본문 바로가기
카테고리 없음

랜섬웨어에 대해 가리키는 모든 부분들 (감염,확인법,차단,알림)

by 채은아빠 2022. 8. 30.
반응형

1. 프로필

한국어 : 랜섬웨어
영어 : Ransomware
중국어 : 勒索软件(중국, 싱가포르)勒索軟件(홍콩, 마카오)勒索軟體(대만)
일본어 : ランサムウェア

2. 개요

몸값을 뜻하는 Ransom과 악성 코드를 뜻하는 Malware의 합성어이며, 사용자의 동의 없이 시스템에 설치되어서 무단으로 사용자의 파일을 모두 암호화하여 인질로 잡고 금전을 요구하는 악성 프로그램을 말한다.
일반적인 PC는 물론 서버, 모바일, DSLR에서까지 현존하는 거의 모든 운영체제에서 활동한다.
랜섬웨어 종류에 따라 백신 프로그램이 사전에 랜섬웨어의 암호화를 차단하기도 한다.
2017년 5월에 갑자기 등장한, 매우 강력한 전염력을 보여주는 워너크라이가 전 세계를 강타하면서 랜섬웨어가 화제가 되었다.
모든 랜섬웨어가 인터넷에 접속만 해도 감염되는 건 아니나, 워너크라이는 웜의 특성을 이용하여 전파력이 높았던 경우다.
이를 통해 랜섬웨어가 크게 알려지면서 랜섬웨어를 잘 모르던 일반인들 중에선 '랜섬웨어 = 인터넷 연결 시 감염'인 걸로 생각하는 사람들이 있으나, 이는 워너크라이가 특수한 것이고 보통은 사회공학으로 사용자를 속여서 감염시킨다.
안랩이 2017년 대처해야 할 바이러스로 랜섬웨어를 꼽았을 정도로 랜섬웨어 바이러스는 오래전부터 존재했던 위협이다.
다른 악성코드가 컴퓨터의 소프트웨어/하드웨어를 망가뜨리고 내부 데이터를 유출하거나 파손하는 수준인데 반해 이 쪽은 아예 협박을 하고 있다.
알기 쉽게 사람에 대한 범죄에 비유할 경우, 기존의 악성코드가 '절도'나 '손괴', 폭행 등이라면 랜섬웨어는 강도, 특히 인질 강도에 가깝다.
한편, 복호화 후에도 파일이 깨져있거나 시스템 파일을 건드리는 경우도 있기 때문에 랜섬웨어에서 복구를 진행했다 하더라도 컴퓨터가 이상작동하는 경우가 종종 보고된다.
따라서 랜섬웨어를 한번 겪은 이후에 블루스크린 등의 문제가 발생한다면 운영체제를 재설치 해줄 필요가 있다.

3. 상세

감염되면 CPU, 하드디스크, 메모리 사용량이 급증하고 쿨러가 미친 듯이 회전하며 파일을 암호화하기 시작한다.
종류에 따라서는 일정한 간격을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다.
더 자세히 설명하자면 파일 목록과 RSA 공개 키를 확보하고 각 파일에 AES 키를 생성하여 암호화한다.
다만 모든 랜섬웨어가 그런 것은 아니다.
TLS에서 볼 수 있듯이 가장 흔한 방식이다.
암호화가 모두 완료되기 전에 재부팅하면 네 컴퓨터는 랜섬웨어에 감염되었다라는 식의 협박 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업된다.
그리고 대부분의 작업을 할 수 없다.
대표적인 증상은 다음과 같다.

  • 중요 시스템 프로그램이 열리지 않는다.
    명령 프롬프트, 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능, 워드패드(WordPad), 알림 목록 등의 작업이 불가능하다.
  • 명령 프롬프트, 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능, 워드패드(WordPad), 알림 목록 등의 작업이 불가능하다.
  • 윈도우 복원 시점이 제거되거나 업데이트를 막아 버린다.
  • 별도의 다른 악성코드를 심기도 한다.
  • CPU와 RAM, 디스크 사용량이 급격하게 증가한다.
    쿨러가 고속으로 회전하며 컴퓨터에서 소음이 나기 시작한다.
    암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt 파일을 생성한다.
    이것은 하위 폴더, 상위 폴더 구분 없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것. 즉, 디렉토리 암호화가 완료되기 전까지는 생성하지 않는다는 것이다.
    어디까지 랜섬웨어 피해를 받았는지 확인할 수 있는 부분이다.
  • 쿨러가 고속으로 회전하며 컴퓨터에서 소음이 나기 시작한다.
  • 암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt 파일을 생성한다.
    이것은 하위 폴더, 상위 폴더 구분 없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것. 즉, 디렉토리 암호화가 완료되기 전까지는 생성하지 않는다는 것이다.
    어디까지 랜섬웨어 피해를 받았는지 확인할 수 있는 부분이다.
  • 안티 바이러스가 오작동한다.
    혹은 강제로 꺼지거나 삭제된다.
  • 안전 모드로 진입할 수 없다.
  • 파일이 암호화되고 확장자가 변경되어 열 수 없다.
    변경된 확장자를 제거해도 파일 내용은 암호화되어 있기 때문에 역시 열 수 없다.
    만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화된다.
  • 만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화된다.
  • 강제로 이동식 저장 장치의 연결을 해제시킨다.
    외장 하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장 HDD가 손상되는 경우가 있다.
    연결을 해제하고 다시 연결하고 해제하는 것이 계속 반복되기 때문에 배드 섹터가 발생할 수 있기 때문이다.
  • 외장 하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장 HDD가 손상되는 경우가 있다.
    연결을 해제하고 다시 연결하고 해제하는 것이 계속 반복되기 때문에 배드 섹터가 발생할 수 있기 때문이다.
  • 재부팅을 할 때마다 랜섬웨어 안내문이 들어있는 txt 파일, html 파일이 시작 프로그램 목록에 추가된다.
  • 악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다.
    대표적인 경로는 아래와 같다.
    물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다.

- C:\Program Files\ - C:\Users\(사용자 이름)\Appdata\Roaming\

  • 실행되면 숙주 파일이 사라지는 경향이 있다.
    따라서 한번 암호화가 끝나면 다시 암호화가 되지 않는다.
  • 몇몇 랜섬웨어는 외장 하드, USB 메모리, SD 카드 등의 연결된 이동식 저장 매체까지 감염시키는 경우가 있다.
    심지어 플로피 디스크도 감염된다.
    이를 감염되지 않은 컴퓨터에 연결하면 즉시 그 컴퓨터에도 전염되는 경우도 있다.

이쯤 되면 심각하게 난감해진다.
모든 시스템 접근 권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷에서 대응 방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도이다.
그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참고해야 한다.
간혹 바이러스로 인지하지 않는 경우조차 발생한다.
대부분의 랜섬웨어는 실행된 후 어느 정도는 손해를 끼치고 나서야 탐지, 제거되는데 특성상 이미 늦은 상태인 경우가 많다.
랜섬웨어 특화 백신이 아닌 이상은 어쩔 수 없다.
다만 대부분 최상위 폴더부터 알파벳 순으로 암호화하므로 이를 이용해 감지하는 백신이 있다.
위에 서술된 것은 어디까지나 일부분을 설명한 것이며, 항상 저런 현상인 것은 절대로 아니다.
또한 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물이다.
하지만 파일의 확장자를 바꾸거나 암호화하는 것은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것이다.
가끔 랜섬웨어를 가상머신의 운영체제에 일부러 풀어놓아 감상하려는 사람이 여럿 보이는데, 이렇게 가상머신의 운영체제를 랜섬웨어로 감염 시켰다가 결국 가상머신을 빠져나와 호스트 컴퓨터인 실제 사용자 컴퓨터까지 감염되었다는 사례가 매우 많으니 호기심으로라도 가상머신에서도 돌리지 말자. 대표적인 사례로는 Windows XP SP1을 설치하고 부팅한 즉시 감염이 되어 버린데다 결국 이를 방관하다가 사용자의 컴퓨터까지 감염되어 모든 파일을 날려먹은 사례가 있다.
아래에서 후술하겠지만 심지어 OS간 호환도 되어서 macOS에서 Parallels Desktop를 통해 Windows를 사용하다가 감염되어 호스트인 macOS까지 감염되는 사례도 많다.
다만, 대부분의 가상머신 탈출 사례가 네트워크 취약점을 활용한 전염이다.
위의 사례도 버추얼박스 실행 상태 바를 보면 가상화 네트워크를 끄지 않았음을 확인할 수 있다.
그러나 게스트(가상화)와 호스트(물리적) 간의 자원이나 정보를 전달, 공유하는 과정에서 일어난 소프트웨어 버그나 취약점을 이용하여 가상머신을 탈출하는 사례가 PWN2OWN 같은 데서 보고되고 있다.
때문에 가상머신 안에서 가동되는 컴퓨터 자체는 논리적으로 독립된 곳이지만 마냥 안전한 건 아니니 자신이 없으면 하지를 말자.또한 암호화되지 않은 똑같은 네트워크를 사용하는 컴퓨터끼리도 감염이 되어버리는 사례도 있다.
국내의 비 프렌차이즈카페에서 암호화되지 않은 무선 네트워크를 사용해 의도적으로 랜섬웨어에 감염된 다음 오랜시간 방치하여 같은 와이파이를 잡고 있었던 여러 노트북이 감염된 사례는 이미 유명하다.
한국인터넷진흥원이 운영하는 암호이용활성화 홈페이지에서 랜섬웨어 동향 및 분석 보고서를 배포하고 있다.

4. 치료

  • 안티 바이러스(백신 소프트웨어)에서 랜섬웨어가 탐지되어 차단되었다는 메시지를 보인다면 더 이상의 문제는 없으니 안티 바이러스를 통해 시스템 정밀 검사를 실행하고 추후 재발 방지 대책을 세우면 된다.
  • crypt, vvv, zepto, fun 등이나 알 수 없는 명칭들로 확장자가 변환되고, 랜섬웨어 협박문과 함께 타이머가 보이기 시작한다면 바로 아래 대처법을 시행해야 한다.
    최근에는 파일 확장자나 이름을 바꾸지 않으면서 암호화하는 경우가 발생된다.
  • 하드디스크/SSD의 MBR/GPT가 변조(암호화)되는 랜섬웨어(페트야/미샤, 골든아이, 사타나 등)에 감염되었을 경우 해당 디스크에 설치된 운영 체제로 부팅이 되지 않으므로 별도의 복구 방법을 사용해야 한다.

다음 방법들은 안전 모드가 작동이 가능한 경우에만 해당되며, 안전 모드를 복구할 수 없다면 랜섬웨어에 의해 암호화된 파일을 별도의 저장소에 백업하고 감염된 PC에 Windows를 재설치한 후 아래 4번 항목부터 진행해야 한다.

  • 우선 데스크톱의 경우 전원 플러그를 뽑는 등 컴퓨터를 물리적으로 완전히 종료해야 한다(이미 감염되어 화면에 문구가 떠있다면 강제종료시 운영체제가 증발할 수 있으니 주의하자.)). 노트북이라면 배터리 일체형 제품의 경우 전원 버튼을 꾹 누르거나 배터리 분리형 노트북인 경우 배터리를 분리해 완전히 종료시킨다.
  • 컴퓨터의 전원 버튼을 누른 후 안전 모드로 진입한다.
    (Windows 7까지) 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 키로 '안전 모드(네트워킹 사용)'를 선택한 후, 'Enter' 키를 눌러 진입한다.
    (Windows 8부터) 우선 이 사이트를 참고하여 안전모드(네트워킹 사용)로 부팅한다.
  • (Windows 7까지) 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 키로 '안전 모드(네트워킹 사용)'를 선택한 후, 'Enter' 키를 눌러 진입한다.
  • (Windows 8부터) 우선 이 사이트를 참고하여 안전모드(네트워킹 사용)로 부팅한다.
  • 안전 모드로 진입이 완료되었을 경우, 적절한 안티 바이러스 제품으로 검사하여 랜섬웨어를 제거한다.
    결제 협박문이 남아 있을 경우, Malware Zero를 이용하여 제거한 후 시스템을 다시 시작한다.
  • 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아 있을 것이다.
    따라서 암호화된 파일이 복호화가 가능하다면 복호화 툴을 이용한다.
    이는 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 공개하거나, 사법 당국이나 안티 바이러스 업체가 복호화 키를 찾아낸 경우에만 해당된다.
  • 그러나, 4번의 경우도 완벽한 건 아니라서 특정 파일이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할 수도 있다.

2016년부터 한국의 각종 안티 바이러스(백신 소프트웨어)들도 랜섬웨어에 대응 할 수 있도록 계속해서 업데이트되고 있으며 대표적인 랜섬웨어들의 암호화 행위를 사전에 차단할 수 있게 되었다.
바탕화면이 바뀌였거나 이상한 압축 파일이 생겼는데도 변조, 암호화 된 파일이 없다면 백신에서 사전에 차단한 것이므로 3번 항목의 RIFR 또는 Malware Zero를 이용하거나 수동으로 협박문을 삭제하고, 랜섬웨어 감염 과정에서 다른 악성코드에도 감염되었는지 안티 바이러스나 Malware Zero를 이용하여 확인하고, 악성코드가 발견되면 제거한 후 사용하면 된다.
이 대처법은 걸렸다고 해도 암호화가 다 진행되지 않은 경우에 해당하는 대처법이다.
랜섬웨어가 작동하는 동안 자리를 떴다거나 하는 등으로 랜섬웨어가 걸린 지도 모른 채 있다가 전부 암호화가 되면 그때는 더 이상 방법이 없다.
그저 남아있는 악성코드가 있는지 안티 바이러스나 Malware Zero 등을 활용하여 검사, 치료하고, 랜섬웨어가 남긴 협박문을 삭제하고, 필요에 따라 윈도우 재설치, 포맷을 하여 사용하거나, 또는 막 쓰는 컴퓨터라면 그대로 사용하면 된다.

5. 주의

최근 랜섬웨어는 고객 응대를 한다고 하여 채팅창(사실상 게시판)을 열어두는 경우가 있는데, 거기다가 대고 공격자를 조롱하는 메시지를 보내지 않는 것이 좋다.
또한, 충분한 대비책(가령, 접속 위치 숨기기, 방화벽 사용 등)이 없이 공격자를 기만하는 행위는 위험하다.
어설픈 참교육은 도리어 본인이 감시 대상이 될 수 있으며, 그로 인해 본인은 억울할지라도 조금의 혐의점이라도 있다면 꼭 해당 사건이 아닌 다른 사건을 이유로라도 경범죄 등의 수사를 받거나 처벌을 받을 가능성이 높다.
쉽게 말해, 본인이 랜섬웨어를 추적한다고 나서다가 어느날 경찰서에서 경범죄로 소환장이 날아온다면, 더 큰일이 벌어지기 전에 사전에 막았다는 의미이므로 불평하지 말고 오히려 감사해야 한다.
만약 그런 장소를 발견했다면 건들지말고 경찰에 신고해야 한다.

6. 비트코인 등장 이전

랜섬웨어 이전에도, 사용자의 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어 놓는 종류의 악성코드는 많이 있었다.
대표적인 예가 바로 위에 있는 DOS 시절의 카지노 바이러스다.
랜섬웨어와 비슷하게 하드 디스크의 FAT를 RAM에 백업해 놓고 간단한 슬롯머신 게임을 실행해 "5크레딧 이내에 잭팟 당첨"이라는 조건이 만족되지 않으면 파괴하는 형식을 취했다.
돈을 요구하지는 않고, 잭팟이 터져야 인질로 메모리에 붙잡아 뒀던 FAT를 다시 복구해 준다.
최초의 랜섬웨어로 알려진 악성 코드는 DOS 환경에서 작동하는 AIDS 트로이 목마이다.
1989년 세계보건기구 후천성 면역 결핍 증후군(AIDS) 회담에서 이 악성 코드가 담긴 20,000장의 플로피 디스크가 배포되었다.
파일을 복구하기 위해서는 파나마에 위치한 우편함에 189 달러(미국 달러)를 보내어 라이선스가 담긴 디스크를 별도로 받아야 했다.
링크비트코인 등장 이전의 초창기 랜섬웨어는 결제 수단으로 우편이나 대포통장, 또는 잘 알려지지 않은 듣보잡 간편 결제 서비스를 사용했기 때문에 우편 배송 내역이나 거래 내역 등의 뚜렷한 흔적이 남아서 어느 정도 범죄자의 추적이 가능했었다.
그리고 현재처럼 크게 확산되지 않아서, "랜섬웨어"라는 개념 자체가 거의 형성되지 않았다.
비트코인 등장 후 크립토락커가 등장하면서 랜섬웨어 = 컴퓨터 암호화라고 여겨지고 있다.
다만 이전에도 이런 형식의 컴퓨터를 암호화하지 않는 형식의 랜섬웨어들은 많이 존재했고, 종류가 다르긴 하지만 카지노 바이러스같은 경우도 있었다.
크립토락커가 등장한 이후 랜섬웨어의 대세는 컴퓨터 암호화 랜섬웨어인 것으로 보인다.
상기한 링크에서 말하는 형식의 랜섬웨어는 사용자 스스로 해제하는 것도 쉽기 때문이다.
이걸 보아도 악질적이지만 적어도 비트코인 등장 이후와 비교하면 그나마 신사적이라고 볼 수 있다.

7. 비트코인 등장 이후

대부분 Tor 기반의 결제 홈페이지를 이용하여 거래하고 비트코인으로 결제하기 때문에 범죄자 추적이 더욱 어려워졌고, 각종 랜섬웨어들이 우후죽순 생겨나 급격히 유행하기 시작했다.
이 때문에 암호 알고리즘과 비트코인(+ Tor)의 조합이라고 불리기도 한다.
여기서 쓰이는 암호화 방식도 대단한데 상당수의 랜섬웨어들이 RSA-1024와 AES-128 암호화 방식을 쓰는데 감이 안 온다면 요즘은 공개 키 암호화 방식은 기본으로 RSA-1024 이상을 쓰고 개인 키 암호화 방식도 3DES, AES-128이상을 보통으로 쓴다.
어쨌든 개인이 푸는 것은 불가능하다.
양자 컴퓨터를 이용하면 암호화 해제가 가능할 것이라고 하지만 아직까지는 현실적인 해법이 아니다.
2020년대 들어 가상화폐 종류가 많아짐에 따라 굳이 비트코인이 아니더라도 이더리움이나 심지어 도지코인을 요구하는 사례가 부쩍 늘었다.

  • 급격한 유행이전까지는 외국 사이트 등에서나 간간이 볼 수 있었지만, 2015년 들어 한국 웹에서 급격히 유행하기 시작했다.
    특히 보안이 취약한 사이트, 가짜 이메일, 구글 애드센스, 그 외 광고창 등에 심어져 들어와 사용자 몰래 랜섬웨어를 실행시키고 감염되는 식이다.
    이메일, 인스턴트 메세지, 웹사이트 등에서 링크를 클릭하기만 해도 플래시 취약점을 이용하여 설치된다.
    일반적으로는 당연히 운영 체제상의 일차적인 방패인 UAC, sudo 등이 존재하지만, 예스맨의 문제도 있고 보안상의 구멍으로 우회해서 들어가는 녀석도 있다.
    유포 방식에 따라 EXE 파일 실행을 필요로 하는 경우도 있지만, 대부분은 플래시의 취약점을 이용한다.
    이것뿐만 아니라 최근에는 랜섬웨어를 주문받아 제작하여 파는 유형까지 유행하고 있다.

 

  • 증상문서나 스프레드시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤, 돈을 보내주면 암호화를 풀어 준다고 하며 금품을 요구한다.
    크립토락커 등 랜섬웨어의 대부분은 Tor를 기반으로 한 웹페이지를 이용하기 때문에 추적이 매우 어렵고 막대한 시간이 들기 때문에 검거가 어렵다.
    랜섬웨어가 암호화하는 파일의 종류는. xls, .doc, .pdf, .jpg, .avi, .rar, .zip, .mp4, .png, .psd, .hwp, .java, .js, c, cpp(cc), cs, py 등이 있다.
    직장인이라면 잘 알겠지만 업무용으로 주로 쓰이는 파일들이 많다.
    암호화라는 것이 특정 파일에만 먹히고 특정 파일에는 안 먹히는 것이 아니다.
    제작자가 지정한 파일만 선택적으로 암호화하게 되므로 랜섬웨어의 종류에 따라 조금씩 차이가 있을 수 있다.

 

  • 각종 피해현대 사회의 상당수 기업 업무, 창작 활동 등은 대부분 컴퓨터로 이루어지고 그 결과물도 컴퓨터에 저장된다.
    따라서 랜섬웨어가 한번 휩쓸고 지나가면 직업의 종류에 상관없이 크게 피를 보게 된다.
    예방만이 살 길이다.
    다만 많은 경우, 돈을 지불해서 살려야 하는 중요한 파일들은 대체로 용량이 그리 크지 않다는 점을 이용해 용량이 큰 파일은 나중에 암호화하거나, 심지어는 실제로 암호화는 하지 않고 확장자만 바꾸는 등의 동작을 하는 경우가 많다.
    그렇기에 생각보다 동영상의 피해는 별로 없을 수도 있다.
    물론 랜섬웨어라는 건 변종에 따라 그 동작이 천차만별이니 방심은 금물이다.
    경제적인 피해 외에 심리적인 피해 역시 심대하다.
    2010년대 초부터 이미 랜섬웨어의 피해를 입어왔던 해외에서는 돌아가신 어머니 사진이나 죽은 아이의 사진이 열리지 않게 되었다는 안타까운 사례가 굉장히 많다.
    만일 해커가 요구하는 대로 비트코인 등 가상 계좌로 돈을 지불하면 복호화를 해 줄지도 모르나 대부분은 해 주지 않는다고 한다.
    파일을 암호화시키는 게 아니라 애초에 복구해 줄 생각도 없이 파일을 박살내 놓고 암호화한 척 하는 랜섬웨어도 있을 정도이다.
    랜섬웨어 사태 초기에는 어쨌든 돈을 주기만 하면 풀어 주기는 한다는 인식을 퍼뜨려, 보다 많은 피해자들이 송금하게 함으로써 이익을 극대화시킬 필요가 있었다.
    허나 랜섬웨어의 개념이 널리 퍼지고 빠르게 한탕만 하고 빠지자는 생각을 하는 유포자 또한 늘어남에 따라, 그냥 돈만 긁어모으고 먹튀를 시전하는 사례 역시 크게 증가하였으며 추적당할 위험까지 감수하며 복호화해 줄 이유도 없다.
    크립토 월 같은 최근 랜섬웨어들은 한화 수십만 원에 달하는 거액을 요구하는 데다 복호화를 안 해 주는 경우가 더 많다고 한다.
    적은 돈도 아닌데 그 돈이 어디서 어떻게 쓰는지 모르고 있는 지라 신중히 생각해야 한다.
    LAN을 이용해 네트워크를 구성한 상태에서 네트워크 내의 모든 컴퓨터가 죄다 오염되었다면 사태는 더 심각해진다.
    키가 컴퓨터마다 고유하게 설정돼서 감염된 다른 컴퓨터에 적용할 수가 없기 때문에, 공용 네트워크를 통해 랜섬웨어가 세트로 퍼질 경우 컴퓨터마다 따로 돈을 내야 한다.
    다만 쓰기 권한이 없으면 암호화를 할 수 없으므로 공용 네트워크라 하더라도 타 컴퓨터에 대한 쓰기 권한이 없다면 암호화당하지 않는다.

 

  • 그 외 여담이런 특성 때문에 사상 최악의 악성코드라고 불리기도 한다.
    트로이 목마 같은 악성코드를 포함한 다른 악성코드들은 단순히 프로그램을 파괴하거나 변조하는, 의미 없는 테러와 같은 행동 양식을 보이는데 비해 이건 대놓고 컴퓨터를 인질로 삼아 돈을 요구하는 강도나 다를 바가 없기 때문이다.
    누군지도 모르는 남의 컴퓨터를 망가뜨린다는 가학적인 쾌감 정도가 고작인 기존의 바이러스들에 비해 확실한 금전적 이득을 제공할 수 있다는 것은 굉장히 큰 메리트이며 랜섬웨어가 창궐하는 데 일조하고 있다.
    여기에 이 악성코드를 없애도 암호화된 파일은 복구가 되지 않는 것은 물론, 백신 프로그램으로도 복구 소프트웨어로도 한계가 있기 때문에, 백업만이 해결책이란 것도 문제다.
    백신이야 말할 것도 없지만, 일부 랜섬웨어는 파일의 내용도 변경시키기 때문이다.
    복구 프로그램은 파일의 실제 내용이 들어간 영역을 통해 복구를 수행하는데, 그 영역 자체가 변조되니 당연히 복구가 불가능하다.
    특히 덮어쓰기가 손쉬운 HDD 등에서 이러한 피해가 크다.
    주로 외국 사이트에서 랜섬웨어 제작 툴을 판매하는 모습이 주로 포착된다.
    랜섬웨어 유포자들이 몸값을 받아내는 창구로 비트코인 계좌를 사용하면서, 컴퓨터 관련 사이트나 커뮤니티에서는 비트코인 자체에 대한 비난, 욕설까지 발생하고 있다.
    비트코인 옹호자들은 비트코인의 투명한 운영에 대해 언급하며 옹호하기도 하는데 사실 이것도 말장난에 가깝다.
    돈을 주고 받는 거래 내역은 볼 수 있는데, 정작 그 돈을 받는 지갑의 주인이 누구냐고 묻는다면 대답할 수 없기 때문이다.
    대놓고 돈을 받고 있는 셈인데 공권력이 손을 놓고 있을 리가 없다.
    게다가, 최근에는 이더리움 채굴에 그래픽 카드가 대거 끌려가면서 그래픽 카드 가격이 폭등하고 물량은 물량대로 모자라는 상황이 발생하여, 애꿎은 소비자들만 피해를 보는 상황이 지속되자 가상 화폐에 대한 반감에 불을 더 지펴버렸다.


결재 대금을 지불해준다고 해서 랜섬웨어를 풀어주는 것은 아니다.
풀어주지 않으며 그냥 돈만 먹튀 한다.
풀어주려고 서버에 접근한다든가 하는 행동으로 인해 경찰에 잡힐 수도 있기 때문이다.

반응형
저작자표시

댓글

티스토리툴바