랜섬웨어는 피해자의 파일을 암호화하고 복호화 키를 대가로 몸값을 요구하는 바이러스입니다. 가장 많이 유포되고 있는 랜섬웨어는 Megnever 랜섬웨어이며 2021년 9월에 처음 등장했고 STOP/DJVU 랜섬웨어의 변종으로 확인되었습니다.
랜섬웨어는 무엇인가요?
랜섬웨어는 일반적으로 스팸 이메일, 첨부 파일 또는 소프트웨어 크랙이나 무료 영화 파일, 무료 게임 파일등을 통해 유포 되고 있습니다. 이용하시는 기기에 랜섬웨어가 감염되면 AES-256 및 RSA-2048 암호화 알고리즘을 조합하여 문서, 이미지, 동영상, 아카이브 등 다양하고 중요한 파일들을 암호화하여 몸값을 요구하고 있습니다.
Megnever 랜섬웨어는 파일을 암호화한 후 상황을 바탕화면으로 텍스트로설명하는 구조를 띄고 있습니다. 암호화폐(보통 비트코인)로 몸값 지불을 요구하는 텍스트 파일 형식의 몸값 메모장을 생성 시킨 후 확인하게 만듭니다. 이 메모는 결제 방법과 공격자에게 연락하는 방법에 대한 지침도 제공하고 있으며, 대부분 제한된 시간을 알려주고 공포심을 유발합니다.
Megnever 랜섬웨어로부터 보호하려면 이용하시는운영 체제와 소프트웨어 및 보안프로그램을 최신 업데이트 상태로 유지하고, 신뢰할 수 있는 바이러스 백신 프로그램을 사용하고, 의심스러운 이메일이나 첨부 파일을 열지 않으며 가장 효과적인 방법은 초기화 후에도 쉽게 복구 할 수 있도록 백업을 해두시는게 좋습니다.
돈을 내면 해결 되나요?
안됩니다.
암호화된 파일의 잠금을 해제하는 데 필요한 암호 해독 키에 대한 대가로 몸값 지불을 요구하고 있습니다만 일반적으로 수백 달러에서 수천 달러에 이르며 대부분 비트코인 또는 기타 암호화폐로 지불해야 합니다.
그러나 공격자에게 몸값을 지불한다 하더라도 공격자가 암호 해독 키를 제공할 것이라는 보장이 없습니다. 몸값을 지불하는 것은 사이버 범죄자가 악의적인 활동을 계속할 수 있도록 도움을 주는 셈이며, 아무런 해결책이 되지 못합니다. 이런 요구금을 지불하는 것은 바람직하지 않습니다. 또한 몸값을 지불하면 불법 활동에 자금을 지원하고 더 발전되고 위험한 랜섬웨어 변종의 개발을 지원합니다.
랜섬웨어는 어떻게 걸리나요?
대부분 이용자들에게 무언가를 직접 제공하고 이용자들이 그것을 받아 실행시켰을 때 작동됩니다.
이메일 첨부 파일
랜섬웨어는 간혹가다가 가짜 청구서, 이용 영수증 및 또는 택배 알림 메세지와 같은 내용을 이메일을 통해 첨부 파일로 삽입하여 배포됩니다. 연말정산 및 내역서, 그리고 회사메일로도 계획서 및 문서형태로 배포되고 있습니다.
소프트웨어 크랙
Megnever 랜섬웨어는 소프트웨어 크랙이나 불법 복제 소프트웨어 다운로드에 숨겨져서 배포됩니다. 무료로 이용하고 싶은 소프트웨어를 찾아 인터넷에서 파일을 직접 다운받아 실행시켰을 때 이와 같은 문제가 발생됩니다. 혹은 유료게임을 무료로 진행하고 싶거나 영화를 다운로드하여 시청할때 랜섬웨어에 감염됩니다. 이용자 자신도 모르게 바이러스를 설치하도록 스스로 유도하게 됩니다.
가짜 소프트웨어 업데이트
공격자는 악성 바이러스를 가짜 소프트웨어 업데이트 또는 패치로 위장하여 이용자가 실행시키는 방법을 유도하기도 합니다. 자신의 시스템에 바이러스를 설치하도록 유도하여 손쉽게 랜섬웨어를 감염시킬 수 있습니다.
소프트웨어 취약점 악용
Megnever 랜섬웨어는 소프트웨어 취약점을 이용하여 직접 이용자들에게 접근하는 방식을 이용하기도 합니다. 이용자들의 시스템에 액세스 및 권한 획득을 하고 파일을 암호화 하는 방식을 이용할수도 있습니다. 위 방법 또한 바이러스에 의해 발견됩니다.
랜섬웨어 해결 방법
랜섬웨어에 의해 파일이 암호화가 되었을 때 복구를 시도하는 것은 굉장히 힘들고 시간이 오래걸리는 일입니다. 그래도 이용자 스스로 혹은 누군가의 도움을 빌려 파일을 복구하는 방법은 존재합니다.
백업에서 복원
랜섬웨어 감염이 되기 전에 파일을 복구하기 위해서 미리 백업을 주기적으로 하는 것을 추천드립니다. 훌륭한 예방법이 될 수 있으며 이로 인해 랜섬웨어 해결이 아니더라도 다양한 파일 손상을 해결할 수 있으며, OS상에서 제공하는 백업이아닌 클라우드 서비스에 중요 파일들을 보관하는것도 좋은 해결법입니다.
암호 해독 도구 사용
경우에 따라 보안 연구원이 랜섬웨어로 암호화된 파일을 잠금 해제할 수 있는 암호 해독 도구를 개발한 경우는 존재합니다. 종류에 따라 그에 맞는 해결프로그램을 제공하고 있으며, 국내 보안업체나 KISA에서 제공하는 보안프로그램을 이용하는 방법이 있습니다. 그러나 100% 장담은 하지 못합니다.
데이터 복구 서비스 제공업체에 도움 요청
랜섬웨어 공격으로부터 데이터 복구를 전문업체의 도움을 받을 수 도 있습니다. 평판이 좋은 데이터 복구 서비스 제공업체의 지원을 요청할 수 있으나, 사기업체는 반드시 주의하셔야 합니다. 이용하시는 기기의 제조사를 통한 공식 서비스 센터가 존재한다면 반드시 먼저 방문하시고, 사설업체는 되도록이면 피하시길 바랍니다. 국내에는 사기 업체들이 많습니다. 제대로 된 서비스업자들은 암호화된 파일을 복구하기 위한 툴 및 기술을 보유하고 있을 수 있습니다.
바이러스 치료 프로그램
이용자들은 대부분 백신 프로그램으로 인해 시스템에서 감염된 랜섬웨어를 제거할 수 있습니다. 효과적인 제거를 위해서는 들어보지 못한 백신프로그램 보다는 국내에 유명한 보안 업체들이 개발한 보안프로그램을 이용하시는 것이 중요합니다.
복구툴은 존재한다
KISA(한국인터넷진흥원)는 랜섬웨어 공격을 받은 피해자가 암호화된 파일을 복구할 수 있도록 설계된 랜섬웨어 복구 도구인 K-RaaS(KISA Ransomware Attack Recovery Solution)를 개발했습니다.
KISA에 따르면 K-RaaS는 메가코텍스, 류크, 갠드크랩, 워너크라이 등 다양한 형태의 랜섬웨어로 암호화된 파일을 복호화할 수 있다고 표현하였으며, 이 도구는 랜섬웨어 코드 분석, 암호화 키 식별, 백업 복사본에서 파일 복원 등 다양한 방법을 사용하여 파일을 복구하고 있습니다.
K-RaaS는 경우에 따라 도움이 될 수 있지만 그 효과는 랜섬웨어의 특정 변종과 사용된 암호화 방법에 따라 다를 수 있으며, 전문가의 도움이 필요할 수 있습니다. 랜섬웨어 종류에 따라 대처방법이 다르고 종류를 구분하기 위한 정확한 판단이 필요합니다. 또한 K-RaaS는 항상 모든 암호화된 파일을 복구할 수 있는 것은 아니며 데이터 손실 또는 손상의 위험이 항상 있습니다.