아직 ITCM에 랜섬웨어 관련한 글이 없다는 것을 발견하고 제가 알고 있는 몇가지들을 찌끄려봅니다. 

해당 내용에 틀린 점이 있다면 댓글로 지적해주세요.

 

2015년 4월 21일 새벽 국내 IT 커뮤니티인 클리앙에서 크립토락커(Cryptolocker) 랜섬웨어(Ransomware)가 대량 유포된 사건이 있은 후로 최근 2016년 6월 3일 뽐뿌의 광고 서버에 랜섬웨어가 침투하여 7일까지 아무런 조치없이 퍼져나가는 등 랜섬웨어는 사라지지 않고 기승을 부리고 있습니다.

사이트에 접속한 후 뭘 해서 감염된 것이 아니라 그냥 접속만으로 감염되고, 십년 넘게 모아온 가족 사진도, 중요한 회사 서류도 열어 볼 수 없고 포기할 수 밖에 없기 때문에 치명적인 타격을 입게 됩니다.
10테라 넘는 자료도 내 자료가 더이상 내 것이 아닙니다.
돈을 노리는 랜섬웨어의 속성상 그 수가 시간이 지날 수록 급증하고 있습니다.
매번 가던 사이트에 접속만 해도 랜섬웨어에 감염될 수 있는데 뭘 조심하고 어떻게 조심하라는 건지.

알아야 방어할 수 있고 내 자료를 지킬 수 있습니다.

 

1. 랜섬웨어는 Flash 보안 취약성을 이용한다.

Flash가 보안에 매우 취약하다는 것은 이미 유명하죠.
Adobe Flash는 고쳐서 쓸 수 있는 수준이 아니라 하루 빨리 폐기시켜야 하는 수준입니다.
보안 패치를 해도 거의 실시간으로 뚫리는 모양인데 이쯤되면 업데이트를 최신으로 유지해도 안심할 수 없습니다.
Adobe가 Flash 보안 문제를 해결할 능력이 없는 것이죠.

페이스북 보안책임자는 "플래시, 죽여야 할 때"(기사링크) 라고 이야기 하기도 했고,
오래 전에 스티브 잡스도 Flash가 보안상 문제가 매우 심각하기 때문에 앞으로도 iOS에서 지원할 생각이 없다고 했습니다. 

보안상 Flash는 안쓰는 것이 가장 좋습니다.

들어가는 사이트에 플래쉬로 이뤄진 광고 배너가 있다면 크롬이나 파이어폭스의 확장프로그램 AD BLCOK PLUS 등을 이용해서 광고를 원천 차단해주시는 것도 방법입니다.

 

 

 

2. 랜섬웨어는 인터넷 익스플로러의 보안 취약성을 이용한다.

그럼 플래쉬만 조심하면 될까요? 대답은 아닙니다.

웹 브라우져는 그 영역 안에서만 작동하도록 설계해야 하는데 익스플로러는 주제 파악을 못하고 컴퓨터 전체에 영향을 끼칠 수 있도록 하는 가능성을 열어 놓고 있습니다.
바로 액티브X(vbscript)라는 악성코드로 인해 컴퓨터 자체를 제어하는 기능을 가지고 있고,
이용자의 동의 없이 vbscript 실행으로 인해 로컬파일을 실행할 수 있습니다.
 

또한 클리앙 사태처럼 Flash로 DLL 파일을 다운받고, IE의 vbscript 기능을 사용해 그 파일을 로딩해서 실행하기 때문에 사이트에 접속만 해도 랜섬웨어에 감염될 수도 있는 것입니다.

 

"이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 그리고 현재 사용자가 관리자 권한으로 로그온한 경우 공격자가 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다."
 

가능성을 열어 놓고 뚫리면 패치만 하는 것은 절대 적절한 것 방법이 아닙니다. 액티브X 떡칠 한 사이트 중에서 버릴 수 없는 곳들에서만 잠깐씩 사용하도록 하고. 되도록 파이어폭스나 크롬, 앳지를 쓰세요.

파이어폭스, 크롬은 vbscript를 해석하지 않고 웹 브라우져가 PC 내의 데이터에 접근 할 수 없도록 차단합니다.

 

3. 랜섬웨어 전용 백신으로 방어한다.

랜섬웨어에 의한 위협이 날로 증가하고 있기 때문에 주 백신 프로그램 하나 만으로는 충분하지 않습니다.
멜웨어 경우만 해도 멜웨어 전용 백신이 훨씬 더 잘 잡아내고 치료합니다.
MSE, Avira 같은 주 백신을 가동한 상태에서 랜섬웨어 전용 백신을 보조 백신으로 활용한다면 위험을 대폭 끌어내릴 수 있을 것입니다.
랜섬웨어 전용 백신이 많이 있을 수 있겠지만 제가 쓰고 있는 두가지를 소개하고 추천합니다.
둘다 개인이 사용시 무료이며 가볍습니다.

 

1. AppCheck
   • ​랜섬웨어를 사전에 차단하고 실시간 복원 및 백업 기능을 지원하는 앱체크(AppCheck)는 추가된 랜섬가드를 통해 백신에서 진단되지 않는 랜섬웨어 감염시 파일 암호화(손상)이 확인되면 자동으로 악성 파일을 차단하여 암호화를 중지하며, 암호화된 파일은 자동으로 복구가 이루어지는 기능이 있습니다.
   • 개발사 홈페이지 : https://www.checkmal.com/
2. 바이로봇 ART Shield 2.0
   • ​각종 응용 프로그램(Office, IE, ActiveX외 다수)과 Windows(XP포함)를 위한 최적의 보안취약점 차단 솔루션. 드라이브 바이 다운로드 방식의 보안 취약점을 이용한 랜섬웨어 감염 사전 차단합니다.
   • 제작사 홈페이지 : http://www.aptshield.co.kr/
3. 기타 알아두면 좋은 것들
   • ​​발자국 v3.0
     • 랜섬웨어 예방 보안 백업 솔루션
     • 제작사 홈페이지 : https://www.rancert.com/barzakook.php
   • Malware Zero Kit (MZK)
     • 악성코드 제거 스크립트
     • 제작사 홈페이지 : http://cafe.naver.com/malzero/94376
     • 사용법 : http://teia.tistory.com/1204
   • ​알약, V3 Lite, 앱체크 랜섬웨어 방어 테스트 영상
     • ​http://mikun.tistory.com/35

 

4. 기타 보안 수칙들을 준수한다.

윈도우즈, 웹 브라우저, 백신들의 패치는 자동으로 설정하는 것이 좋습니다.
백신등은 스케쥴을 설정하여 수시로 컴퓨터의 상태를 체크하도록 하고, 실시간 감시도 항시 켜둡니다.
이메일 등으로 출처를 알지 못하는 실행 파일들은 절대로 실행해서는 안됩니다.
이제 크랙을 찾아서 와레즈를 돌아다니며 주워 온 실행파일을 실행하는 것은 과거의 추억이 됐습니다.
파일을 받는 것은 해당 프로그램 제작사 홈페이지나 절대 신뢰할 수 있는 자료실에서만 받아서 실행해야 합니다.
댓글이 달리는 자료실이라면 먼저 실행해 본 사람들의 댓글들도 살핀 후에 쓰는 것이 좋습니다.
공개 토렌트 씨앗 파일로도 감염 가능하므로 이의 수급처도 역시 신뢰할 수 있는 곳이어야 합니다.

 

5. 랜섬웨어에 걸렸다면 대처방법

일단 감염되면 CPU점유율이 100%에서 한동안 떨어지지 않고, 메모리를 있는대로 끌어쓰기 시작하며, 하드를 미친듯이 읽습니다. 종류에 따라 일정한 텀을 두어 처리하여 사용자가 눈치채지 못하도록 작업하는 랜섬웨어도 있습니다.

.vvv, .ccc .crypt, .ecc, .ezz, .mp3 등의 확장자로된 파일이 수없이 보인다면 이미 공격이 진행 중인 겁니다.

아직 암호화 되지 않은 파일들이 있다면, 당장 컴퓨터의 전원을 뽑으세요.

그리고 살릴 수 있는 파일이 들어있는(암호화 되지 않은) 하드를 제거 후 다른 컴퓨터에 연결하세요.

랜섬웨어 복호화 가능 리스트(링크)를 확인하여 복호화가 가능한 랜섬웨어에 걸렸다면 파일을 복호화하고 그렇지 않다면 암호화가 완료된 폴더 (결제 페이지 연결을 위한 .html 파일과 안내문구가 담긴 .txt 파일이 생성되어 있습니다.)는 그 안에 어떠한 파일이라도 건들지 마세요. 감염되지 않았던 컴퓨터도 감염 시킬 수 있습니다.

감염되지 않은 파일들만 따로 옮겨놓고 하드 자체를 복호화툴이 나올때까지 보관하거나  포맷하세요.

파일을 살리겠다고 결제는 절대 하지 마세요. 초기에는 고객유치(?)를 위해 결제를 하면 복호화키를 주었으나 최근에는 돈만 먹고 튀는 경우가 대다수입니다.

 

 

갈수록 이불밖으로 나가지 않아도 흉흉한 시대가 되고 있네요. 부디 댁내 컴퓨터의 평안을 빕니다.