CryptoWall Decrypter 구매를 요구하는 랜섬웨어(Ransomware) 주의

PC에 존재하는 사진, 음악, 문서, 동영상, 인증서 등의 정상적인 파일을 암호화하여 돈을 요구하는 CryptoWall 랜섬웨어(Ransomware)에 감염되는 사례에 대해 살펴보도록 하겠습니다.

• 한국형 랜섬웨어(Ransomware) Crypt0L0cker 악성코드 감염 주의 (2015.4.21)

• cab 첨부 파일이 포함된 CTB-Locker 랜섬웨어(Ransomware) 이메일 주의 (2015.4.22)

일반적으로 Trojan.Cryptowall 랜섬웨어(Ransomware)는 스팸 메일 첨부 파일, 취약점(Exploit)을 이용한 변조된 웹 사이트 접속, 악성 광고 배너를 통한 Malvertising, 다른 악성코드 감염을 통한 추가 감염 방식 등의 다양한 유포 방식으로 사용자 몰래 감염이 이루어집니다.

 

성공적으로 감염이 이루어진 경우 자동으로 다양한 파일을 암호화한 후 Windows 부팅시 restore_files_tkcdy.txt 문서를 통해 감염 사실을 사용자에게 통지하여 제시된 결제 사이트로 접속하도록 유도합니다.(※ 결제 사이트는 일반 웹 사이트 및 Tor 기반 사이트로 다양하게 제공하고 있습니다.)

결제 사이트에서는 언어 선택 및 제시된 캡차(CAPTCHA) 코드를 입력하여 접속하도록 제작되어 있습니다.

연결된 웹 사이트에서는 암호화된 파일을 복호화하기 위해서는 정해진 기간(7일, 168시간) 내에 결제할 경우에는 $500를 요구하고 있으며, 해당 기간이 경과한 경우에는 $1,000를 지불해야한다고 밝히고 있습니다.

 

특히 사용자가 암호화된 파일을 복호화할 수 있다는 것을 증면하기 위해 512KB 파일 용량 이하의 파일(1개)를 업로드할 경우 무료로 암호를 해제해 주는 서비스까지 제공하고 있습니다.

결제를 위해서는 비트코인(Bitcoin) 가상 화폐 방식으로 진행되며 성공적으로 결제가 이루어진 경우 CryptoWall Decrypter 프로그램을 제공하는 것으로 보입니다.

 

CryptoWall 랜섬웨어(Ransomware)는 감염된 PC에 공개키(Public Key)를 저장하고 공격자 서버에 개인키(Private Key)를 저장하는 RSA-2048 알고리즘 암호화 방식을 사용하고 있으며, 돈을 지불할 경우 암호화된 모든 파일을 복호화해주는 방식입니다.

 

• Cryptolocker 랜섬웨어(Ransomware)로 암호화된 파일 무료 복구 서비스 (2014.8.7)

현재는 서비스가 종료된 CryptoWall 랜섬웨어(Ransomware)와 유사한 Crytolocker의 경우에도 일부 복구가 가능했던 이유도 공격자 서버를 경찰에서 압수하여 저장되어 있던 개인키(Private Key)를 확보할 수 있었기 때문입니다.

 

그러므로 강력한 RSA-2048 암호화 알고리즘을 사용하는 CryptoWall 랜섬웨어(Ransomware)는 감염이 이루어지지 않도록 사전 예방하는 것이 가장 중요하며, 공격자 역시 지속적인 변종(CryptoWall 3.0)을 개발하여 발전해가고 있습니다.(※ 복호화 방식이 개발되면 공격자는 암호화 방식을 변경합니다.)

BitDefender 보안 업체의 경우에는 가장 활발하게 활동하는 CryptoWall, CTB-Locker 랜섬웨어(Ransomware)에 의해 파일 암호화를 시도할 경우 차단할 수 있는 BitDefender Anti-Ransomware (AntiCryptoWall) 보안 솔루션을 제공하고 있습니다.

 

하지만 이런 전용 보안 솔루션 역시 1~2종의 랜섬웨어(Ransomware)에 한하여 제한적으로 시스템을 보호할 수 있으며, 업체에서는 다양한 보호 기능을 제공하는 보안 제품 사용을 권장하고 있습니다.

 

위와 같은 랜섬웨어(Ransomware) 감염을 사전에 예방하기 위해서는 다음과 같은 보안 수칙을 반드시 지켜서 소중한 자료를 보호하시기 바랍니다.

 

첫 번째로 Windows 운영 체제, 웹 브라우저(Internet Explorer, Chrome, Mozilla Firefox), Adobe Flash Player, Oracle Java, MS Silverlight와 같은 소프트웨어의 취약점(Exploit)을 이용하여 웹 사이트 접속시 자동으로 악성코드에 감염시킬 수 있으므로 항상 최신 버전을 사용하는 습관을 가지시기 바랍니다.

 

만약 프로그램 업데이트를 제대로 하지 못할 경우에는 ALYac Exploit Shield, Malwarebytes Anti-Exploit, ViRobot APT Shield와 같은 취약점(Exploit) 차단 솔루션을 백신 프로그램과 함께 사용하시길 권장합니다.

 

두 번째로 스팸 메일 첨부 파일 또는 내부 링크(URL)를 함부로 실행하여 감염되는 일이 없도록 하시기 바랍니다.

 

마지막으로 타 악성코드 감염을 통해 추가적인 랜섬웨어(Ransomware) 감염이 연결될 수 있으므로 항상 실시간 감시 기능을 제공하는 보안 제품을 사용하시기 바라며, 일부 불법 소프트웨어(Crack, Game, Keygen) 사용 과정에서 감염될 수 있으므로 신뢰할 수 없는 파일 실행시 주의하시기 바랍니다.

 

[관련글 보기]

 

☞ TorLocker 랜섬웨어(Ransomware)로 암호화된 파일 복구툴 : ScraperDecryptor (2015.4.11)

 

☞ PClock2 랜섬웨어(Ransomware)로 암호화된 파일 복구툴 : Emsisoft Decrypter for PClock2 (2015.4.16)

 

☞ CoinVault 랜섬웨어(Ransomware) 파일 복구툴 : CoinVault Decryption (2015.5.1)

 

☞ TeslaCrypt 랜섬웨어(Ransomware) 파일 복구툴 : Talos TeslaCrypt Decryptor (2015.5.25)