랜섬웨어의 종류 2편

해독된 랜섬웨어들은 개발자가 검거되거나, 보안 전문가들의 노력으로 복호화키나 소스 코드가 풀려서 해독할 수 있는 랜섬웨어입니다. 미해독 랜섬웨어와 달리 해독이 가능하여 해결할 수 있으므로 랜섬웨어에 감염되더라도 감염된 랜섬웨어가 무엇이며 해독 여부를 먼저 파악하는 것이 중요합니다.

해독된 랜섬웨어

테슬라크립트(TeslaCrypt)

CryptoLocker와 크립토 월을 조합해서 만들어진 랜섬웨어입니다. 문서, 이미지 등을 노리는 랜섬웨어와 달리 게임 파일을 감염 데이터로 노린다는 점에서 개인 사용자들도 타깃으로 삼는 특징을 보입니다. 지속되는 업데이트로 4.0까지 개발되면서 복호화가 어려웠으나, 2016년 5월 개발자가 범행을 중단하고 마스터키를 공개했기 때문에 TeslaDecoder 툴을 받으면 복호화할 수 있습니다.

갠드크랩(Gandcrab)

공개키 방식으로 데이터를 암호화 하고 .CRAB의 확장자를 추가하여 감염시키는 랜섬웨어입니다. v1의 경우 GDCB를, v2와 v3의 경우 CRAB를, v4의 경우 KRAB를 v5의 경우 5~10자리 랜덤 확장자로 암호화한 뒤, 모든 파일 안에 메모장을 남겨 제한 시간 내 해커가 원하는 돈을 내도록 했습니다. 갠드크랩 랜섬웨어의 개발자는 서비스형 랜섬웨어인 ‘GandCrab’의 개발을 중단하겠다고 밝혔으며 2019년 6월 v1, v4, v5.2 버전은 복호화 툴이 공개되어 무료 복호화가 가능해졌습니다. 그러나 v2와, v3의 경우 아직 복호화 툴이 존재하지 않아 주의해야 합니다.

소디노비키(Sodinokibi)

갠드크랩 랜섬웨어의 변종입니다. 구글링을 통해 파일을 다운로드하는 사람들을 타깃으로 파일이 첨부되어있는 가짜 페이지를 띄워 감염시키고 있습니다. 소디노비키는 시스템이 로컬 시스템 뿐만 아니라 로컬과 연결된 네트워크 드라이브까지도 파일 암호화를 시도합니다. 그러나 Bitdefender에 의해 복호화 툴이 공개되어 해결할 수 있게 되었습니다.

토렌트락커

Crypt0l0ker의 원형인 랜섬웨어입니다. Crypt0l0ker가 CryptoLocker의 변형으로 많이 알려져 있지만 사실 토렌트락커의 변형입니다.

CryptoWall 3.0

해독이 된 랜섬웨어입니다. 그러나 확장자를 바꾸지 않은 일부 버전은 해독이 되지 않은 상태이므로 주의해야 합니다.

마이컴고

PC 보안 프로그램처럼 위장하여 다운로드를 유도하는 트로이 목마 랜섬웨어입니다. 마이컴고는 PC 내 주요 데이터를 타인이 볼 수 없게 하거나 유출되지 않도록 완벽하게 보호해주는 프로그램으로 사용자에게 접근합니다. 그러나 데이터를 찾을 때 월정액 9900원을 지불해야 볼 수 있도록 강제합니다. 특히 영상 파일들을 노리며, 심지어 폴더로 분류 해놓은 데이터를 동일한 이름으로 합쳐 버리는 일이 발생했습니다. 개발한 회사 이름도 마이컴고이나 갑작스럽게 회사가 사라지며 해독할 수 있는 랜섬웨어가 되었습니다.

Hidden-Tear

Github에 올라왔던 최초의 오픈소스 랜섬웨어로 교육용이라는 개발 목적을 지녔습니다. 랜섬웨어 개발에 사용된 언어는 C#로, 최소한의 기능인 키 생성, 암호화, 복호화만 구현한 것이 특징입니다.

갠드크랩(Gandcrab)

공개키 방식으로 데이터를 암호화 하고 .CRAB의 확장자를 추가하여 감염시키는 랜섬웨어입니다. v1의 경우 GDCB를, v2와 v3의 경우 CRAB를, v4의 경우 KRAB를 v5의 경우 5~10자리 랜덤 확장자로 암호화한 뒤, 모든 파일 안에 메모장을 남겨 제한 시간 내 해커가 원하는 돈을 내도록 했습니다. 갠드크랩 랜섬웨어의 개발자는 서비스형 랜섬웨어인 ‘GandCrab’의 개발을 중단하겠다고 밝혔으며 2019년 6월 v1, v4, v5.2 버전은 복호화 툴이 공개되어 무료 복호화가 가능해졌습니다. 그러나 v2와, v3의 경우 아직 복호화 툴이 존재하지 않아 주의해야 합니다.

eda2

Hidden-Tear의 제작자가 교육을 목적으로 제작한 다른 랜섬웨어입니다. Hidden-Tear처럼 Github에 소스를 공개했으나 알려진 취약점이 없었습니다. 따라서 이를 바탕으로 악용 사례가 나오자 2016년 3월에 제작자가 서비스를 중단하며 해독할 수 있는 랜섬웨어가 되었습니다.

사진 : 랜섬웨어 페트야

OSX.KeRanger

OSX.KeRanger와 마찬가지로 macOS에서만 감염을 일으키는 랜섬웨어입니다. 랜섬웨어와 스파이웨어를 융합한 새로운 형태의 랜섬웨어였으나 공개키 암호화가 아닌 대칭 열쇠 암호 방식을 사용한 암호화로 금방 해독되었습니다.

직쏘(Jigsaw)

파일 변조 유형 랜섬웨어 중에서도 피해가 컸던 랜섬웨어입니다. 파일을 암호화하는 다른 랜섬웨어와 달리 게임을 시작하자는 메시지와 함께 영화 쏘우의 빌런 직쏘의 사진이 띄워지는 것이 특징입니다. 무엇보다도 돈을 입금하지 않으면 1시간마다 파일을 하나씩 삭제하며, 강제 종료 시 파일을 전부 파괴하도록 설계 되었으나 현재 해독 완료된 랜섬웨어입니다.

이외에도 비트크립터(Bitcryptor), 코인벌트(CoinVault), 페트야(Petya) 등이 해독된 랜섬웨어로 알려져 있습니다.

개그성 랜섬웨어

개그성 랜섬웨어는 파일을 암호화하는 기능을 지닌 랜섬웨어지만, 복호화하는 방법이 금전 대신 특정 행동을 하도록 요구합니다. 그러나 금전을 요구하지 않는다고 해서 안전하다는 것은 아닙니다. 개그성 랜섬웨어에 감염되면 데이터가 정상적인 환경에 저장되어 있지 않게 되며, 더 나아가 저장장치가 부팅되지 않거나 통제하지 못하게 되어 큰 문제가 생길 수 있습니다.

련선웨어

어느 한국인 개발자가 Github에 올린 오픈소스 랜섬웨어입니다. 동방성련선이라는 게임 점수를 2억 점 달성해야 복호화할 수 있는 독특한 특징을 가지고 있습니다. 이후 개발자가 직접 복호화 툴을 공개했습니다.

랜섬호스

Github에 올라온 련선웨어를 패러디한 신종 랜섬웨어입니다. 복호화 방법은 히어로즈 오브 더 스톰이라는 게임을 1시간 동안 하는 것입니다. 이 랜섬웨어 또한 복호화 툴이 공개되어 있습니다.

랜섬마인

앞선 랜섬호스와 비슷한 랜섬웨어입니다. 복호화 방법은 게임 마인크래프트를 1시간 하는 것입니다.

사진 : 랜섬웨어 스탈린락커

스탈린락커(StalinLocker)

2018년 5월경 등장한 랜섬웨어로, 러시아 보수주의자에 의해 만들어졌습니다. 주어진 퀴즈를 풀지 못하면 스탈린 사진과 함께 소련 국기가 매우 큰 소리로 재생됩니다. 퀴즈는 정답을 맞춰 해독할 수 있으며, 퀴즈 전용 계산기도 공개되어 있습니다.

애나벨

감염되면 파일을 .annabelle 확장자로 암호화하고, 이상한 목소리가 나온 뒤 영화 컨저링에 등장하는 애나벨의 사진과 함께 카운트다운과 설명문이 등장하는 랜섬웨어입니다. 컴퓨터를 재부팅하면 카운트다운이 점차 빨라지며, 카운트다운이 끝나면 컴퓨터를 먹통으로 만듭니다. 안전 모드로도 부팅해도 랜섬웨어가 작동하며, 작업 관리자와 실행이 비활성화됩니다. 그러나 복구 방법이 공개되어 있습니다. 이 랜섬웨어는 컴퓨터 전문 유튜버의 팬이 그에게 보여주기 위한 목적으로 만들었다고 전해집니다.

랜섬웨어 복호화의 핵심 백업

랜섬웨어는 복호화되어 무력해진 것도 많지만, 미해독되어 여전히 많은 피해를 입히고 있는 것도 많습니다. 랜섬웨어는 무엇보다도 감염되지 않는 것이 중요합니다. 따라서 스토리지 또는 클라우드 백업, 스냅샷 설정, 보안솔루션 등 예방이 가장 중요합니다.

특히 랜섬웨어는 대부분 비트코인 등 높은 비용을 요구하므로 사전에 낮은 비용으로도 가능한 백업으로 예방하는 것이 권장됩니다. 만일 감염이 되었더라도 해독된 랜섬웨어처럼 해독이나 복구가 가능한 랜섬웨어가 있으므로, 당황하여 바로 전원을 종료하지 않고 랜섬웨어의 정보와 해독 방법을 찾는 것이 중요합니다.

한국랜섬웨어침해대응센터에서 랜섬웨어에 대한 정보를 식별하는 방법과 복호화 툴을 제공하고 있으며 피해자 신고 접수까지 다양한 지원을 경험할 수 있습니다.
한국랜섬웨어침해대응센터