랜섬웨어[Crypt0L0cker바이러스]와 해결방법

　21일 새벽부터 국내 IT관련 커뮤니티 중 하난인 클리앙의 광고서버를 통해서 랜섬웨어 감염이 있었습니다. 원인을 파악해 보니 임의방식을 통해서 광고서버의 관리자계정을 획득한 94.185.85.42 IP가 광고속에 코드를 삽입후 유포한 것으로 밝혀졌는데요. 현재는 이 현상이 국내 스마트폰 커뮤니티 시코(Seeko)와 DC에서도 감염되었다는 보고가 올라오고 있다고 하니 각별한 주의가 필요할 것 같습니다. 

　악성코드웨어의 일종인 랜섬웨어는 몸값을 의미하는 ransom과 ware(물건)의 합성어로, PC 사용자의 중요파일(주로 문서 사진등)을 감염시킨 후에 댓가로 돈을 요구하는 신종 악성코드입니다. 대부분의 악성코드가 이메일 혹은 불안전한 웹사이트망을 통해 감염되는 만큼 안전하지 않는 사이트는 가급적이면 접속을 지양하며 스팸메일은 즉시 삭제하시길 권장합니다.

　특히 22일 한국인터넷진흥원(KISA)에서 국내 웹사이트에 주의보를 발령한 것은 랜섬웨워 크립토락커(CryptoLocker)의 한국어버전으로, 중요 파일들을 암호화 코딩처리해서 파일을 복원하기 위해서는 비트코인으로 대금을 지불하도록 유도하고 있습니다. 보안관련 파워블로그를 운영중인 '울지않는벌새'측의 이야기로는 "21일 오전 6시경 V3 기준으로 당시 유포에 활용된 URL 노출값이 2,000건이 넘었으며, V3사용자가 아닌 경우도 많으므로 최대 1만명 가까이 위협에 노출되었을 것"이라고 추정하고 있습니다. 

　지난 2013년에 최초로 등장한 크립토락커는 당시 미국을 중심으로 유행하기 시작했음, 현재까지 전세계적으로 가장 악명높고 영향력있는 랜섬웨어로 알려져 있습니다. 특히 국내에서 이번에 감염된 랜섬외어는 중요파일이 알고리즘(RSA-2048)을 통해 암호화시킨후 복원을 위해 금액을 지불하도록 하지만, 사실 데이터가 복구될 가능성은 3%에 불과한 것으로 전해집니다.

　확인된 바로는 랜섬웨어가 암호화하는 파일의 종류는 xls, xlsx, docx, pdf, jpg, cd, jpeg, icd, rar, mdb, zip, hwp, ppt 등이 속하기 때문에 특히 사무업무가 많은 PC환경에서 피해가 막대할 것으로 예상됩니다.

　주로 윈도우 XP나 업데이트 되지 않은 인터넷 익스플로어8 버전에서 이러한 감염이 일어난 것으로 회자되었는데요. 하우리 측에서는 어도비 플래시가 최근 보안관련 업데이트를 했는데 이 업데이트를 하지 않은 경우에도 문제가 있을 수 있다고 합니다. 그러므로 크롬이나 파이어폭스와 같은 프로그램도 안전하다고는 볼 수 없습니다.

현재 클리앙 사이트 운영자는 원인이 제거되어 더이상 악성코드를 유포하지 않고 있고, 감염된 악성코드 해결할 수 있는 매뉴얼을 올린 상태지만, 대다수 감염자가 데이터를 완전히 복구하지는 못하고 있는 상황이라고 합니다.

[크립토락커 대응방법]

클리앙에서 공개한 랜섬웨어 치료방법은 다음과 같습니다.

1.재부팅 후 f8 눌러서 윈도 부팅 옵션을 고름 2.안전모드 with 네트워크로 부팅    3.구글로 trendmicro cryptolocker removal tool 검색하거나 다음 링크에서 제거 툴 다운로드 http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3136/goz-and-cryptolocker-malware-affecting-users-globally 자신의 os버전에 맞는 버전으로 다운로드(32bit, 64bit) 링크 추가 http://www.trendmicro.co.kr/kr/security-intelligence/anti-threat-toolkit/   4. 다운로드 완료후 파일 실행. 저는 한 20분 걸렸습니다. 랜섬웨어 제거완료.   5. 일반 모드로 재부팅.    6. cryptolocker는 제거되었을 것입니다. 파일 백업 하세요. encrypted도 일반 백업.     임시 확인 사항 (1) xls, ppt, doc, pdf는 암호화 됨. hwp파일의 경우 저 파일과 같은 폴더의 경우 암호화. 별도 폴더의 경우 비암호화(살아있음)     (2) png파일은 안걸림. 급한 이미지 파일의 경우 jpg는 png로 확장자 바꿔놓으세요^_^;   (3) decrypolocker.com에서 파일을 업로드 하면 '알려진 키'의 경우 복구 툴을 보내줍니다. 현재 진행중인데 아직 안 왔네요.     추가 (1) https://decryptcryptolocker.com/ 여기에 이메일과 감염된 파일 샘플을 보내면 해당 메일로 RSA_2048키가 옴. 해당 키가 수사 및 연구중. 지금 건 안되도 기다리면 키가 계속 추가됨. 그러므로 나중에라도 살릴수 있음.   추가1. ie에서 파일 올리면 무한한 시간이 걸림 추가2. 크롬에서 올리면 크립토락커 파일이 아니라고 함. 한국형 변종 파일 같네요.    (2) 위에 trendmicro attk로 검색이 가능합니다. 리무벌만 하는게 아니므로 검색에도 이용하세요.   (3) 구글 드라이브, 네트워크 매핑 드라이브 모두 파일 변형 됩니다.

　이 외에 별도로 안랩에서는 '윈도우7 이상의 운영체제에서 제공하는 사용자 파일백업 및 복원기능을 이용하면 감염전의 파일을 불러올 수 있다'고 하니 파일 백업기능을 이용해서 감염되기 이전 복원지점으로 돌아가는 방법도 가능하다고 합니다. 단, 파일을 백업했을시에 로컬디스크가 아니라 다른 저장매체에 저장해야 백업이 가능하다고 합니다.

이 랜섬웨어를 예방하는 방법은 

　먼저 중요파일의 경우에는 평소 별도로 백업하는 습관이 필요합니다. 별도의 저장공간을 사용하여 수시로 백업을 해준다면 랜섬웨어에 감염되더라도 피해를 줄일 수 있는 방법이 됩니다.

　또한 윈도우 업데이트, 익스플로어 및 자바, 플래시 관련 보안 업데이트, 백신 프로그램의 최신화 등 귀찮고 번거럽더라도 보안업데이트는 항상 최신화를 시키도록 합시다.

　아울러 이메일 첨부파일 열람, 불법 프로그램 설치시 같이 설치되는(이른바 패키지 프로그램) 파일 혹은 불법사이트의 동영상 및 채팅 프로그램으로 위장하여 랜섬웨어가 감염되는 경우가 많기 때문에, 불분명한 출처나 혹은 의심되는 메일은 즉각 삭제하도록 합니다.