일반적으로 알려진 랜섬웨어(Ransomware) 악성코드는 감염된 PC에 존재하는 파일 중 20~60종의 파일 확장자에 대한 암호화를 통해 정해진 기간 안에 돈을 지불할 경우 암호를 해제해 주는 방식으로 제작되어 있습니다.
하지만 2015년 1월 초 해외에서 보고된 CryptoLocker 랜섬웨어(Ransomware)를 모방한 PClock 랜섬웨어(Ransomware)는 2,583종의 파일 확장자에 대한 암호화를 통해 돈을 요구하는 하며 현재는 PClock2 변종이 출현한 상태입니다.
이에 최근 보안 업체에서는 일부 랜섬웨어(Ransomware)에 대한 분석을 통해 돈을 지불하지 않고 파일을 복구할 수 있는 복구툴을 제작하여 배포하고 있으며, Emsisoft 보안 업체에서는 "Emsisoft Decrypter for PClock2" 복구툴을 통해 PClock 랜섬웨어(Ransomware)에 대한 복구를 지원하고 있습니다.
PClock2 랜섬웨어(Ransomware)에 감염이 이루어진 경우는 시스템 시작시 자동 실행되도록 자신을 다음과 같은 시작 프로그램(WinCL)에 등록합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- WinCL = "C:\Users\(사용자 계정)\AppData\Roaming\WinCL\WinCL.exe"
또는
- WinCL = "C:\Users\(사용자 계정)\AppData\Roaming\WinDsk\windsk.exe"
또한 "HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CLOCK" 레지스트리 값 영역에 비트코인(Bitcoin) 결제 주소와 같은 세부적인 정보를 저장합니다.
- C:\Users\(사용자 계정)\AppData\Roaming\WinCL\WinCL.exe (= C:\Users\(사용자 계정)\AppData\Roaming\WinDsk\windsk.exe) :: 악성코드 실행 파일
- C:\Users\(사용자 계정)\AppData\Roaming\WinCL\*****.jpg :: 변경되는 바탕 화면 사진
- C:\Users\(사용자 계정)\Desktop\CryptoLocker.lnk :: 악성코드 실행 바로가기 아이콘
- C:\Users\(사용자 계정)\enc_files.txt :: 암호화된 파일 목록
위와 같은 파일 생성을 통해 감염된 시스템에서 발견될 수 있는 2,500여종의 파일에 대해 RC4 알고리즘을 이용하여 랜덤(Random)한 키를 사용하여 파일 암호화를 수행하며, 바탕 화면에 다음과 같은 경고창을 생성합니다.
특히 파일 암호화를 진행한 후에는 Windows 운영 체제에서 지원하는 원본 파일의 복사본(이전 버전 : Previous Version)을 모두 삭제하여 복원할 수 없도록 처리합니다.
*.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.h, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.indd, *.jpe, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.srf, *.srw, *.wb2, *.wpd, *.wps, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx
생성된 CRYPTOLOCKER 경고창에서는 중요한 사진, 비디오, 문서 등의 파일이 암호화되었으며, PC에 설치된 백신 프로그램에 의해 악성코드가 삭제된 경우 결제를 위한 창이 생성되지 않으므로 검역소에서 악성 파일을 복구 및 백신 프로그램을 비활성화한 후 악성 파일을 실행하도록 안내하고 있습니다.
결제를 시도할 경우 그림과 같은 창이 생성되어 비트코인(Bitcoin) 가상 화폐를 통해 결제를 유도하고 있으며, 기본적으로 정해진 시간(3일) 내에 결제를 하지 않을 경우 복호화에 필요한 키를 삭제한다고 협박을 합니다.
하지만 분석에 따르면 정해진 시간이 경과하면 last_chance.txt 파일을 표시하여 추가적인 악성 파일 다운로드를 통해 또 다시 3일의 기간 내에 결제할 수 있는 기회를 주는 방식으로 사용자에게 결제를 유도하는 것으로 알려져 있습니다.
PClock2 랜섬웨어(Ransomware) 복구툴 다운로드 : Emsisoft Decrypter for PClock2
이에 따라 Emsisoft 보안 업체에서 제공하는 Emsisoft Decrypter for PClock2 무료 복구툴을 사용하여 PClock 랜섬웨어(Ransomware)에 감염된 사용자는 파일을 복구할 수 있으며, 복구가 이루어지지 않을 경우에는 업체에 문의(지원 포럼, 이메일)를 하면 복구툴 업데이트를 통해 수정이 이루어지고 있는 것으로 판단됩니다.
위와 같이 운이 좋아 일부 랜섬웨어(Ransomware)에 대한 복구툴이 공개되고 있지만 제대로 만들어진 랜섬웨어(Ransomware)의 경우에는 기술적으로 복호화 키가 없는 경우 복구 자체가 불가능할 수 있으므로 중요한 자료는 기기와 연결되어 있지 않는 상태로 보관되는 저장 매체에 주기적으로 백업을 하는 습관이 가장 중요하다는 사실을 명심하시기 바랍니다.