문서중앙화 탐구 #01 - 문서중앙화를 사용하는 이유 10가지
안녕하세요 B2B IT 인프라 플랫폼 퓨처링입니다.
기업데이터와 대외비 문서들, 가장 중요한 자산이지만 그만큼 랜섬웨어의 공격도 많이 받게 됩니다.
랜섬웨어에 감염돼 많은 돈을 건네주고도 돌려받지 못하는 사례를 뉴스에서도 종종 볼 수 있는데요.
랜섬웨어에 대해 단순히 ‘감염되면 컴퓨터가 먹통이 된다’ 정도로 알고 계셨다면, 이 게시글에 주목해주세요.
랜섬웨어(Ransomware)
랜섬웨어란 몸값을 뜻하는 ‘Ransom’과 소프트웨어의 합성어로, 시스템을 잠그거나 데이터를 암호화해
사용할 수 없게 만들고 금전을 요구하는 악성 프로그램 뜻합니다.2005년 처음 사례가 보고된 뒤 2013년 이후로 급증했고,
암호화폐 대란과 겹쳐진 2018년 이후로는 몸값을 비트코인으로 요구하는 경우도 많아졌습니다.
날이 갈수록 더욱 교묘하고 악질적으로 변화하고 있어 종류도 다양한데요, 오늘은 대표적인 미해독 랜섬웨어들을 알려드리겠습니다.
미해독 랜섬웨어
Crypt~ 계열
CryptoLocker : 2013년에 발생한 인질형 랜섬웨어입니다. 컴퓨터 내의 모든 파일과 네트워크 드라이브
파일에 암호를 걸어 해독키를 대가로 돈을 요구합니다. 감염 과정에서 RAM을 풀가동시키기 때문에 이유
없이 컴퓨터가 느려지는 초기 증상이 있습니다. ‘.encrypted’ 확장자로 파일들을 암호화해버리는데, 주
타겟은 MS office에 속하는 파워포인트, 워드, 엑셀 파일들과 JPG 등의 이미지 파일, zip, rar 등의 압축
파일들입니다.
CrptoWall : 잘 알려진 랜섬웨어들 중에서도 큰 몸값을 요구하기로 유명하며, 현재 가장 빈번하게
사용되고 있는 랜섬웨어입니다
CryptXXX : 2015년에 유행하다 2016년 4월 카스퍼스키에서 복호화 툴을 배포했습니다. 하지만 2016
년 5월부터 변종이 등장해 다시 유행한 랜섬웨어입니다. 카스퍼스키 복호화 툴은 원본과 감염 파일 간의
용량 대조를 통해 복구할 수 있었으나 변종은 용량을 200KB씩 추가시켜 기존 복호화 툴을 사용할 수 없게
바뀌었습니다. 또 헤더 파일 뒤에 의미 없는 코드를 추가시켜 복구가 더욱 힘들어집니다. !Recovery
메모장에 RSA4096이 적혀 있다면 오리지널, RZA4096라고 적혀있다면 변종 랜섬웨어입니다.
RSA4096라면 카스퍼스키에서 복호화 툴을 다운받아 복호화하면 되며, RZA4096의 경우 복호화 툴은
없었으나 ‘no more ransom’의 복구 툴을 통해 복구에 성공한 사례가 있습니다.
CrypMIC : 2016년 7월부터 기승을 부리기 시작한 CryptXXX의 카피캣으로 현재까지도 복구가
불가능합니다.
Zcrypto : 악성 스팸이나 익스플로잇킷 없이 파일을 암호화하고 다른 컴퓨터와 네트워크 장치에 자가
전파합니다, 연결된 컴퓨터와 휴대용 장치에 자신을 복사해 전부 감염시켜버립니다. 어도비 플래시 같은
설치형 파일로 가장하거나 악성 메크로로 MS 오피스 파일에 침투하기도 합니다. 파일 이름에 ‘.zcrypt’
확장자를 추가해 80~120개 가량의 파일을 암호화 합니다.
WannaCry : 2017년 5월 전 세계에 피해를 준 신종 랜섬웨어입니다. Ms Windows의 SMBv2
원격코드 실행 취약점을 악용한 것으로, 기존의 방식과는 달리 인터넷만 연결 돼있어도 감염됩니다.
Cerber~ 계열
Cerber Ransomware : 이 랜섬웨어에 감염되면 인터넷이 강제 종료되는 현상을 시작으로 ‘.txt’,
‘mp3’, ‘.mp4’ 등의 확장자가 .cerber 확장자로 암호화됩니다. 암호화된 파일이 있는 폴더에는
‘#DECRYPT MY FILES’이라는 텍스트 파일과 “Attention. Your documents, photo, database and
other important files have been encrypted.”라고 반복해서 말하는 음성 파일, 웹 링크가
추가됩니다. 전문 복구 업체에 연락해서 복구하는 방법 밖에 없으며. 복구 업체도 약 30% 의 낮은 복구율을
보일 정도로 위험한 랜섬웨어입니다. 강제 종료할 경우 아무 것도 없는 검은색 화면으로 변경됨과 동시에
모든 PC 기능이 마비되기떄문에 조심해야합니다.
CERBER : cerber의 변종으로, 감염 시 파일의 확장자를 ‘.cerber3’으로 변경하고 비트코인을
요구합니다. 운이 좋다면 확장자 변경만 된 상태로 정상적으로 사용 할 수 있지만, 모든 폴더의 경로마다
결제를 유도하는 (@READ ME_____@)파일을 생성합니다.
CERBER4,5,6 : cerber의 변종으로 2016년 10월부터 계속적으로 업데이트 되고있는
랜섬웨어입니다. 파일명을 랜덤으로 임의 수정하고 파일의 확장자를 랜덤 4자리(주로 알파벳+숫자 조합)로
수정한 뒤 암호화하며, ‘README.hta’ 또는 ‘R_E_A_D__T_H_I_S. [Random].hta’ 파일을 생성합니다.
CERBER형 랜섬웨어의 경우 초록색 글씨를 많이 쓰지만 CERBER6은 붉은색 바탕에 흰색 글씨를 쓰는
방식에 버전명을 쓰지 않는 특징이 있습니다.
Magniber 계열
Magniber Ransomware : 사실상 Cerber의 후속작으로 많은 피해사례가 보고되는
랜섬웨어입니다. 주로 윈도우나 IE의 오래된 보안 취약점을 통해 감염되므로 보안 업데이트가 미비한 PC
에서 감염되기 쉽습니다. 감염되면 ‘readme.txt’ 라는 랜섬노트가 생성되는 것이 특징이며, 2018년 4월
안랩에서 복호화 툴이 나왔지만 변종인 V2가 등장 한뒤 아직까지복호화 툴은 배포되지 않았습니다.
~Locker 계열
시놀락커(SynoLocker) : 이름대로 Synology NAS에 감염되는 랜섬웨어입니다. 따라서 기업에서
시놀로지 나스를 사용 중이라면 항상 최신 DSM 버전으로 사용하는 것을 권장하고 있습니다.
QLocker : 시놀락커와 같이 큐냅만을 노리는 랜섬웨어입니다. Qnap의 HBS 취약점을 통해 감염됩니다.
감염이 되면 확장자가 ‘.7z’으로 변경되며 감염 중에는 비정상적으로 높은 수준의 시스템 리소스를
점유합니다. 큐냅에서도 동일하게 항상 최신 QTS 버전을 사용하길 권장하며, 파일들을 백업하는 것이
좋습니다.
CTBLocker : 2015년 1월경 부터 발견되어 많은 피해자가 메일을 통해 감염되었습니다. Windows의
기본값은 “알려진 파일 형식의 파일 확장명 숨기기”가 체크되어 있기때문에 ‘.cab’ 파일의 확장명을 확인 할
수 없습니다. 기본 워드파일로 인식이 되며 파일을 오픈 할 경우 7~10분 사이에 랜섬웨어 동작을 위한 파일
생성과 암호화가 진행됩니다.
TorLocker : 일본의 5ch의 유저에 의해 제작된 랜섬웨어로, 주로 일본에서 많이 감염되지만 일본
사이트를 자주 경유하는 국내의 컴퓨터의 감염 사례가 있습니다. 복호화 툴은 몇 가지 있지만 제대로
복구되는 툴은 아직 없습니다. 과거엔 2ch 게시판 이용자끼리 장난치는 용도로 사용되었지만 현재도
업데이트가 진행되고 있고, 2019년 초를 기점으로 변종까지 등장했습니다. 특히 이 변종의 경우 한국어로
되어있어 악의적으로 랜섬웨어 유포 범인을 한국으로 몰아가는 특징이 있습니다.
7 Locky : Locker 계통 중에서 가장 막강한 유형의 랜섬웨어입니다. .hwp까지 암호화하며 office의
매크로를 통해 일부 기관 등에 유포되었습니다. 주로 스팸 메일을 통해 유포되며, 가끔 자신에게 쓴 메일인
것처럼 위장하는 경우도 있어 주의해야합니다. 제목이 invoice, Document로 시작한다면 일단 의심해볼
필요가 있습니다. 다양한 변종이 있지만 asasin 유형의 변종은 피해 컴퓨터의 OS정보와 IP 주소까지
수집합니다.
랜섬웨어 대처법
랜섬웨어는 감염 안 되는 게 가장 좋기때문에 미리 이중 백업이나 스냅샷 설정, 네트워크 보안 등을 철저히
하는 것이 좋습니다. 해독된 랜섬웨어들은 개발자가 검거되거나, 보안 전문가들의 노력으로 복호화 키나
소스 코드가 풀려 해독이 가능합니다.
아이디랜섬웨어에 암호화된 파일, 송금 주소가 담긴 메모 파일(README) 혹은 이메일 주소를 업로드하면
감염된 랜섬웨어의 종류를 알 수 있습니다. 해당 사이트에서 약 1000여개가 넘는 랜섬웨어를 감지할 수
있으며, 랜섬웨어의 종류를 알게 되면 해독 가능한 랜섬웨어인지도 파악할 수 있게 됩니다.
설령 랜섬웨어에 감염되더라도 초기 대응에 따라 복구가 가능한 경우도 있기 때문에 당황하지 않는 것이
가장 좋습니다. 감염을 막겠다고 전원을 꺼버리는 경우도 많은데, 전원을 끔과 동시에 파일을 전부
날려버리는 랜섬웨어도 존재하기떄문에 주의할 필요가 있습니다.
따라서 랜섬웨어 감염이 의심된다면, 파악 후 빠르게 데이터 복구 전문가에게 의뢰하는 것이 가장 좋은 방법입니다.
데이터 복구 컨설팅도 퓨처링에서
퓨처링은 기업을 위한 IT 인프라 플랫폼으로, 실물 장비뿐만 아니라 데이터 복구, 디지털 포렌식, 데이터
삭제 등의 컨설팅도 상담 받을 수 있습니다. 퓨처링의 입점사 중 하나인 비에스아이티는 디지털 포렌식
대회에서 대상까지 수상한 데이터 복구 전문 기업입니다. 랜섬웨어에 의한 복구 경험도 다수 있어 이 글을
읽는 분들 중, 관련 컨설팅이 필요하다면 퓨처링을 통해 상담 받아보는 것도 추천드립니다.
김에디터
B2B IT 제품 커머스 플랫폼 - 퓨처링