본문 바로가기

벌새::Security

CryptoWall Decrypter 구매를 요구하는 랜섬웨어(Ransomware) 주의

PC에 존재하는 사진, 음악, 문서, 동영상, 인증서 등의 정상적인 파일을 암호화하여 돈을 요구하는 CryptoWall 랜섬웨어(Ransomware)에 감염되는 사례에 대해 살펴보도록 하겠습니다.

일반적으로 Trojan.Cryptowall 랜섬웨어(Ransomware)는 스팸 메일 첨부 파일, 취약점(Exploit)을 이용한 변조된 웹 사이트 접속, 악성 광고 배너를 통한 Malvertising, 다른 악성코드 감염을 통한 추가 감염 방식 등의 다양한 유포 방식으로 사용자 몰래 감염이 이루어집니다.

 

성공적으로 감염이 이루어진 경우 자동으로 다양한 파일을 암호화한 후 Windows 부팅시 restore_files_tkcdy.txt 문서를 통해 감염 사실을 사용자에게 통지하여 제시된 결제 사이트로 접속하도록 유도합니다.(※ 결제 사이트는 일반 웹 사이트 및 Tor 기반 사이트로 다양하게 제공하고 있습니다.)

결제 사이트에서는 언어 선택 및 제시된 캡차(CAPTCHA) 코드를 입력하여 접속하도록 제작되어 있습니다.

연결된 웹 사이트에서는 암호화된 파일을 복호화하기 위해서는 정해진 기간(7일, 168시간) 내에 결제할 경우에는 $500를 요구하고 있으며, 해당 기간이 경과한 경우에는 $1,000를 지불해야한다고 밝히고 있습니다.

 

특히 사용자가 암호화된 파일을 복호화할 수 있다는 것을 증면하기 위해 512KB 파일 용량 이하의 파일(1개)를 업로드할 경우 무료로 암호를 해제해 주는 서비스까지 제공하고 있습니다.

결제를 위해서는 비트코인(Bitcoin) 가상 화폐 방식으로 진행되며 성공적으로 결제가 이루어진 경우 CryptoWall Decrypter 프로그램을 제공하는 것으로 보입니다.

 

CryptoWall 랜섬웨어(Ransomware)는 감염된 PC에 공개키(Public Key)를 저장하고 공격자 서버에 개인키(Private Key)를 저장하는 RSA-2048 알고리즘 암호화 방식을 사용하고 있으며, 돈을 지불할 경우 암호화된 모든 파일을 복호화해주는 방식입니다.

 

현재는 서비스가 종료된 CryptoWall 랜섬웨어(Ransomware)와 유사한 Crytolocker의 경우에도 일부 복구가 가능했던 이유도 공격자 서버를 경찰에서 압수하여 저장되어 있던 개인키(Private Key)를 확보할 수 있었기 때문입니다.

 

그러므로 강력한 RSA-2048 암호화 알고리즘을 사용하는 CryptoWall 랜섬웨어(Ransomware)는 감염이 이루어지지 않도록 사전 예방하는 것이 가장 중요하며, 공격자 역시 지속적인 변종(CryptoWall 3.0)을 개발하여 발전해가고 있습니다.(※ 복호화 방식이 개발되면 공격자는 암호화 방식을 변경합니다.)

BitDefender 보안 업체의 경우에는 가장 활발하게 활동하는 CryptoWall, CTB-Locker 랜섬웨어(Ransomware)에 의해 파일 암호화를 시도할 경우 차단할 수 있는 BitDefender Anti-Ransomware (AntiCryptoWall) 보안 솔루션을 제공하고 있습니다.

 

하지만 이런 전용 보안 솔루션 역시 1~2종의 랜섬웨어(Ransomware)에 한하여 제한적으로 시스템을 보호할 수 있으며, 업체에서는 다양한 보호 기능을 제공하는 보안 제품 사용을 권장하고 있습니다.

 

위와 같은 랜섬웨어(Ransomware) 감염을 사전에 예방하기 위해서는 다음과 같은 보안 수칙을 반드시 지켜서 소중한 자료를 보호하시기 바랍니다.

 

첫 번째로 Windows 운영 체제, 웹 브라우저(Internet Explorer, Chrome, Mozilla Firefox), Adobe Flash Player, Oracle Java, MS Silverlight와 같은 소프트웨어의 취약점(Exploit)을 이용하여 웹 사이트 접속시 자동으로 악성코드에 감염시킬 수 있으므로 항상 최신 버전을 사용하는 습관을 가지시기 바랍니다.

 

만약 프로그램 업데이트를 제대로 하지 못할 경우에는 ALYac Exploit Shield, Malwarebytes Anti-Exploit, ViRobot APT Shield와 같은 취약점(Exploit) 차단 솔루션을 백신 프로그램과 함께 사용하시길 권장합니다.

 

두 번째로 스팸 메일 첨부 파일 또는 내부 링크(URL)를 함부로 실행하여 감염되는 일이 없도록 하시기 바랍니다.

 

마지막으로 타 악성코드 감염을 통해 추가적인 랜섬웨어(Ransomware) 감염이 연결될 수 있으므로 항상 실시간 감시 기능을 제공하는 보안 제품을 사용하시기 바라며, 일부 불법 소프트웨어(Crack, Game, Keygen) 사용 과정에서 감염될 수 있으므로 신뢰할 수 없는 파일 실행시 주의하시기 바랍니다.

 

 
  • guard4u 2015.09.05 02:54 댓글주소 수정/삭제 댓글쓰기

    글을 보실련지 모르지만 너무 급해서 글을 써봅니다. 렌섬웨어 크립토월 3.0에 감염되었고 협박문대로 들어가서 돈을 부칠까 하다 시험으로 복호화를 하나에 한 해서 해준다는 걸 해보았는데 안 됩니다. 그럼 제 파일들은 영원히 복구 못 하는 건가요?

    좀 일이 복잡하게 되었는데 길더라도 밑에 글을 좀 읽어주시길 바랍니다. 네이버 지식인에 올린 글입니다.

    -------------------------------------------------------------

    랜섬웨어에 감염됐어요.

    두달전부터 데스크탑이 이상하게 느려지고 악성코드가 치료를 계속해도 발견되길레 한달전에 포맷을 하고 새로 깔려고 포맷을 하니 윈도우 설치가 안되더군요.

    몇 번을 시도해도 (DVD로도 해보고 USB로도 시도 해봤습니다.) MBR이 손상됐다는 얘기만 나오더라구요, MBR복구툴을 노트북에서 받아서 데스크탑 부팅디스크로 쓰던걸 외장하드로 연결을 해서 치료를 해도 마찬가지였습니다. 지식인에 질문을 올리니 누군가 로우 포맷을 하고 다시 시도해보라고 해서 그렇게도 해 봤습니다. (이제 생각하니 그러지 말아야 했는데 무척이나 아쉽습니다. 거기 application data 디렉토리에 뭔가 정보가 있을지도 모르는 일이었는데. 그때는 랜섬웨어는 생각도 못하던 때여서요.) 하여간 아무리 노력을 해도 안돼서 이건 아무래도 메인보드 bios에 바이러스가 걸린것같다라는 생각이 들더군요, 당장은 노트북도 있고 데스크탑도 오래됐고 하니 그냥 새로 나중에 시간되면 하나 사자 하고 놔 뒀습니다.

    데스크탑에는 데이터용으로 하드디스크가 두 개 더 달려있었습니다.

    오늘 그 데이터용 디스크에서 볼 께 있어서 노트북에 연결을 하니 협박문이 들어 있네요. 사진을 비롯한 파일들이 다 잠겨있습니다. 이미 돈을 보내면 암호해제문을 보내준다는 시간은 지나버렸고 어떻게 해야 할 줄 모르겠습니다. (지금 협박문대로 들어가보니 제가 지시한 사이트에 접속한 때부터 시간이 흐르는군요. 하지만 거짓말인거 알기에 보내지는 않을겁니다.)

    우리 가족 10년동안의 모습이 담겨있는 사진들인데 다시 못 본다 생각하니 미칠 것 같습니다. 어떻게 해야 할 지를 모르겠네요.

    인터넷에 가보니 이 곳(http://decryptcryptolocker.com/)에 가면 무료로 해독키를 보내준다고 해서 가봤는데 이미 영업을 종료했더군요.

    파일 확장자는 변함이 없습니다. 파일확장자가 encrypted로 변경이 되어 있었다면 알아차렸을텐데 파일확잗자는 변함이 없네요. jpg와 mp3 ,mp4 그리고 zip파일을 주로 암화화 해놨네요.

    이건 협박문에 따라 가서 본 돈을 부치라는 내용입니다. 돈 부쳐봤자 해독열쇠 못 받는다는 소리 들었기에 보내지는 않을 겁니다.


    캐스퍼 ScraperDecryptor라는 프로그램을 이용도 해봤는데 소용없었습니다. TorrentUnlocker라는 프로그램을 이용해서 키를 추출해도 봤는데 소용없었구요.

    더욱 당황스러운 건 인터넷에 검색을 해 봐도 사람들의 증상은 파일확장자를 변경시킨다는 거였는데 저는 그러지도 않았다는 겁니다.

    랜섬웨어의 변종이 많다는 걸 아는데 제가 걸린게 이름이 뭔지도 모르겠습니다. 이름이라도 알면 해결방법을 좀 더 빨리 찾을 수 있을 거 같은데 말입니다.

    꼭 좀 도와주시기 바랍니다. 부탁드립니다.

    • 1. MBR 손상이 발생한 시스템도 포맷 후 윈도우를 설치할 경우 문제없이 설치가 가능합니다. 그러므로 BIOS에서 부팅 순서를 DVD 또는 USB를 1순위로 올린 후 윈도우 DVD/USB를 넣은 상태에서 부팅을 진행하시면 안내에 따라 포맷 후 윈도우 설치가 이루어집니다.

      2. 일반적으로 랜섬웨어에 감염된 경우에는 거의 확장자명이 변경되는 것으로 알고 있는데 그렇지 않는 경우도 있나 보군요. 또한 랜섬웨어의 특성상 정해진 기간이 지날 경우 2배 이상의 금전을 요구하거나 복호화를 하는데 필요한 비밀키를 서버에서 삭제하여 복구를 못하게 하는 것으로 알고 있습니다.

      3. 현재 공개된 복구 사이트(http://decryptcryptolocker.com)는 더 이상 서비스를 하지 않는 것으로 알고 있습니다. 이런 사이트의 특징은 수사기관을 통해 범죄자 서버를 확보하여 키를 수집하여 복구를 해주는 방식이므로 현재 진행되는 다른 랜섬웨어에서는 전혀 도움이 되지 않습니다.

      4. 랜섬웨어도 종류가 많고 각자의 암호화 알고리즘을 사용하므로 복구가 어려우며, 만약 RSA-2048 방식과 같은 암호화 기법인 경우에는 사실상 돈을 내보지 않고는 해결이 불가능하며 복구 업체에서도 20% 내외의 복구률만 보일 정도로 사실상 어렵습니다.

  • guard4u 2015.09.05 14:24 댓글주소 수정/삭제 댓글쓰기

    자세한 답변 고맙습니다. 글이 길어지지만 추가적인 질문이 있습니다.

    제가 궁금한 건 제 파일을 암호한 녀석들이 제공하는 한 파일에 한해서 자기네들이 복구할 능력이 있다는 걸 보여주는 그 창을 통해 제가 시험삼아 올린 파일(사진파일)이 '성공적으로 복구됐습니다.' 라는 말은 나왔지만 막상 제가 받아서 전혀 복구가 안돼서 볼 수가 없었다는 겁니다.

    그렇다면 암호한 사람들이 만든 복호화 툴로도 완전한 복호화가 이루어지지 않을 수 있다는 얘기인거 같아서 불안합니다. 이게 사실인지요? 돈을 보내도 아니면 혹시나 나중에 범인을 잡아서 키를 압수해서 공개되어 제게 들어와도 이건 복구가 안 될 수 있다는 얘기인가요?



    1번은 님께서 말하신대로 당연히 했는데 그게 안되더군요. 하도 답답해서 메인보드 바이오스를 초기화하기도 했는데 안 됩니다. 하드디스크를 포맷도 하고 로우포맷도 하고 여러가지 프로그램을 써서 MBR을 살려서 했건만 안 됩니다. 당연히 하드디스크 배드섹터로 검사를 했습니다. 없었습니다. 한 열 번중에 한 번은 반쯤 진행되다가 멈쳐버리고 그 다음에 시도하면 다시 MBR손상됐다라는 말 나오고 다시 MBR복구하면 올바른 부팅매체가 없다라는 뭐 이런 비슷한 말 나오며서 아예 부팅조차 안되더군요. 당연히 DVD나 USB가 제일 먼저 부팅순위 1위였고 다른건 혹시나 해서 다 disable로 해놨는데도 저렇게 나오니 어떻게 할 수가 없더군요. 뭐가 문제인지는 모르겠지만 동시 다발적으로 짧은 순간에 많은 악성코드에 감염된 느낌입니다.



    이제는 컴이 문제가 아닙니다. 사진이 문제지. 사진이 마음을 가다듬고 다시 하나하나 보니 2011년 12월 31일까지 찍은 사진만 암호화를 했더군요. 그 후의 사진은 몇 장빼고 비교적 안전합니다. 불행스러운건 집에서 2012년부터는 사진을 거의 안 찍었다는 거고 그 전에 사진들이 대부분이라는 겁니다. 특히나 나이많으신 부모님이 정말 어렵게 시간내고 없는돈 마련해서 가신 베트남 여행 사진은 정말 생각하면 눈물이 자꾸 납니다.

    글이 길어졌는데 제가 묻고 싶은건 이겁니다. 앞에도 썼지만 님은 보안에 관한 걸 전문으로 다루시는 분이니 사례를 알고 싶어서 그럽니다.

    돈을 보내서 복호화 프로그램을 받은 사람들이 사진등의 자료를 복구를 100% 한 경우가 있나요? 해커가 가지고 있는 자체 복호화프로그램이 복불복 식으로 복구를 해 준다면 돈을 부치나 마나 한 거 같은데 - 제가 복구만 된다면 돈을 보내야 겠다는 쪽으로 마음을 굳혔습니다. 떠나보내기에는 너무 소중한 추억이라서.

    님이 쓰신 글중에 이런 문장이 있는데요.

    CryptoWall 랜섬웨어(Ransomware)는 감염된 PC에 공개키(Public Key)를 저장하고 공격자 서버에 개인키(Private Key)를 저장하는 RSA-2048 알고리즘 암호화 방식을 사용하고 있으며, 돈을 지불할 경우 암호화된 모든 파일을 복호화해주는 방식입니다.

    제가 아무생각없이 포맷을 그것도 로우포맷을 한 순간 제 PC에 공개키가 사라지면서 복구할 수 있는 마지막 수단이 사라진 건 지도 알고 싶습니다. 개인키로 암호를 풀 때 공개키도 역시 필요한 건 지 말입니다.

    결국 모든게 사라진다지만 너무나 어처구니 없는 실수로 인해 소중한 것들을 잃었다는 생각을 하니 정말이지 하늘이 무너지는 느낌입니다.

    • 사용자가 분명하게 암호화된 파일을 업로드하여 무료로 복호화해주는 기능을 통해 확인했는지 전혀 풀리지 않는 경우에는 공격자 서버가 닫혀 있을 가능성도 매우 높습니다. 물론 복구해줄 능력 또는 의지가 없어서 사용자를 속일 수도 있습니다.

      MBR 복구 방식은 AhnLab 보안 업체에서 제공하는 http://asec.ahnlab.com/326 게시글을 보시면 FixMBR 영역 복구 방식을 사용해 보시기 바랍니다.

      랜섬웨어 감염자 중 해외 사례의 경우 미국 경찰서가 감염되어 돈을 지불하고 복구를 했다는 언론 보도도 있었으며, 국내에서 돈을 지불하여 해결된 경우도 있는 것으로 알고 있습니다. 하지만 성공한 사례도 있지만 모든 것은 공격자의 의지와 해당 개인키가 저장된 서버가 살아있느냐의 여부에 따라 달라집니다.

      보통 일정 시간이 경과하면 보안 업체, 수사 기관, 통신사의 협조를 통해 서버를 차단하는 경우가 있으므로 돈을 지불하였다고 복구된다는 보장은 전혀 없습니다.

      그리고 이미 포맷을 진행하였다면 복구는 포기하셔야 할지 모릅니다.

  • guard4u 2015.09.05 15:43 댓글주소 수정/삭제 댓글쓰기

    답변 고맙습니다.

    돈을 보내라는 곳에 시험용 복구파일이 정상작동을 안한다고 글을 올렸는데 해커가 대답을 안해주네요.

    포맷은 그 사진이 들어있는 걸 포맷했다는게 아니라 부팅용 디스크를 포맷을 한 것이고 (여기에는 자료는 없었습니다. 있다해도 무의미한 것뿐이어서 없어져도 괜찮은 것들입니다.) 암호화된 파일들은 데이터용으로 쓰던 디스크에 있던 것들입니다.

    이제는 마음을 접어야 할 지도 모르겠다는 생각이 드네요. 너무 빠른 시간안에 이루어진 일이라 사건이 일어났다는 걸 인지하는 데 생긴 충격이 채 가시기도 전에 벌써 포기를 해야 한다는 생각을 하니 마음이 좀처럼 진정이 안되는군요.

    다시 한번 긴 글에 자세한 답변 고맙습니다. 좋은 일만 있으시기를.