ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 랜섬웨어 크립토락커 CryptoLocker (CryptoLocker Ransomware)
    PC and Mac 2013. 12. 1. 06:44

    크립토락커(CryptoLocker)는 PC에 저장된 파일들을 암호화 시켜 잠가버리기 때문에 파일에 접근할 수
    없게 합니다.
    실질적인 문제는 감염 된 후 감염 사실을 알고 안티바이러스/보안 프로그램을 사용해서 CryptoLocker 를 삭제/제거했다 해도 그 사이에 CryptoLocker 에 의해 이미 암호화 되어 잠긴 파일들을
    풀 수 없다는 부분입니다.


    이미 잠긴 파일에 대한 해결책은 데이터를 백업했다면 백업한 데이터를 복원하는 거고 아니라면 잠긴 파일들을 포기하는 겁니다. 그외에 잠긴 파일을 풀 수 있는 방법은 악성코드 제작자의 의도에 따라 가상화폐(비트코인)를 지불하는 방식으로 패스워드를 받아 잠겨진 파일을 푸는 방법뿐이 없죠. 그럼 정말 지불하면 잠긴파일을 풀어주는가? 가 의문일텐데 일단 현재까지 풀어주기는 한다고 하지만 아닌 사례도 있습니다 또한 데이터가 훼손이 되어서 잠긴 파일이 풀리지 않는 경우도 있고 여러 경우가 있다고 합니다 따라서 기업에서 데이터를 백업하는 것이 중요하고 필수적이며 개인 사용자는
    보안지식과 의식을 가지고 예방하는 게 최선입니다.

    Update:
    decryptcryptolocker.com 라고 Cryptolocker Ransomware 를 무료로 복구할 수 있는 서비스를 제공하는 곳이 있습니다. 100% 가능한 건 아니지만 시도는 해볼만하겠죠. 자세한 사항은 이곳을 참고:
    - Cryptolocker 랜섬웨어(Ransomware)로 암호화된 파일 무료 복구 서비스

    Update2: Kaspersky Ransomware Decryptor Decrypt your files being held hostage by Coinvault ransomware


    일례로 얼마전 미국 메사추세스 경찰 PC들이 CryptoLocker 에 감염되어진 적이 있는데 FBI의 조언에 따라 가상화폐(비트코인)를 지불하는 황당한 일이 벌어지기도 했죠. (US police force pay bitcoin ransom in Cryptolocker malware scam) 보안업체들은 이런 지불을 하면 안된다고 강력히 반대하는 입장이지만 일단 당장 잠긴파일을 풀려면 무슨 해결책이 있는 것도 아닙니다. 될 수 있으면 응대를 하지 않아야 이런 종류의 악성코드가 더 이상 활계를 치지 않겠죠. 지불과 동시에 FBI가 추적을 했겠지만 이 사례를 보아도 주기적으로 백업을 하지 않는다면 잠겨진 파일은 포기하는 게 낫겠죠. 여기서 알 수 있는 게 기업이나 관공서 IT 부서에 제정신을 가지고 일을 한다면 백업 서비스를 반드시 사용하고 email 첨부파일에서 exe 파일들은 기본적으로 필터링 했겠다 싶습니다.

    개인 사용자의 경우 주기적인 백업을 하는 경우는 그리 많지 않다고 봅니다 개인 PC 로 일을 하는 경우 그리고 작업을 하다 데이터에 문제가 생겨 멘탈이 붕괴 된 경우에 성실히 백업을 하는 분들이 있기는 하겠지만 대다수의 경우 안 하죠.

    현재까지 CryptoLocker 악성코드 주요 전파 방식과 경로는 email 첨부파일 형태입니다. (웹 브라우저, Java, Flash Player, OS 취약점등을 사용하지 말라는 법도 없지만) 주 타겟이 데이터가 중요하고 돈을 지불할 기업쪽이고 사회공학적 기법(간단히 말해 사람의 심리를 이용해서 실수를 유발시키는)을 사용하기에 사용자가 약간의 주의만 기울여도 감염 될 확율이 내려가겠죠. 회피를 위해 Zip이나 Rar로 된 압축 파일의 경우 압축파일안에 exe 파일이 있다면 일단 실행하지 않는 게 좋습니다.

    [email 제목 예]
    Payroll Invoice, FW: Check copy <- 직장인들이라면 열어보게 되는 제목
    Symantec Endpoint Protection: Important System Update - requires immediate action <- 유명 보안업체를 사칭해서 파일을 실행시키게하는데 특히 자신이 사용하는 소프트웨어 업체일 경우에 의심없이 실행하지만 일반적으로 어떤 보안회사도 email에 파일을 동봉해서 보내지 않음.

    개인적으로 Windows 에서 안 좋게 보는 게 파일 확장자를 기본적으로 숨긴다는데 있습니다.

    보이는 모습은(아이콘) 일반 문서 파일이나 영상파일 같지만 알고보면 실행파일(exe)인 경우가 많다는거죠.
    CryptoLocker 뿐만이 아니라 일반적으로도 파일확장자 확인만 잘 해도 악성코드 감염을 피할 수 있습니다. Windows 사용자는 반드시 파일확장자를 표시하게 설정하기 바랍니다.

    [예]

    회의문서.pdf.exe
    회의문서.zip.exe
    회의영상.avi.exe
    voicemail.exe
    fax.zip.exe
    invoice.doc.exe
    Payroll invoice.exe
    pt.avi.exe
    Payroll invoice.scr

    이렇게 받고 보니 exe 나 scr 파일의 경우 99%가 악성코드니 그냥 삭제해버리면 됩니다.


    Windows 7 파일확장자 표시하기


    단축키 (Window 키 + E ) 사용 탐색기를 오픈



    폴더 및 검색 옵션 -> 보기


    체크 해제: 알려진 파일 형식의 파일 확장명 숨기기 ( Hide extensions for known file types ) - 그림처럼 체크가 된 상태가 아니어야 합니다. 

    체크: 숨김 파일, 폴더 및 드라이브 표시 ( Show hidden files, folders, and drives )


    Windows 8 파일확장자 표시하기

    단축키 (Window 키 + E ) 사용 탐색기를 오픈 파일 -> 옵션 -> 폴더 및 검색 옵션.
    나머지는 Windows 7 과 동일



    CryptoLocker 참고하면 좋은 글


    - [itworld] 크립토로커 지옥에서 탈출하기 위한 최선의 방법은...백업과 복구 뿐


    - [영문] CryptoLocker Ransomware Information Guide and FAQ


    기본적으로 지켜야 할 것

    - Windows 보안 업데이트를 항상 적용 해주어 최신의 보안패치가 된 상태를 유지.

    - 최신 버전의 웹 브라우저 사용.

    - 웹 브라우저의 Adobe Flash player (웹 페이지를 보면 McAfee나 기타 유틸에 대한 설치에 yes 표시가 체크되어 있을 경우 반드시 체크 해제하고 설치) 그리고 Adobe PDF Reader, Java등을 설치해서 이용하고 있을 경우 항상 최신버전을 사용. 구글 크롬 웹브라우저 같은 경우는 Flash Player 가 내장형이라 크롬 최신버전을 사용 중이라면 이미 Flash player 최신버전을 사용하는 중인 것임.

    - Java가 필요없거나 Java가 무언지 어디에 사용되는지 잘 모르는데 이미 PC에 설치 된 상태라면 아예 제거(언인스톨)하는 게 좋습니다.

    - 자신이 설치하는 프로그램, 웹브라우저 확장기능이 신뢰할 만한 곳에서 다운로드 받은 건지 무엇을 설치하는지 확실히 인지하기.

    - 보안 소프트웨어 사용. (여러개 설치할 필요 없이 1개만 설치) 


    백신소프트웨어가 CryptoLocker 를 탐지하는가?

    현재 대다수의 보안 소프트웨어가 CryptoLocker 를 탐지하지만 변종 악성코드가 계속 나오고 있는 중이기에 예방을 위해서는 항상 보안 소프트웨어 데이터 베이스를 최신으로 업데이트해서 사용해야 합니다.

    [예를 들어 이런 진단명으로 탐지]
    Microsoft : Trojan:Win32/Crilock
    Kaspersky : Trojan-Ransom.Win32.Blocker.cfwh
    ESET-NOD32 : Win32/Filecoder.BQ
    Malwarebytes : Trojan.Ransom
    Avast : Win32:Ransom-AQL



    ■ 크립토락커 제거 툴


    알려진 크립토락커를 제거할 수는 있지만 감염된 파일(암호화 된 파일)을 복구하는 것은 아닙니다.

    트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)
    윈도우 부팅시 키보드에서 F8 버튼을 눌러 윈도우 부팅 옵션에서 ‘안전모드 with 네트워크’로 부팅을
    한 후 트렌드마이크로 위협 제거 툴 파일을 실행
    합니다.


    Malwarebytes Anti-Malware *Free (Free version download 선택)
    한글을 지원하기 때문에 설치시 한글을 선택하면 모든 메뉴를 한글로 사용할 수 있어 편리합니다. 무료(Free) 버전은 실시간 감시 기능이 없기에 백신과 충돌 위험이 없습니다. 수동 검색 성능과 치료는 유료와 동일합니다. 

    * 설치 후 처음 실행하면 일정기간 동안만 전체 기능을 사용하는 평가판(Trial)으로 사용할지 물어보는데 평가판(Trial)으로 사용 할 필요 없습니다. 평가판 사용을 선택하지 말고 그냥 무료버전으로 사용하세요. 위 그림은 영문버전 설치과정인데 반드시 Decline을 선택해야 무료버전인 on-demand scanner로서 사용가능 합니다. (무료버전도 검색과 치료 모두 가능) *[추가] 버전 1.62의 경우 이전 버전과 좀 다르더군요. 설치시 구글 툴바와 마지막에 Malwarebytes Anti-Malware Pro 시험판(기간제한이 생김) 사용여부에 체크를 하지 말아야 합니다.


Designed by Tistory.