Lucian's Life

랜섬웨어란?

 몸값(Ransome)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화 해 사용할 수 없도록 만든 뒤 정보 인질로 삼아 금전을 요구하는 악성프로그램을 말한다.

 백신프로그램으로 악성코드를 없애도 암호화된 파일이 복구되지 않아 '사상 최악의 악성코드'라고 불린다.

 해커들은 파일을 열 수 있게 해준다는 조건으로 돈(비트코인=암호화폐)을 요구하는데, 기한이 지나면 액수가 더 올라가고 파일을 복구할 수 없게 할 수 있다고 협박한다.

랜섬웨어감염 경로

 주로 이메일, SNS, 메신저 등을 통해 전송된 첨부파일을 실행하면 감염되며, 웹사이트를 통해 감염되기도 한다.

 필자는 작년에 유튜브 영상을 보려다가 업데이트 해야한다는 창으로 인해 페이크홈페이지로 이동해서 다운 받다가 CRBR에 감염되었었다.

필자의 랜섬웨어 CRBR(Cerber) 감염된 노트북 화면

랜섬웨어 증상

·중요 시스템 프로그램이 열리지 않는다.

·윈도우 복원 시점이 제거되거나 업데이트를 막아버린다.

·CPU와 램 사용량이 급격하게 증가하고 파일들이 암호화된다.

·안티바이러스가 오작동하거나 강제로 꺼지거나 삭제된다.

·안전모드로 진입이 불가

·별도의 다른 악성코드를 심기도 한다.

·암호화된 파일을 열 수 없다.

·강제로 이동식 저장장치의 연결을 해제시킨다.

·재부팅을 할 때 마다 랜섬웨어 txt파일, html파일이 시작 프로그램 목록에 추가된다.

·악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다.

 - C:\Programfiles\

 - C:\users\(사용자이름)\Appdata\Roaming\

레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다.

·실행되면 숙주파일이 사라지는 경향이 있다. 따라서 한번 암호화가 끝나면 다시 암호화가 되지 않는다.

·특정 경우 연결된 이동식 저장매체(외장하드, USB메모리,SD카드 등) 또한 감염된다.

랜섬웨어 종류

·Cerber~ 케르베르 랜섬웨어

 cerber 1버전부터 계속 변종이 나타나고 있으며 감염경로는 주로 이메일로 유포되며

감염되기 쉬운 랜섬웨어.

파일 확장자명 알파벳 + 숫자 4자리조합

파일이 암호화가 끝나면 실행파일과 설치 파일이 자동으로 삭제된다. 하지만 암호화 작업이 끝나지 않은 상태에서 외부 저장장치를 연결하거나 복구 작업을 진행할 때 추가적으로 파일이 암호화되는 경우가 있다.