최근 전 세계적으로 랜섬웨어 감염에 의한 피해가 속출하고 있습니다. 다른 악성프로그램과 달리 문서나 그림파일 영상등을 암호화 해서 사용하지 못하게 만들어 그 피해가 기업과 개인에게 매우 가혹한거 같습니다.
관련 업무를 하는중에 랜섬웨어에 관심을 갖고 보니 최근 보안업체 등에서 제공하는 암호 해제툴과 예방 법을 알게되어 간략하게 정리해 봤습니다.
※ 랜섬웨어란?
몸값을 뜻하는 ransom과 제품을 뜻하는 ware의 합성어로 사용자 동의 없이 컴퓨터에 불법으로 설치되어 컴퓨터의 정상적인 이용을 방해하고 이를 해제하기 위해 돈을 요구며, 사용자의 파일을 인질로 잡는 악성 프로그램을 말한다.
- 참고 사이트
http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do#cont4
http://www.trendmicro.co.kr/kr/security-intelligence/ransomware/definition/index.html
https://namu.wiki/w/%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4
※ 랜섬웨어가 왜 위협적인가?
랜섬웨어로부터 입는 가장 큰 피해는 데이터를 사용할 수 없게 된다는 것입니다.
백신으로 랜섬웨어 악성코드를 제거해도 암호화된 파일은 복구하기가 어렵습니다. 왜냐하면 암호화된 파일을 복원하기 위해서 암호 해독키가 필요한데 대부분 공격자의 서버에 저장되어 있기 때문입니다. 또한 피해자가 공격자의 요구에 따라 대가를 지불해도 파일 복구가 된다는 보장이 없습니다.
특히 최근 랜섬웨어 공격은 백신 프로그램을 우회하기 위해서 다양한 신∙변종 악성코드를 활용하는 지능형 위협 공격의 양상을 띠고 있습니다.
- 출처 안랩 -
현실적으로 백업본 없는 오랫동안 누적한 가족의 사진과 개인이 장기간에 걸쳐서 작성한 문서 등 여러 종류의 자료를 접근할 수 없다는 겁니다.
운영체제가 손상되었다면 복구를 하던지 재설치를 하던지 개인파일은 복구 시도할 여지와 기회가 있지만 랜섬웨어는 암호해제 외에는 딱히 복구 방법이 마땅치 않습니다. 이런 점에서 가혹하다는 표현을 위에서 썻습니다.
※ 랜섬웨어 종류 확인방법
확장자로 구분하는 방법과 관련 사이트를 이용하는 방법등이 있지만 정확한 확인을 위해 온라인 사이트를 소개합니다.
사이트 주소 : https://id-ransomware.malwarehunterteam.com/
- Ransom Note
랜섬웨어의 결제 안내 파일 텍스트 파일을 업로드하면 해당 파일을 식별하여 감염된
랜섬웨어의 정보를 알려줌
- Sample Encrypted File
랜섬웨어에 암호화된 파일을 업로드하면 해당 파일을 식별하여 감염된 랜섬웨어의
정보를 알려줌
※ 보안업체별로 공개한 복호화 툴
- CISCO의 TESLACRYPT(테슬라크립트), ALPHACRYPT(알파크립트) 복호화 툴
Download : http://www.talosintel.com/teslacrypt_tool/
시스코 TALOS에서 공개한 TESLACRYPT DECRYPTION TOOL로 2016.06.09에 "TESLACRYPT: THE BATTLE IS OVER" 제목으로 게시하여 인상 깊습니다.
Version 1.0 is able to decrypt all the files encrypted by all version of TeslaCrypt and AlphaCrypt:
- TeslaCrypt 0.x - Encrypts files using an AES-256 CBC algorithm
- AlphaCrypt 0.x - Encrypts files using AES-256 and encrypts the key with EC
- TeslaCrypt 2.x - Same as previous versions, but uses EC to create a weak Recovery key. The application is able to use factorization to recover the victim's global private key.
- TeslaCrypt 3 & 4 - The latest versions. Able to decrypt thanks to the C&C server EC private key which was recently released.
- TREND MICRO의 "크립토 랜섬웨어 파일 복호화 툴"
Downlaod : http://www.trendmicro.co.kr/kr/tools/crypto-ransomware-file-decryptor-tool/index.html
트랜드마이크에서 제공하는 랜섬웨어 복호화 툴입니다.
랜섬웨어 종류 및 버전 | 파일명 및 확장자 |
---|
CryptXXX V1, V2, V3* | {원본파일명}.crypt |
TeslaCrypt V1** | {원본파일명}.ECC |
TeslaCrypt V2** | {원본파일명}.VVV, CCC, ZZZ, AAA, ABC, XYZ |
TeslaCrypt V3 | {원본파일명}.XXX or TTT or MP3 or MICRO |
TeslaCrypt V4 | 파일명과 확장자명 변경 없음 |
SNSLocker | {원본파일명}.RSNSLocked |
- Ahnlab(안철수연구소)의 랜섬웨어 복구 툴
Download : http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
국내 우수한 보안업체 안랩에서도 아래와 같은 복구툴을 공개하였습니다.
- 크립트엑스엑스엑스(CryptXXX) 3.x 버전, 2.x 버전,
- 나부커(Nabucur)
- 테슬라크립트(TeslaCrypt)의 일부
※ 랜섬웨어 예방툴
안랩의 랜섬웨어 피해 예방을 위한 7대 보안 수칙
1. 백신 소프트웨어를 설치하고, 엔진 버전을 최신 버전으로 유지
2. 운영체제, 브라우저 및 주요 애플리케이션의 최신 보안 업데이트 적용
3. 발신자가 명확하지 않은 이메일에 포함된 의심스러운 파일 실행 자제
4. 보안이 취약한 웹사이트 방문 자제
5. 업무 및 기밀 문서, 각종 이미지 등 주요 파일의 주기적인 백업
6. 중요 파일을 PC외에 외부 저장 장치를 이용한 2차 백업
7. 중요 문서에 대해서 ‘읽기 전용’ 설정
예방법으로 여러 매체에서 백신 최신화 등 방법을 안내하고 있지만 신종 및 변종일 경우는 쉽지 않아 보입니다. 가장 좋은건 6번의 중요한 파일은 별도의 USB 등의 저장 매체에 백업하는 것이 좋은거 같습니다.
이 방법 외 랜섬웨어 예방 툴이 있어 몇 가지를 소개합니다.
- 앱체크(AppCheck)
체크멀(주)에서 제공하는 안티랜섬웨어 툴입니다. 개인 사용자는 무료입니다.
https://www.checkmal.com/page/product/appcheck/
- 하우리 RansomProtector
록키(Locky), 크립트엑스엑스엑스(CryptXXX)랜섬웨어 예방해주는 하우리 툴입니다.
http://www.hauri.co.kr/Ransomware/
- 발자국 v3.0
한국랜섬웨어대응센터에서 제공하는 파일로 개인은 무료인거 같습니다.
https://www.rancert.com/barzakook.php
위의 예방툴은 아직 사용해 보지 않아서 테스트하면 후기를 갱신해 보겠습니다.
※ 참고사이트
- 한국랜섬웨어 침해대응센터 : 사설기관, 이노티움과 명정보기술이 합작으로 개설
https://www.rancert.com/index.php
- 랜섬웨어 복구 프로그램 종류와 원리
http://story.malwares.com/82
- 하우리 랜섬웨어 정보센터
http://www.hauri.co.kr/Ransomware/
- 매경 : 몸값(Ransom)을 요구하는 최악의 악성코드 랜섬웨어란?
http://premium.mk.co.kr/view.php?no=15116
- 랜섬웨어 복구프로그램 모음(3가지)
http://freeroute.tistory.com/134
- 안랩, 랜섬웨어 예방 '보안 수칙' 간단히 따라하기
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq=24298
※ List of Known Ransomware Families
- 출처 : http://www.trendmicro.com/vinfo/us/security/definition/ransomware
Family
Name
|
Aliases
|
Description
|
ACCDFISA
|
Anti
Cyber Crime Department of Federal Internet Security Agency Ransom
|
First
spotted early 2012; Encrypts files into a password-protected; Cybercriminals
behind this ransomware asks payment thru Moneypak, Paysafe,
or Ukash to restore the files and unlock the screen; Known
as a multi-component malware packaged as a self-extracting (SFX) archive; May
come bundled with third party applications such as Sdelete and WinRAR
|
ANDROIDOS_LOCKER
|
|
First
mobile ransomware spotted; Uses Tor, a legitimate service that allows
anonymous server connections; Users with mobile devices affected by this
malware may find the files stored in their mobile device rendered useless and
held for ransom
|
CRIBIT
|
BitCrypt
|
Similar
to CRILOCK with its use of RSA-AES encryption for target files; Version 1
uses RSA-426; Version 2 uses RSA-1024; Appends the string bitcryp1 (for
version 1) and bitcrypt2 (for version 2) to the extension
name of the files it encrypts
|
CRILOCK
|
CryptoLocker
|
Employs
Domain Generation Algorithm (DGA) for its C&C server connection; October
2013 - UPATRE was found to be the part of the spam mail that downloads ZBOT,
which further downloads CRILOCK
|
CRITOLOCK
|
Cryptographic
locker
|
Uses
advanced encryption standard (AES-128) cryptosystem; The word Cryptolocker is
written in the wallpaper it uses to change an affected computer's wallpaper
|
CRYPAURA
|
PayCrypt
|
Encrypts
files and appends the corresponding email address contact for file
decryption; PayCrypt version appends .id-{victim ID}-paycrypt@aol.com to
files it encrypts
|
CRYPCTB
|
Critroni,
CTB Locker, Curve-Tor-Bitcoin Locker
|
Encrypts
data files; Ensures there is no recovery of encrypted files by deleting its
shadow copies; Arrives via spam mail that contains an attachment, actually a
downloader of this ransomware; Uses social engineering to lure users to open
the attachment; Uses Tor to mask its C&C communications
|
CRYPDEF
|
CryptoDefense
|
To
decrypt files, it asks users to pay ransom money in bitcoin currency
|
CRYPTCOIN
|
CoinVault
|
Encrypts
files and demands users to pay in bitcoin to decrypt files; Offers a one-time
free test to decrypt one file
|
CRYPTFILE
|
|
Uses
unique public key generated RSA-2048 for file encryption and also asks users
to pay 1 bitcoin to obtain private key for decrypting the files
|
CRYPWALL
|
CryptoWall,
CryptWall, CryptoWall 3.0, Cryptowall 4.0
|
Reported
to be the updated version of CRYPTODEFENSE; Uses bitcoin currency as mode of
payment; Uses Tor network for anonymity purposes; Arrives via spam mail,
following UPATRE-ZBOT-RANSOM infection chain; CryptoWall 3.0 comes bundled
with FAREIT spyware; Cryptowall 4.0 encrypts file name of files it encrypts
and follows an updated ransom note, it also comes from spam as a JavaScript
attachment, and may be downloaded by TROJ_KASIDET variants
|
CRYPTROLF
|
|
Shows
troll face image after file encryption
|
CRYPTTOR
|
|
Changes
the wallpaper to picture of walls and asks users to pay the ransom
|
CRYPTOR
|
batch
file ransomware
|
Arrives
thru DOWNCRYPT; A batch file ransomware capable of encrypting user files
using GNU Privacy Guard application
|
DOWNCRYPT
|
batch
file ransomware
|
Arrives
via spam email; Downloads BAT_CRYPTOR and its components such as a decoy
document
|
VIRLOCK
|
VirLock,
VirRansom
|
Infects
document files, archives, and media files such as images
|
PGPCODER
|
|
Discovered
in 2005; first ransomware seen
|
KOLLAH
|
|
One of
the first ransomware that encrypts files using certain extension names;
Target files include Microsoft Office documents, PDF files, and other files
deemed information-rich and relevant to most users; Adds the string GLAMOUR to
files it encrypts
|
KOVTER
|
|
Payload
of the attack related to YouTube ads that lead to the Sweet Orange exploit
kit
|
MATSNU
|
|
Backdoor
that has screen locking capabilities; Asks for ransom
|
RANSOM
|
|
Generic
detection for applications that restrict the users from fully accessing the
system or encrypts some files and demands a ransom in order
to decrypt or unlock the infected machine
|
REVETON
|
Police
Ransom
|
Locks
screen using a bogus display that warns the user that they have violated
federal law; Message further declares the user's IP address has been
identified by the Federal Bureau of Investigation (FBI) as visiting websites
that feature illegal content
|
VBUZKY
|
|
64-bit
ransomware; Attempts to use Shell_TrayWndinjection; Enables
TESTSIGNING option of Windows 7
|
CRYPTOP
|
Ransomware
archiver
|
Downloads
GULCRYPT and its components
|
GULCRYPT
|
Ransomware
archiver
|
Archives
files with specific extensions; Leaves a ransom text file containing the
instructions on who to contact and how to unpack the archives containing
user's files
|
CRYPWEB
|
PHP
ransomware
|
Encrypts
the databases in the web server making the website unavailable; Uses HTTPS to
communicate with the C&C server; Decrypt key is only available in the
C&C server
|
CRYPDIRT
|
Dirty
Decrypt
|
First
seen in 2013 before the emergence of Cryptolocker
|
CRYPTORBIT
|
|
Detection
for images, text, and HTML files which contain ransom notes that are
indicators of compromised (IOC)
|
CRYPTLOCK
|
TorrentLocker
|
Poses as
CryptoLocker; newer variants displaycrypt0l0cker on the affected
computer; uses a list of file extensions that it avoids encrypting, compared
to usual ransomware that uses a list of file extensions to encrypt - this
allows CRYPTLOCK to encrypt more files while making sure the affected
computer still runs, ensuring users know that their files are encrypted and
access to the Internet to pay the ransom is still present
|
CRYPFORT
|
CryptoFortress
|
Mimics
TorrentLocker/CRYPTLOCK user interface; Uses wildcards to search for file
extensions; encrypts files in shared folders
|
CRYPTESLA
|
TeslaCrypt
|
User
interface is similar to CryptoLocker; encrypts game-related files; Versions
2.1 and 2.2 appends encrypted files with .vvv and .ccc; Version 3.0 has an
improved encryption algorithm and appends .xxx, .ttt, and .mp3 to files it
encrypts
|
CRYPVAULT
|
VaultCrypt
|
Uses
GnuPG encryption tool; downloads hacking tool to steal credentials stored in
web browsers; uses sDelete 16 times to prevent/hinder recovery of files; has
a customer support portal; is a batch script crypto-ransomware
|
CRYPSHED
|
Troldesh
|
First seen
in Russia; added English translation to its ransom note to target other
countries; aside from appending .xtbl to the file name of the encrypted
files, it also encodes the file name, causing affected users to lose track of
what files are lost
|
SYNOLOCK
|
SynoLocker
|
Exploits
Synology NAS devices' operating system (DSM 4.3-3810 or earlier) to encrypt
files stored in that device; has a customer support portal
|
KRYPTOVOR
|
Kriptovor
|
Part of a
multi-component infection; aside from its crypto-ransomware component, it has
an information stealing component that steals certain files, processes list,
and captures desktop screenshot; uses an open source Delphi library
called LockBox 3 to encrypt files
|
CRYPFINI
|
CryptInfinite,
DecryptorMax
|
Arrives via
spam with macro attachment, the spam mail usually pretends to be a job
application linked to a Craigslist post; Appends .crinf files
|
CRYPFIRAGO
|
|
Uses
Bitmessage for communication with its creators; Appends .1999 or .bleep to
files it encrypts
|
CRYPRADAM
|
Radamant
|
May
arrive via exploit kits; Appends .rdm to files it encrypts
|
CRYPTRITU
|
Ransom32
|
Known as
the JavaScript ransomware
|
CRYPBOSS
|
CrypBoss
|
Appends
.crypt to files it encrypts
|
CRYPZUQUIT
|
Zuquitache,
Fakben
|
Known as
the ransomware-as-a-service (RaaS) malware
|
CRYPDAP
|
PadCrypt
|
Has live
chat support for affected users; Arrives via spam
|
CRYPHYDRA
|
HydraCrypt
|
Based on
leaked source code of CrypBoss; Arrives via spam
|
LOCKY
|
Locky
|
Renames
encrypted files to hex values; Appends .locky to files it encrypts; Arrives
via spam with macro-embedded .DOC attachment, similar to the arrival of
DRIDEX malware
|
CERBER
|
Cerber
|
Encrypts
the file name and appends it with .cerber; Drops a .VBS file that makes the
computer speak to the victim
|
CRYPSAM
|
SAMSAM
|
Uses
exploits on JexBoss open source server application and other Java-based
application platforms to install itself in targeted Web application servers
|
PETYA
|
Petya
|
Causes
blue screen and displays its ransom note at system startup
|
WALTRIX
|
CRYPTXXX,
WALTRIX, Exxroute
|
Arrives
as a .DLL file; Distributed by the Angler Exploit Kit; Locks screens and
encrypts all files; Appends the extension .crypt
|
CRYPSALAM
|
Salam
|
Encrypts
files and drops a ransom note formatted as
{month}-{day}-{year}-INFECTION.TXT; Asks the users to contact the ransomware
creator via email to decrypt the files
|