공포의 랜섬웨어 드디어 함락되었나?! 알약,V3 모두 차단 가능

공포의 랜섬웨어 드디어 함락되었나?!  알약,V3 모두 차단 가능

 

2015년을 공포에 떨게 했던 랜섬웨어가 작년 12월부터 막아지기 시작했습니다. 

작년 4월에 클리앙 사건이 큰 이슈가 된 후 백신업체에서 대응을 해오고 있긴 했지만 랜섬웨어에 속수무책으로 뚫리고 있었습니다

그러다 약 8개월이 지난 12월이 돼서야 알약, V3 등 백신 업체에서 행위 기반을 탐지하는 방법으로 제대로 대응을 하게 되었습니다

여태껏 백신업체가 바이러스에 대응하지 못해 이토록 오랫동안 바이러스에 노출된 적이 없었던 거 같습니다

또 바이러스에 뚫렸다 하더라도 대부분 OS에 피해를 주는 방식이라서 OS가 설치된 "C 드라이브 "만 지우면 큰 피해 없이 해결되는 상황이었습니다.

그래서 "이미지 복구 " or "시스템 복원 " 을 잘 사용하면 바이러스가 그다지 무섭지 않았습니다

 

하지만 랜섬웨어는 자료를 공격하는 방식으로 몇 년 동안 보관해오던 사진, 동영상, 문서, 등을 닥치는 대로 암호화 시켜 더 이상 사용할 수 없도록 만들고 있습니다. 이렇게 암호화된 파일을 풀어주는 조건으로 해커들은 비트코인이라는 금전을 요구하고 있으며 해커에게 비용을 지불하지 않고서는 암호를 푸는 건 불가능합니다.

이를 복구해준다는 업체도 있는 거 같던데 직접 복구를 진행하는 건 아니며 복구 과정을 대행하는 하는 겁니다.

"해커에게 줄 비용 + 복구 대행 비용 "을 청구하겠죠  

 

 

▶공포의 랜섬웨어 Crypt0L0cker(크립토락커) 감염 스샷

 

 

▶랜섬웨어 종류

Crypt0L0cker(크립토락커) - 확장자를 ENCRYPTED 로 바꿔 버리며 암호키가 없으면 풀 수 없습니다. 

CryptoWall(크립토월) - 확장자를 CCC, VVV 로 바꿉니다.

CryptoWall 4.0 (크립토월 4.0) - 크립토월4.0은 기존 크립토월과 다르게 파일명과 확장명을 모두 무작위로 변조하여 기존에 무슨 파일이었는지를 알 수 없게 합니다. (예 여름휴가.mp4 --> 9wOl50.er2k 로 변조)

 

 

▶랜섬웨어를 막는법

저도 작년 10월쯤 해서 랜섬웨어에 공격을 당했습니다. 추측건데 구글에서 자료 찾다가 감염되지 않았나 싶습니다.

감염 시키는 걸 보면 보안에 투자할 여력이 적으며 방문객이 좀 되는 사이트의 플래시, 자바 쪽에 악성코드를 심어놓아 불특정 다수의 방문객에게 무작위로 감염시키는 거 같습니다.  또 이외에 불특정 다수에게 이메일을 보내 감염 시키기도 합니다.

여기서 중요한 건 플래시, 자바, 실버라이트와 같은 플러그인을 통해 악성코드를 심어놓으면 드라이브 바이 다운로드(Drive-By-Download)

경로를 이용해 악성 스크립트를 실행한다는 겁니다. 이 방식을 보면 랜섬웨어 프로그램이 다운되고 설치되는 과정에 사용자가 전혀 개입할 수 없습니다.  그렇기 때문에 이러한 스크립트를 실행 자체를 못하게 하려면 웹브라우저가 공격당하지 않도록 취약점을 막는 게 중요합니다. 

 

웹브라우저는 이러한 취약점을 업그레이드를 통해서 막아 나갑니다. 그렇기 때문에 업데이트를 항상 최신으로 유지해야 합니다.

하지만 여러 이유에서 익스플로러 11을 사용하지 않고 구 버전을 사용하는 분들이 많죠  구 버전은 보안 업그레이드도 되지 않기 때문에 이미 밝혀진 취약점을 이용해 악성코드를 짜면 쉽게 컴퓨터로 상륙할 수 있게 됩니다. 그래서 익스플로러 8~9버전을 사용하는 분들이 피해를 많이 입었습니다.

 

익스플로러 같은 경우는 버전이 바뀌면 재설치를 통해 업그레이드를 합니다. 즉 다음 버전으로 사용자가 재설치 하지 않는 이상 최신이 아닌 겁니다. 하지만 크롬 같은 경우는 한번 설치하면 재설치가 아니라 기존 설치파일에서 스스로 업그레이드를 합니다.

그렇기 때문에 취약점이 나오면 크롬은 그에 대한 대응이 사용자가 모르는 사이에 되고 있는 겁니다.

 

한국은 익스플로러의 사용 비중이 높은 지역입니다. 그래서 랜섬웨어를 번역까지 하면서 우리나라에 살포한 거 같습니다.

저도 랜섬웨어에 당한 이후 잃어버린 자료를  찾기 위해 몇 달 동안 크롬을 이용해 돌아다녔는데 랜섬웨어는 걸리지 않았습니다.

그 사이에 가족 중 한 명이 익스플로러 9로 구글에서 웹서핑을  하다가 랜섬웨어에 당하는 일이 생깁니다. (크롬쓰라고 경고해 줬는데...ㅠㅠ)

역시 익스플로러 구버전은 위험합니다.

 

랜섬웨어에 한번 걸리니 웹사이트 돌아다닐 때 상당히 소심해집니다. 바탕화면 쪽에 자료를 놓고 암호화됐는지 계속 살피게 됩니다.

윈도우쪽도 업데이트를 최신으로 하고 보안상태도 높음으로 하면 막는데 도움이 된다고 합니다.  저도 너무 불안해서 어차피 보안 업데이트를 할 거 윈도우 10으로 가버리자는 마음에 "SSD 128G "를 구매해서 윈도우 10을 설치해봤습니다. 그런데 윈도우 7과는 너무나 달라서 불편함이 스트레스로 오더군요 노트북이나 태블릿이라면 윈도우10도 괜찮겠지만 테스크탑은 아닌 거 같습니다.

 

 

▶백신업체의 반격

이렇듯 전국이 랜섬웨어로 몸살을 앓고 있는데 백신 업체는 왜 랜섬웨어를 못 잡아내지라는 답답하더군요

그러던 중 작년 12월에 드디어 백신업체에서 확실한 랜섬웨어 대응책을 내놓기 시작했습니다. 눈물 나게 고맙네요~ㅠㅠ

2015년 4월 클리앙 쪽에 크립토락커 랜섬웨어 사건이 뉴스까지 나오면서 이슈화된 후 12월까지 가서 막게 되었다는 게 참 씁쓸합니다.

뉴스를 보면 아이의 어릴 때부터 찍어온 사진이 모두 암호화되었다는 기사도 있었고, 기업관련 문서가 암호화되었다는 기사도 있었습니다.

모두 돈을 주고라도 풀어야 할 만한 자료라서 돈 주고 푼 분들도 많은가 봅니다.

 

관련글 - [처리의 블로그]Crypt0L0cker(크립토락커), 클리앙사태

관련기사 - [아이티데일리]랜섬웨어 크립토월, 전 세계서 3억 2,500만 달러 금융 피해 입혀

관련기사 -[아시아경제]"당신의 정보 되찾고 싶다면 돈 내놔" 랜섬웨어 주의보

 

 

▶알약의 랜섬웨어 차단, V3의 행위기반진단

 

대응 방식을 보면 알약, V3 모두 행위 기반 차단 방식으로 대처했는데요 파일을 변화시키는 작업을 감지해서 차단시키는 방식 같습니다.

너무 늦게 한번 털린 후 대응해주긴 했지만 어쨌든 백신업체에 감사함을 느낍니다.

 

알약 랜섬웨어 차단 동영상(Youtube): https://youtu.be/kCmFP-2TTwk

 

 

▶랜섬웨어의 새로운 변종

맘을 놓아도 될 줄 알았는데 벌써부터 랜섬웨어들이 변종으로 보안을 뚫으려고 하고 있습니다.  

백신 업체는 새로운 변종에 대한 대응도 신속하게 하겠다는 입장이긴 하지만  백신 한 개만 믿고 있으면 안 될 거 같습니다.

백신 업체마다 대응하는 방식, 시기가 조금씩 다르기 때문에 백신도 2종류 이상 깔아 주는 게 좋을 거 같습니다.(알약, V3 등) 

 

관련기사 - [전자신문]파일 확장자 `mp3`로 바꾸는 랜섬웨어 등장… 이중 프로세스로 탐지 우회

 

 

▶알약 익스플로잇쉴드

그리고 익스플로러 구 버전을 사용하시는 분은 익스플로잇쉴드라는 걸 깔아 두세요

알약에서 익스플로러 취약점을 통한 공격을 막는 툴을 배포하고 있는데 성능이 어떤지는 모르겠지만 익스플로러 구버전 사용자는 조금이나

위안이 됩니다.

 

알약 익스플로잇쉴드 배포:http://www.alyac.com/exploitshield

 

 

▶총평

지금까지 랜섬웨어에 대응하는 방법을 살펴 봤는데요 정리해보면

최신 웹 브라우저로 업데이트 (되도록 알려지지 않은 사이트를 이용할 때는 크롬을 이용할 것)

플래시, 실버라이트와 같은 플러그인 최신 업데이트,

백신은 2종류 이상 사용할 것 (알약, V3 등),

윈도우 최신 업데이트 혹은 최신OS 설치 등 입니다. 

 

부디 백신개발자분들이 해커들보다 한 발 앞서 좀 더 빨리 대처해 주셨으면 합니다.

또 가정이며 기업이며 엄청난 피해를 끼치고 있기에 정부의 전략적 지원도 필요해 보입니다.