랜섬웨어 방지 대국민 행동 요령

​

​​​​​​​

​​​​​​​​​​​​​​​​​​​​​​​​​​​

​

​

​

​


몸값을 뜻하는 Ransom과 제품을 뜻하는 Ware의 합성어이며, 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 인질로 잡아 금전을 요구하는 악성 프로그램을 말한다.

참고로 모바일과 Mac OS에서도 활동한다. 랜섬웨어 종류에 따라 백신 프로그램이 사전에 랜섬웨어의 암호화를 차단하기도 한다.

랜섬웨어에 감염된 컴퓨터

감염되면 CPU 쿨러가 미친듯이 회전하며 파일을 암호화하기 시작한다. 때문에 하드디스크와 메모리 점유율이 급격히 상승하게 된다. 종류에 따라서는 일정한 텀을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다.

더 자세히 설명하자면 파일 목록과 RSA 공개키를 확보하고 각 파일에 AES키를 생성하여 암호화한다. 다만 모든 랜섬웨어가 그런 것은 아니다. TLS에서 볼 수 있듯이 가장 흔한 방식이긴 하지만.

암호화가 모두 완료되기 전에 재부팅하면 랜섬웨어에 걸렸습니다라는 식의 협박 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업된다. 그리고 대부분의 작업을 할 수 없다. 대표적인 증상은 다음과 같다.

중요 시스템 프로그램이 열리지 않는다.
명령 프롬프트,제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능 워드패드(Word Pad), 레지스트리(regedit). 알림 목록[7] 등.
윈도우 복원 시점이 제거되거나 업데이트를 막아버린다.
별도의 다른 악성코드를 심기도 한다.
CPU와 램 사용량이 급격하게 증가하고 파일들이 암호화된다.
암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt파일을 생성한다. 이것은 하위 폴더, 상위 폴더 구분없이 일단 해당 디렉토리의 모든 파일을 암호화하고 난 뒤에 생성하므로 참조할 것.
안티 바이러스가 오작동한다. 혹은 강제로 꺼지거나 삭제된다.
안전모드로 진입할 수 없다.
암호화된 파일을 열 수 없다.
만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화된다.
강제로 이동식 저장장치의 연결을 해제시킨다.
외장하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장하드를 손상시킨다.
재부팅을 할 때마다 랜섬웨어 txt 파일, html 파일이 시작 프로그램 목록에 추가된다.
악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다. 대표적인 경로는 아래를 참조하자. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다.

당연한 사실이지만 연결된 이동식 저장매체 또한 감염된다. 외장하드, USB 메모리, SD카드 등 예외는 없다. 심지어 플로피 디스크도 감염된다. 조심할 것.

이쯤 되면 대략 가정용 컴퓨터로는 버틸 수가 없다! 모든 시스템 접근권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷 익스플로러를 켜서 대응방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참조할 것.

위에 서술된 것은 언제까지나 일부분을 설명한 것이며, 항상 저런 현상인 것은 절대로 아니다. 또한 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물이다. 하지만 파일의 확장자를 바꾸고 암호화하는 것은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것이다.


치료

안티바이러스(바이러스 백신 소프트웨어)에서 랜섬웨어가 탐지되어 차단되었다는 메시지를 보인다면 더 이상의 문제는 없으니 안티바이러스를 통해 시스템 정밀 검사를 실행하고 추후 재발 방지 대책을 세우면 된다.
crypt, vvv, zepto, fun 등이나 알 수 없는 명칭들로 확장자가 변환[10]되고, 랜섬웨어 협박문과 함께 타이머가 보이기 시작한다면 바로 아래 대처법을 시행해야 한다.
이 방법은 안전 모드가 작동이 가능한 경우에만 해당[11]되며, 안전 모드를 복구[12]할 수 없다면 랜섬웨어에 의해 암호화된 파일을 별도의 저장소에 백업하고 감염된 PC에 Windows를 재설치한 후 아래 4번 항목부터 진행해야 한다.
하드디스크의 MBR이 암호화되는 랜섬웨어(페티야/미스차골든아이, 사타나 등) 일 경우 운영체제 진입이 되지 않으므로 별도의 복구 방법을 사용해야 한다.
​

​

랜섬웨어 방지 대국민 행동요령

1. 피시를 켜기 전 네트워크(인터넷)물리적 단절
-랜선뽑기
-와이파이 끄기

2. 피시 전원을 켜고, 피시 보안설정 변경​
-윈도우 방화벽 설정 변경
-파​일공유 기능 차단

3. 피시 인터넷 재 연결 후, 윈도우 운여채제 최신 업데이트 실행
-윈도우 업데이트 실행
-백신 프로그램 업데이트

Window 방화벽에서 smb에 사용되는포트 차단
1)제어판-시스템 및 보안
2) 윈도우 방화벽-고급설정
3) 인바운드 규칙 - 새규칙-포트-다음
4) tcp-특정 로컬 포트-139,445-다음
5)연결차단0다음
6)도메이, 개인,공용체크확인 -다음
7)이름설정 -마침


파일 공유 기능 필요시 -방화벽 설정 복ㄱ수
-윈도우 방화벽에서 smb차단 설정 삭제
1) 제어판-시스템 및 보안 -윈도우 방화벽 -고급설정
2) 인바운드 규칙 -smb차단 -우클릭 후 삭제, 예(y) -재부팅