정보보호와 보안의 기본 강의를 듣고 개인 학습용으로 정리한 내용입니다.
자주 묻는 질문
비트코인의 등장 이전
랜섬웨어가 탄생하기 이전에도 사용자의 PC를 사용하지 못하도록 만드는 악성 코드는 많이 있었습니다. 궁금한 내용은 본문을 참고하시기 바랍니다.
RDP를 이용한 랜섬웨어
RDP 즉 원격 데스크탑 서비스를 공격 벡터로 이용하는 공격자들은 일반적으로 외부에서 접근 가능한 시스템을 대상으로 RDP가 활성화되어 있는 시스템들을 스캐닝합니다. 더 알고싶으시면 본문을 클릭해주세요.
랜섬웨어가 작동하는 방법
작동하는 방법은 암호해독 과정이라고 보시면 됩니다. 좀 더 자세한 사항은 본문을 참고해 주세요.