파일 암호화를 통해 비트코인(Bitcoin)과 같은 암호 화폐를 요구하는 랜섬웨어(Ransomware)는 2015~2016년경을 기점으로 활발하게 피해를 주고 있는 대표적인 악성코드의 한 종류가 되었습니다.
그런데 일부 랜섬웨어 피해자의 경우 자신이 언제 피해를 당했는지 제대로 인지하지 못하는 경우가 있는데, 피해를 당한 상태에서 가장 빠르게 랜섬웨어가 동작한 시간대를 유추할 수 있는 방법을 알아보도록 하겠습니다.
1. 암호화된 파일의 수정한 날짜로 유추하기
일반적으로 대다수의 랜섬웨어는 파일 암호화가 이루어진 경우 다음과 같은 패턴으로 변경을 하는 경향이 강합니다.
<원본 파일명>.<원본 확장명>.<암호화 확장명>
<원본 파일명>.<암호화 확장명>
<Random 파일명>.<암호화 확장명>
위와 같이 암호화된 파일은 원본 파일 확장명 뒤에 추가적인 확장명을 포함시켜서 암호화된 파일을 피해자가 쉽게 눈으로 확인할 수 있도록 합니다.
물론 일부 랜섬웨어는 <원본 파일명>.<원본 확장명> 형태로 이전과 동일하게 유지하는 경우도 있지만 공격자 입장에서는 빠르게 랜섬웨어 피해를 인지하여 돈을 지불하게 만드는게 목적이므로 확장명을 추가하는 랜섬웨어가 대다수입니다.
이렇게 파일 암호화가 이루어진 경우 Windows 탐색기를 통해 확인할 때 보기 형태를 "자세히"로 설정할 경우 "수정한 날짜"를 확인할 수 있으며, 해당 날짜 및 시간이 파일 암호화가 이루어진 시간을 의미합니다.
이것 역시 매우 드물지만 일부 랜섬웨어는 암호화된 파일의 수정한 날짜를 원본 파일이 가지고 있던 날짜 그대로 유지하는 경우가 있습니다.
2. 랜섬웨어 메시지 파일의 수정한 날짜로 유추하기
대다수의 랜섬웨어는 파일 암호화와 동시에 각 폴더 또는 특정 위치(바탕 화면 등)에 금전 요구 메시지를 생성하여 돈을 지불하는 방법 등에 대한 안내를 합니다.
랜섬웨어 피해를 당한 상태에서 암호화된 파일의 수정한 날짜로 추정할 수 없는 조건이라면 해당 메시지 파일을 찾아서 수정한 날짜를 확인하면 100% 파일이 생성된 시점이 랜섬웨어가 파일 암호화를 진행한 시간과 일치합니다.
특히 일부 랜섬웨어는 파일 암호화 완료 이후 자동 삭제를 통해 랜섬웨어 악성 파일을 삭제 처리하지만 간혹 PC에 악성 파일(.exe)을 그대로 유지하여 Windows 부팅 시마다 자동 실행하게 하는 경우도 있습니다.
이런 랜섬웨어 악성 파일까지 함께 찾을 수 있다면 랜섬웨어가 최초 PC에 저장되는 시점(수정한 날짜)까지도 유추할 수 있습니다.
이렇게 확인된 날짜와 시간을 기준으로 당시에 PC 사용을 하면서 사용자가 어떤 작업을 하였는지를 통해 감염 원인을 추정할 수 있으며, 만약 PC 사용을 하지 않은 야간 시간에 자동으로 실행되었다면 원격 데스크톱(RDP)을 활성화하고 사용하고 있었는지 확인하여 공격자가 원격으로 몰래 접속하여 랜섬웨어를 실행하였을 가능성에 대해서도 주의를 기울여야 할 것입니다.