복호화에 해당하는글 7


Shade는 2015년 초 등장한 랜섬웨어며 주로 악성스팸이나 취약점악용(exploit kit)을 통해 배포된다. 취약점악용의 경우 피해자가 감염된 웹사이트를 방문하기만 하면 되고 별도로 어떤 파일을 여는 과정이 불필요하기 때문에 특히 위험하다.



Shade가 피해자 시스템 침입에 성공하면 중앙(C&C) 서버로부터 암호화키를 받으며 서버 사용이 불가능할 경우에 대비하여 자체 암호화키도 예비로 보유하고 있다. 이는 랜섬웨어가 일단 침투하고 나면 피해자 컴퓨터에서 인터넷 연결을 끊는다 해도 예정대로 작동할 수 있음을 의미한다. Shade가 암호화할 수 있는 파일유형은 MS오피스 문서, 이미지, 압축파일 등 150종이 넘으며 암호화 과정에서 파일 이름 뒤에 .xtbl 또는 .ytbl 확장자를 추가한다. 암호화가 완료되면 아래와 같이 금전지급 요구가 화면에 표시된다. 한편 Shade는 암호화를 끝내고 나서도 다른 맬웨어를 다운받는 등 지속적으로 활동한다


카스퍼스키는 네덜란드경찰, 유로폴, 인텔시큐리티(Intel Security)와 연합하여 랜섬외어 복호화툴을 모으고 배포할 목적으로  NoMoreRansom.org라는 웹사이트를 개설했다. 이번에 사이트 개설과 함께 Shade 랜섬웨어 복호화툴이 추가됐으며 사용방법은 다음과 같다.


1. NoMoreRansom.org 방문


2. 인텔시큐리티 또는 카스퍼스키 측 다운로드 링크 선택 (이하 내용은 카스퍼스키 복호화툴 기준으로 작성)


3. ShadeDecryptor.zip 압축 풀고 ShadeDecryptor.exe 실행


4. 실행창에서 Change parameters 클릭



5. 암호화파일을 스캔할 드라이브 선택



6. Delete crypted files after decryption은 복호화가 끝나고 나서 암호화된 파일을 자동 삭제하는 옵션이지만 파일이 완전히 복구됐는지 확신할 수 없다면 이 옵션은 권장하지 않는다.


7. OK를 선택하여 실행창으로 돌아오고 Start scan 클릭



8. Specify the path to one of encrypted files 창에서 암호화된 파일 하나를 선택하고 Open 클릭


9. 만약 피해자의 ID를 자동 탐지할 수 없다는 메시지가 뜬다면 금전지급요구와 피해자 ID가 기재된 readme.txt로 파일경로를 지정하면 된다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Alex Drozhzhin, No More Ransom, 7. 25. 2016.

https://usblog.kaspersky.com/shade-decryptor/7441/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.02 13:44



Petya 및 Mischa 랜섬웨어 제작자들이  '업계 경쟁세력'에게 일격을 날렸다. 우선 이른바 랜섬웨어서비스(Ransomware-as-a-Service, RaaS)라는 방식으로 랜섬웨어 변종을 대량 배포함으로써 일반인도 범죄의지만 있다면 랜섬웨어로 사이버공격을 행할 수 있는 발판을 마련했다.

참고: http://www.securityweek.com/petya-mischa-ransomware-now-available-service


그리고 Chimera 랜섬웨어에 감염된 시스템에 적용될 수 있다고 주장하면서 3500개의 RSA 개인키를 배포했으며 이는 라이벌 세력인 Chimera 랜섬웨어의 활동을 방해하려는 의도로 보인다. 해당 키는 Pastebin에 게재됐으며 게시글에서는 이를 통해 복호화툴을 만드는 데 도움이 될 수 있다고 밝히고 있다.

참고: http://pastebin.com/7HrZCsmT


Mischa 제작자들이 작성한 내용은 다음과 같다. "2016년 초 우리는 Chimera 랜섬웨어 개발과정에 상당부분이 접근할 수 있었으며 이에 따라 Chimera를 우리 프로젝트에 포함시켰다. 아울러 Chimera에 대한 복호화키 3500개를 공개 배포한다."


해당 복호화키가 실제로 Chimera 랜섬웨어로 암호화된 파일을 복호화할 수 있는지 판별하고 이를 통해 복호화 프로그램이 제작돠려면 시간이 거릴 수밖에 없지만 적어도 가능성은 생겼으므로 Chimera 랜섬웨어 피해자는 섣불리 파일을 삭제하지 말고 기다리는 것도 방법이 될 수 있겠다. 하지만 앞서 언급한 RaaS를 통해 참여자에게 랜섬웨어를 배포하여 수익을 챙길 수 있는 기회를 주는 방식이 출현했으며 상당기간 널리 퍼지리라 예상되므로 결코 주의를 늦출 수는 없다.


컴퓨터기술포럼 BleepingComputer.com 설립자 Lawrence Abrams는 "이번 일을 계기로 Petya 및 Mischa 랜섬웨어의 배포가 더욱 활발하게 일어날 가능성이 높다."는 의견을 피력했다.



Lisa Vaas, Chimera ransomware keys leaked by rival malware developers, 7. 28. 2016.

https://nakedsecurity.sophos.com/2016/07/28/chimera-ransomware-keys-leaked-by-rival-malware-developers/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.29 16:40


AVG 바이러스연구소는 최근 Bart 랜섬웨어에 대한 파일복구 툴을 제작했다. 랜섬웨어 중에서도 최신에 속하는 Bart 랜섬웨어는 이미 전 세계에 퍼졌으며 주로 사진과 이미지에 관련된 제목을 가진 이메일을 통해 배포된다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


Bart 랜섬웨어는 Dridex 및 Locky 랜섬웨어 제작자가 만들었다고 추정된다. Dridex 그리고 Locky가 파일을 암호화시킨 상태로 다시 쓰는 반면 Bart의 경우 개별 파일을 별도의 암호화된 압축파일(zip)에 넣은 다음 원본 파일을 삭제한다. 물론 사용자가 돈을 지불하기 전까지는 해당 파일에 접근할 수 없다는 점은 마찬가지다.


Bart 랜섬웨어에 감염될 경우 파일의 원래 이름에 bart.zip이라는 확장자가 들어가기 때문에 감염을 바로 알아낼 수 있다. 바탕화면은 대체로 다음과 같은 그림으로 변경된다. 이 그림에 들어간 텍스트는 "Recover.bmp" 그리고 "recover.txt" 파일에 보관되며 Bart 랜섬웨어 식별의 단서가 될 수 있다.



여기에서 소개하는 AVG Bart 복호화툴은 복호화 작업에 앞서 암호화된 파일을 해당 파일의 원본과 비교하는 과정을 거쳐야 한다. 그러므로 툴을 다운받아 구동하기 전에 먼저 암호화되지 않은 파일을 비교대상으로 선택하고 다음 단계를 따른다.


1. 비교대상 파일을 선택한다. 만약 모든 파일이 암호화된 경우라면 (1) 클라우드나 외부저장기기 등에 보관된 파일 (2) 바탕화면 등 윈도우 표준 미디어파일 (3) 이메일에 첨부된 미디어파일을 사용한다.


2. 선택한 파일을 데스크탑에 복사한다. Bart 랜섬웨어는 금전을 요구하고 나서는 파일 암호화를 그치기 때문에 문제가 없다. 이 과정을 마치고 나서  Bart 복호화툴을 다운받아 실행한다. 툴이 실행되면 암호화된 파일과 암호화되지 않은 파일을 추가하라고 요청한다.



3. 파일을 선택하고 나면 나머지 과정은 툴에서 자동 진행한다.



Bart 랜섬웨어 AVG 복호화툴 다운로드링크

http://now.avg.com/barts-shenanigans-are-no-match-for-avg/




Jakub Kroustek, Bart’s Shenanigans Are No Match for AVG, 7. 19. 2016.

http://now.avg.com/barts-shenanigans-are-no-match-for-avg/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.21 14:40


AVG 바이러스연구소는 최근 랜섬웨어

복호화툴 6종의 무료 배포를 발표했다.

 

근래 랜섬웨어는 아주 짭짤한 돈벌이로 부상하여 사이버공격 비즈니스모델에서 중요한 비중을 차지하고 있다. 이와 관련하여 AVG는 랜섬웨어 감염을 방지하는 요령 그리고 파일이 감염된 경우의 대처방안을 소개한 바 있는데 여기에서 설명된 내용은 다음과 같다. "상당수의 랜섬웨어 개체군은 암호화 알고리즘에 취약점을 안고 있으며 이를 활용하여 돈을 내지 않고도 파일을 복호화할 수도 있다. 그러한 취약점을 밝혀내고 활용하는 데에는 시간이 걸릴 수 있지만 복구의 여지가 분명 있기 때문에 당장 파일을 삭제하지 않는 게 좋다." 이제 AVG가 새로이 선보이는 복호화툴을 통해 사용자들이 돈을 내지 않고 파일을 복구할 수 있는 길이 열렸다. 하지만 이러한 암호화툴은 파일이 이미 랜섬웨어에 감염된 경우에 사용할 수 있는 최후의 수단이며 AVG 안티바이러스와 같은 솔루션을 통해 사전에 랜섬웨어를 탐지하고 제거할 수 있는 다중보안대책을 갖춰야 할 필요가 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>

 


랜섬웨어 복호화툴 사용요령

AVG 무료 복호화툴은 Apocalypse, BadBlock, Crypt888, Legion, SZFLocker, TeslaCrypt 이상 6종 랜섬웨어에 대한 복호화 기능을 제공한다. 복호화툴 사용방법은 다음과 같다.

1. 감염 PC에 대한 정밀검사 실행

2. (선택) 암호화된 파일을 다른 PC에서 복호화할 수 있도록 별도 플래시드라이브에 이전

3. 파일을 감염시킨 랜섬웨어 종류 식별. 각 랜섬웨어에 대한 설명은 이하 내용 참고. 만약 자신의 랜섬웨어 감염양상이 이하의 설명과 일치한다면 해당 랜섬웨어에 대한 툴을 다운받아 실행.

4. 툴이 실행하는 마법사를 통해 복호화 프로세스를 단계별로 진행.



 

Apocalypse


The Apocalypse 랜섬웨어는 암호화시킨 파일에 ".encrypted", ".locked", ".SecureCrypted“라는 확장자를 첨부한다. 그리고 ".How_To_Decrypt.txt", ".README.Txt", ".Contact_Here_To_Recover_Your_Files.txt"라는 확장자를 붙인 파일에 랜섬웨어 메시지를 생성하기도 한다. 이 메시지 내용을 보면 decryptionservice@mail.ru, dr.compress@bk.ru, decryptdata@inbox.ru, recoveryhelp@bk.ru 등의 연락처를 볼 수 있다. 아래 그림을 보면 이들 연락처로 연락하지 않으면 암호화된 파일을 영영 복구할 수 없다는 식의 메시지를 볼 수 있다.



Apocalypse 구형버전 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_Apocalypse.exe

Apocalypse 최신버전 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_ApocalypseVM.exe


 

BadBlock


BadBlock은 암호화시킨 파일의 이름을 변경하지는 않으며 "Help Decrypt.html"이라는 이름의 랜섬웨어 메시지와 아래 그림과 같이 랜섬웨어 메시지를 띄우는 빨간 창을 통해 BadBlock 랜섬웨어를 식별할 수 있다.



BadBlock 복호화툴

http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock32.exe

http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock64.exe


 

Crypt888


Crypt888Mircop라고도 알려져 있으며 파일 접두어 "Lock."을 붙여 파일을 암호화시킨다. 또한 피해자의 배경화면을 아래와 같은 이미지로 변경시킨다.



Crypt888은 그 구조의 특성상 제작자 측이 제공하는 복호화툴이 작동하지 않을 수도 있기 때문에 제작자 요구대로 돈을 지불한다 g도 일부 파일이나 폴더를 복구하지 못할 위험이 있다.


AVG 제공 Crypt888 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_Crypt888.exe


 

Legion


Legion은 암호화시킨 파일에 "._23-06-2016-20-27-23_$f_tactics@aol.com$.legion"과 같은 식의 확장자를 붙인다. 또한 아래 그림과 같이 피해자의 배경화면을 변경하고 암호화된 파일에 대한 알림을 띄운다.



Legion 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_Legion.exe

 

주의: 위와 유사한 ".centurion_legion@aol.com.xtbl"이라는 확장자를 붙여 파일 이름을 변경시키는 랜섬웨어는 Legion 랜섬웨어와는 전혀 다른 종으로 위 복호화툴로는 복구가 불가능하다.


 

SZFLocker


SZFLocker는 암호화시킨 파일에 e.g. example.docx.szf와 같이 확장자를 붙인다. SZFLocker는 원래 파일을 다시 작성하면서 다음과 같이 폴란드어로 된 메시지를 띄운다.



SZFLocker 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_SzfLocker.exe


 

TeslaCrypt


AVG 제공 Teslacrypt 복호화툴은 TeslaCrypt v3 v4 버전으로 암호화된 파일에 대한 복호화를 제공한다암호화된 파일은 .vvv, .micro, .mp3 또는 별도의 고유명칭 등 다양한 확장자를 가지게 된다. 또한 아래와 같은 메시지가 E뜬다.



TeslaCrypt 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_TeslaCrypt3.exe

 



Jakub Kroustek, Don’t pay the Ransom! AVG releases six free decryption tools to retrieve your files, 6. 24. 2016.

http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.07 15:25

 

짐작할 수 있듯 랜섬웨어에 대해 가장 많은 질문은 바로 "이제 어쩌지?". 무엇을 할 수 있었는지 그리고 했어야 하는지에 대한 온갖 지식은 랜섬웨어에 감염되고 나서야 밀려온다. "매크로 설정"을 사용하라는 설명을 무시했을 수도 있고 문제의 이메일을 애초에 그냥 지워 버렸을 수도 있으며 최근에 할인행사를 하던 USB 백업드라이브를 구매했어야 한다는 식이다.

 

그러나 모든 파일이 암호화되고 공격자 측에서 이 소중한 파일을 복호화하는 키를 제공하는 대가로 비트코인 300달러어치를 요구하고 있는 최악의 상황이 닥치면 어떻게 해야 할까. 이 때 오프라인 백업도 없고 보존하려는 파일은 죄다 사용 불가능한 상태로 하드디스크에 갇혀 있는 상황이라고 가정한다. 이 경우 돈을 내지 않고도 파일을 복구할 수 있는가. IT 문제가 다 그렇듯 이에 대한 대답은 "경우에 따라 다르다"가 된다.

 

피해복구방법: 지름길

 

랜섬웨어 공격자는 프로그래밍 과정에서 종종 실수를 하게 되는데 이 경우 무료복구가 가능한 지름길이 생기게 된다. 예를 들어 최초의 랜섬웨어 공격이 발생했던 1989/1990년 사례를 보면 공격자가 파나마의 정해진 주소로 378달러의 은행수표를 보내도록 요구한 적이 있다. 그런데 이 공격자는 모든 컴퓨터에 적용되는 암호화키를 사용하는 간편한 방법을 택했으며 그 결과 AIDS Information Trojan이라는 이름의 해당 맬웨어를 해제할 수 있는 무료툴이 금방 등장하게 됐다. 최근 리눅스기반 랜섬웨어의 사례도 이와 유사한데 이 사례에서는 프로그래머가 공격대상이 되는 여러 서버에 대해 모두 다른 암호화키를 사용했으며 이는 동일한 파일 사본도 다르게 암호화되는 결과로 이어졌다. 하지만 이들은 유사난수생성(pseudo-random number generator, PRNG)이라고 알려진 알고리즘을 통해 암호화키를 생성했는데 이 알고리즘은 최초 암호화대상의 타임스탬프(시점기록, timestamp)를 통해 작동하는 방식을 취했다. 이렇게 보면 복호화키 또한 공격대상 측에서 만들어내는 게 가능했다.

 

일반적인 오프라인 백업 없이도 분리 디스크나 클라우드를 통해 암호화된 데이터의 전부 또는 일부를 복구할 수 있는 길도 있다. 예를 들어 윈도의 경우 파일의 숨은 사본을 만들 수 있는데 이는 일종의 온라인 백업으로 파일의 과거 버전을 간편하게 관리할 수 있는 수단이기도 하다. 숨은 사본은 이름이 지정된 볼륨스냅샷서비스(Volume Snapshot Service, VSS) 파일로 저장된다. VSS 파일은 일부 랜섬웨어에 대해 빠른 복구대책이 될 수 있으나 요즘은 대부분의 랜섬웨어가 데이터 암호화를 실행하기 전에 시스템명령 조작을 통해 VSS 파일을 삭제하기 때문에 이렇게 복구가 가능해지는 경우는 거의 없다.

 

결국 랜섬웨어 공격이 발생했을 경우 해당 맬웨어를 식별할 수 있다면 일단 돈을 지불하지 않고도 복구를 할 수 있는 지름길이 있을지에 대해 알아볼 필요는 있다. 하지만 솔직히 말하자면 "요즘은 그런 간편한 해결은 거의 불가능하기 때문에 최악의 상황을 예상해야 할 것이다."

 

피해복구방법: 돌아가는 길

 

정상적인 프로그램이 기존 파일을 수정할 경우 우선은 해당 파일의 사본을 생성한 다음에 그 사본을 수정하고 나서 원래 파일을 삭제하는 과정을 거친다. 이 원리를 활용한다면 프로그램이 파일을 처리하는 중에 작동 중단될 경우 해당 파일을 복구하는 데 도움을 받을 수 있다.

 

만약 공격자가 이러한 과정을 거쳐 파일을 암호화한다면 공격대상 운영체제의 일반적인 파일삭제 기능을 사용한다는 가정 하에 기존 파일 중 일부를 삭제하지 않는 경우가 있을 수도 있다. 이는 대부분의 운영체제가 삭제된 파일에 곧바로 덮어쓰지 않기 때문이다. 운영체제 대부분은 덮어쓰기에 소요되는 시간을 줄이기 위해 삭제된 기존 파일이 차지하던 디스크공간을 "재사용 가능"으로 표시하며 따라서 일정기간 동안은 삭제된 기존 파일의 복구가 가능한 경우가 많다.

 

하지만 파일삭제 누락은 복불복의 성격이 강하다. 이 방법을 제대로 거치려면 데이터포렌식 전문가를 동원하여 돈과 시간을 들여야 하며 이 경우에도 실망스러운 결과만 남을 수도 있다. 사실 포렌식 전문가의 고용은 살인사건 수사와 같이 아주 중요한 경우에나 있을 법한 일이다. 그리고 랜섬웨어 공격이 발생하고 나면 공격자가 요구하는 금액보다 데이터복구비용이 더욱 많이 나올 수도 있음을 염두에 둬야 한다.

 

물론 랜섬웨어 공격자 역시 피해자가 돈을 안 내고 파일을 복구하는 결과를 원치 않으며 따라서 코딩에 그렇게 심혈을 기울이지는 않는다. 랜섬웨어는 대체로 기존 파일에 그대로 덮어쓰며 이를 통해 기존 데이터가 남아 있을 여지를 최대한 없앤다. 그러나 이론적으로 생각한다면 기존 파일에 덮어쓴다고 해도 실제로는 기존 데이터가 있던 디스크 영역에 덮어쓰지 않는 경우일 수도 있다. 몇몇 운영체제와 일부 디스크의 경우 이른바 wear levelling이라고 하여 디스크 작성영역을 임의로 변경한다. 플래시메모리를 사용하는 고체(solid state) 디스크는 전자 수준에서서의 마모로 인해 성능이 저하될 수 있으며 따라서 동일한 메모리 셀에만 계속 작성할 경우 기기 수명이 줄어들 수 있다. 이를 완화하는 대책이 바로 wear levelling이다. 따라서 디스크영역 수준이나 심지어 디스크 펌웨어 수준으로 파고들어가서 논리적으로는 덮어씌워졌으나 물리적으로는 보존된 상태의 데이터를 찾아내는 방법은 기술적으로 분명 가능한 일이다.

 

그러나 다시 말하지만 이 방법은 자존심을 죽이고 공격자에게 돈을 지불하는 방법보다 훨씬 불확실하고 아주 많은 비용을 지출할 수도 있음을 상기해야 한다.

 

암호화 해제

 

랜섬웨어 공격을 무력화시킬 마지막 방법으로 공격자가 사용한 암호화 자체를 해제하는 방법이 있다. 앞서 언급했듯 랜섬웨어 공격자는 프로그래밍 과정에서 종종 실수를 저지르거나 약한 암호화를 사용하거나 혹은 강한 암호화라도 잘못 사용함에 따라 암호분석학적인 틈(backdoor)을 남겨놓는 경우가 있다. 물론 이들이 정상적으로 암호화를 적용했다면 이를 해제하는 건 사실상 불가능하며 그 이유는 다음과 같다.

 

CryptoWall이나 Locky와 같은 대부분의 랜섬웨어는 다음과 같은 수법으로 작동한다.

공격자가 운영하는 서버에 접속하여 공격대상 컴퓨터에 고유한 RSA 공개키를 다운로드

각 파일에 대한 임의의 AES 키를 생성하고 해당 파일을 암호화

해당 AES 키를 RSA 공개키로 암호화하고 공격대상 파일과 암호화된 복호화키를 함께 저장

 

위 내용이 단번에 이해가 안 된다고 염려할 필요는 없다. 이 수법은 RSA 암호화 알고리즘이 두 개의 키를 가지고 작동한다는 데 착안하고 있다. 공개키로 데이터를 암호화하기 때문에 오로지 개인키만이 해당 데이터를 복호화할 수 있다. 바꿔 말하자면 만약 공격자가 클라우드에서 RSA 공개-개인키 쌍을 각 컴퓨터별로 생성하고 공개키만 배포하게 된다면 피해자 파일을 암호화한 AES 키를 복호화하기 위해 필요한 고유의 개인키는 오로지 공격자만이 보유하게 된다.

 

그렇다면 RSA 공개키로 곧바로 암호화를 하지 않고 어째서 굳이 AES 키를 다시 사용하는가. 이는 RSA 키의 작동속도가 느리기 때문에 AES처럼 훨씬 빠른 알고리즘을 사용하는 임의의 키와 같은 소량의 데이터를 암호화할 경우에 적합하기 때문이다. 한편 파일마다 다른 키를 사용하는 이유는 무엇인가. 이는 모든 파일의 암호화가 다를 경우 컨텐츠가 동일하다 해도 하나의 파일에 사용된 복호화 단서를 다른 파일에 적용할 수 없기 때문이다.

 

이 말인즉 돈을 내지 않고 피해파일을 모두 복구하는 일은 다음과 같다.

RSA 공개-개인키 알고리즘을 해체하여 각 파일에 대한 AES 키 복구

각 파일에 대한 AES 암호화 알고리즘을 일일이 해체

 

이렇게 어렵고 불확실한 과정을 거치기보다는 차라리 그냥 돈을 지불하는 방법이 속이 편할 수도 있다.

 

최종 선택지

 

여기까지의 내용만을 본다면 그냥 돈을 지불하는 게 낫다는 식으로 보일 수도 있다. 하지만 돈을 지불할 경우 이는 범죄자를 먹여살리는 셈이 되기 때문에 돈을 지불하지 않는 길을 권고한다. 사실 랜섬웨어 공격을 당하고 나서 모든 파일을 없애고 처음부터 다시 시작한다는 결정을 내린다면 이는 "힘내라"는 말과 함께 격려를 받을 만한 결단이다. 이 글의 요지는 암호화된 파일이 정말로 필요하고 백업과 같은 예비대책을 전혀 세우지 않은 상태라면 돈을 지불하는 외에 달리 선택지는 없다는 데 있다.. 물론 이 글에서는 여전히 돈을 지불하지 않는 길이 낫다는 논지를 유지하나 각자의 결정을 존중할 수밖에 없는 일이다(데이터의 존폐가 경각에 걸린 상황에서 자존심을 세우기란 어렵다). 그런 상황이 오지 않는 게 가장 바람직하지만 비교적 타협의 여지가 없다는 식으로 설명한다면 경각심 측면에서 도움이 될 수 있다는 판단에 따라 글의 흐름이 위와 같이 전개됐다. 결국 "예방이 치료보다 낫다"는 말이다.

 

랜섬웨어 예방요령

 

주기적으로 백업하고 최신 백업사본을 격리하여 보관. 파일이 갑자기 사라질 수 있는 원인으로는 랜섬웨어 외에도 화재, 홍수, 절도, 기기고장, 실수에 의한 삭제 등 수많은 요인이 있을 수 있기 때문이다. 백업사본을 암호화한다면 백업기기가 탈취되는 경우에도 염려할 필요가 없다.

이메일로 수신된 문서 첨부물에 대한 매크로 적용 해제. 수많은 맬웨어는 문서첨부물을 통해 침입하며 사용자로 하여금 매크로(내장된 문서스크립트)를 설정하도록 유도한다. 그냥 안 하면 된다. 마이크로소프트의 경우 이미 수년 전 보안조치로 매크로 자동실행 해제를 기본설정으로 적용했다.

마이크로소프트 오피스 뷰어 설치. 뷰어 어플리케이션을 사용하면 워드나 엑셀을 직접 사용하지 않고도 문서파일을 살펴볼 수 있다. 특히 뷰어는 매크로를 전혀 지원하지 않기 때문에 실수로 매크로를 작동시킬 염려도 없다.

요청하지 않은 첨부물 주의. 문서파일을 통해 맬웨어를 보내는 공격자는 사용자가 확신할 수 있기 전에는 파일을 열어서는 안 되는 동시에 확신을 하려면 그 파일을 열 수밖에 없다는 딜레마를 악용한다. 의심의 여지가 있다면 그 파일은 그냥 버려야 한다.

필요 이상의 로그인 권한을 부여하지 말 것. 가장 중요한 부분은 바로 관리자권한 로그인상태를 필요 이상으로 방치하지 말아야 한다는 점이며 관리자권한을 보유한 상태에서는 브라우징, 문서 열기를 비롯한 "통상적 작업" 활동을 피해야 한다.

신속히 그리고 자주 패치 확인. 문서 매크로를 통해 침투하지 않는 맬웨어는 대체로 오피스, 웹브라우저, 플래시 등 인기 어플리케이션의 보안허점을 악용한다. 패치가 빠르게 이루어질수록 공격자가 악용할 수 있는 허점도 줄어들게 된다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Paul Ducklin, Got Ransomware? What Are Your Options?, 3. 3. 2016.

https://nakedsecurity.sophos.com/2016/03/03/got-ransomware-what-are-your-options/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.04.26 14:46


 

최근 캘리포니아의 대형병원 Hollywood Presbyterian Medical Center가 랜섬웨어에 감염되어 며칠 동안 모든 데이터가 잠긴 일이 있다. 병원 측은 결국 복호화키를 얻어 데이터를 복구하기 위해 17천 달러에 달하는 합의금을 지불했다. 가래로 막기 전에 호미로 막을 수 있는 일이 있듯 랜섬웨어와 같은 맬웨어의 피해자가 되지 않거나 적어도 돈을 들이지 않고도 피해를 복구할 수 있기 위해 실천할 수 있는 일들이 적지 않다.

 

이러한 대책을 기업 단위로 적용할 경우 비용이 만만치 않으나 데이터 상실에 따른 업무중단, 평판저하, 피해수습에 대한 비용 등을 고려한다면 이러한 사고의 복구는 방지에 비해 훨씬 많은 비용이 소모된다. 다음과 같은 대책을 통해 위에 소개한 사고를 막을 수 있다.

 

방지대책

 

이하의 대책은 완벽히 그리고 예외 없이 적용된다면 랜섬웨어를 비롯한 온갖 종류의 맬웨어를 막을 수 있다.

모든 시스템에서 안티맬웨어 소프트웨어 구동

이메일첨부물 전량검사

외부미디어 전량검사

웹필터링 소프트웨어로 인터넷 다운로드 전량검사

업무용 컴퓨터 사용자의 관리자권한 사용금지

모든 시스템의 패치 최신상태 상시유지

 

<참고: 랜섬웨어 차단 유료안티바이러스 >


복구대책

 

랜섬웨어 방지 노력에도 불구하고 랜섬웨어 피해자가 되는 사태가 발생할 경우 합의금을 지불하지 않고 피해를 복구할 수 있는 방법은 다음과 같다.

모든 중요데이터를 주기적으로 백업

백업을 오프라인으로 유지하고 주요시스템과 격리

 

만약 위와 같이 백업을 유지할 경우 해당 백업에 대해서는 어떤 맬웨어도 접근할 수 없다. 시스템 포맷을 통해 모든 위협을 제거하고 시스템 재설치와 패치를 진행한 다음 백업으로부터 데이터를 복구하여 업무를 재가동할 수 있으며 이 과정은 조용하면서도 신속히 이루어질 수 있다.

 

랜섬웨어 피해자가 될 경우 돈을 지불해야만 하는가. 사실 이는 애초에 고민할 필요가 없어야 될 문제다. 사용자 자신과 시스템에 대한 맬웨어위협 차단 그리고 외부 및 오프라인 백업 등 적절한 복구/업무계속성유지 계획의 보유는 Hollywood Prebysterian Medical Center의 사례처럼 돈을 날릴 수밖에 없는 상황이 생길 위험을 최소화할 수 있는 기술적 보험이라고 할 수 있다.

 

 

 

Melanie Hart, Ransomware reloaded: How to keep your company safe, 3. 15. 2016.

http://www.gfi.com/blog/ransomware-reloaded-how-to-keep-your-company-safe/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

'IT, 보안 소식&팁' 카테고리의 다른 글

랜섬웨어 감염시 선택지는?  (0) 2016.04.26
랜섬웨어 방지요령  (0) 2016.04.26
랜섬웨어 재조명: 방지대책은?  (0) 2016.04.05
간편한 랜섬웨어 방지대책  (0) 2016.04.05
미국정부 vs 애플  (0) 2016.03.16
사물인터넷의 보안문제  (0) 2016.01.07

COMMENT : 0 TRACKBACK : 0

날짜

2016.04.05 17:18


 

2세대 혹은 2차 랜섬웨어가 등장한 가운데 연구자들은 이 랜섬웨어가 예전보다 더욱 위험해졌다고 평가한다. 최근 Synology는 표적특화공격에 노출되어 고객데이터를 침탈당했으며 보안업체 트렌드마이크로는 CryptoLocker의 뒤를 잇는 CryptoBlocker라는 랜섬웨어 사례를 보고했다. 랜섬웨어 자체는 본디 새로운 수법이 아니지만 최근 18개월에 걸쳐 데이터가 아예 상실되는 수준의 위험을 야기하기 때문에 엄청난 위협으로 부상하고 있다.

 

랜섬웨어란 주로 데이터 암호화를 통해 사용자의 기기 또는 데이터 접근을 막는 방식으로 컴퓨터, 노트북, 모바일기기를 작동 불능으로 만드는 맬웨어다. 랜섬웨어는 금전요구 알림창을 통해 피해자에게 문제해결방법을 알려준다. 랜섬웨어의 주목적은 사이버범죄자들이 금전을 갈취하는 데 있다. 랜섬웨어 감염 기기의 데이터가 암호화되고 나면 피해자는 정해진 금액을 지불하지 않는 이상 데이터를 복구할 수 없다는 통보를 받게 된다.

 

이러한 종류의 맬웨어는 지속적으로 개발되고 있으며 온갖 최신기술을 아우르고 있다. 랜섬웨어의 최초사례는 1989AIDS 트로이목마로 거슬로 올라간다. AIDS 트로이목마는 사용자에게 소프트웨어 사용권이 만료됐다는 착각을 일으키고 하드디스크의 파일이름을 암호화한 다음 정해진 은행계좌로 돈을 보내도록 요구했다. 2010년의 비슷한 사례인 WinLock의 경우 피해자의 운영체제 인터페이스 접근을 막고 문자메시지를 통해 해제를 위해서는 돈을 내라고 요구했다.


2013CryptoLocker라는 이름으로 돌아온 랜섬웨어는 익명네트워크(TOR)를 통해 전파된 다음 실제통화 대신 비트코인을 요구했다. 이러한 방식은 당국의 사이버범죄자 식별을 더욱 어렵게 한다. 한편 최신 랜섬웨어 Critroni는 군사기술 수준의 암호화를 통해 사용자파일을 더욱 완벽히 묶어버린다. Critroni는 클라이드인프라 지원을 통해 피해자들이 돈을 지불하는 과정을 보다 용이하게 했다. Critroni는 또한 대부분의 안티바이러스 탐지를 회피한다는 면에서 스텔스라는 중대한 신기능을 선보이기도 했다. 이는 추가적인 보안대책과 위험완화를 위한 대안의 중요성 및 필요성을 일깨우는 사례였다.

 

랜섬웨어의 작동방식은 다음과 같다.

a) 최초 랜섬웨어 감염: 주로 이메일 첨부물, 악성 다운로드링크, 다른 맬웨어를 통해 전파된다.

b) 대상 내 매복: 랜섬웨어는 레지스트리키와 파일 변경을 통해 컴퓨터 구동 중 자체 코드가 작동하도록 설정한다.

c) 대상 점령: 맬웨어는 공격자 서버와 통신하여 암호화키를 확보하고 공격실행을 서버에 알린다.

d) 파일 암호화: 맬웨어는 공격자 서버로부터 받은 암호화키를 가지고 사용자 파일 암호화를 개시한다.

e) 노이즈 유발: 랜섬웨어가 피해자에게 금전요구 알림을 띄우고 비트코인 결제 웹사이트에 접근하는 링크를 제공한다.

 

비록 랜섬웨어가 나날이 정교해지고 있긴 하지만 사용자들이 랜섬웨어 감염을 막을 방법이 없진 않다. 다음의 간단한 대책 3가지를 통해 랜섬웨어 감염을 방지할 수 있다.

 

1. 2종 이상의 안티바이러스 엔진으로 모든 이메일과 웹다운로드 검사

이를 통해 랜섬웨어 최초감염이 회사네트워크 전체에 전파될 위험을 줄일 수 있다. 여러 안티바이러스엔진을 동시에 사용한다면 제로데이공격 위협을 최소화할 수 있으며 맬웨어를 네트워크 침입 전에 식별하고 차단할 수 있는 가능성을 높일 수 있다.

 

2. 악성/취약 웹사이트에 대한 사용자접근 차단

랜섬웨어는 이메일 외에 악성이거나 취약한 웹사이트를 통해서도 전파될 수 있다. 특히 사용자들이 신뢰하고 자주 사용하는 공식 웹사이트가 취약 웹사이트로 전락할 수 있다는 점이 큰 문제가 된다. 이들 사이트는 공격자가 XSS와 같은 취약점을 악용함으로써 랜섬웨어 전파지점으로 활용될 수 있으며 사용자 기기에 악성코드를 실행시킨 다음 브라우저가 맬웨어를 다운로드하도록 한다. 신뢰되지만 취약한 웹사이트 그리고 위험하고 악성인 웹사이트에 대한 사용자 접근을 방지할 수 있다면 랜섬웨어 감염 위험을 대폭 줄일 수 있다.

 

3. TOR 등 익명네트워크 접속 모니터링 및 차단

만약 강력한 안티바이러스 대책에도 불구하고 랜섬웨어 감염이 발생할 경우 웹트래픽 모니터링 기술을 통해 감염과 그 근원지를 식별할 수 있다. 아울러 랜섬웨어가 암호화키를 확보하기 위해 사용하는 익명네트워크에 대한 트래픽을 자동으로 차단할 수 있다면 랜섬웨어의 강력한 파일암호화를 막을 수 있다. 랜섬웨어는는 암호화키 없이는 작동하지 않고 감염을 알릴 수도 없으며 이 경우 공격자는 맬웨어가 회사네트워크에 침투했는지(따라서 다음 공격을 실행할 수 있는지) 알 수 없게 된다.

 

한편 위에 소개한 대책이 중요함은 사실이나 모든 트래픽을 직접 24시간 감시할 수는 없는 일이다. 이 경우 자동화라는 매력적인 방법이 있다. GFI Software는 이상에 소개한 최신사례를 계속 추적해 왔으며 GFI 웹모니터 솔루션을 사용한다면 랜섬웨어 위협을 방지할 수 있다. GFI 웹모니터가 랜섬웨어를 방지하는 시나리오는 다음과 같다.

1. 최대 3개 엔진을 구동하는 안티바이러스 스캔으로 인터넷을 통한 랜섬웨어나 제로데이위협의 다운로드를 막는다.

2. 강력한 보안기능으로 사용자가 악성이거나 취약한 웹사이트에 접근할 때 다층보호대책을 제공하여 감염위험을 더욱 줄일 수 있다.

3. 만약 안티바이러스 및 웹보안기능이 실패할 경우 지능형 웹필터링기술이 랜섬웨어와 익명네트워크상 공격자서버 사이의 통신을 차단하며 이 경우 데이터 암호화가 차단되기 때문에 때문에 랜섬웨어는 무용지물이 된다.

 

GFI 웹모니터와 같은 웹모니터링솔루션이 제공하는 이점에 관심이 있거나 무료체험을 시작할 의향이 있다면 아래로 연락주시기 바랍니다.


02-866-5709

sales@softmate.kr

 

 

 

Calin Ghibu, How to protect against ransomware in three easy steps, 8. 6. 2014.

http://www.gfi.com/blog/how-to-protect-against-ransomware-in-three-easy-steps/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2016.04.05 17:16

위로가기