사용자:So5146/연습장
악성코드로서 사용자의 동의 없이 컴퓨터에 설치되어 내부 파일을 인질로 잡아 금전적인 요구를 하기 때문이다. 일반적으로 윈도우 운영체제가 설치된 PC에서 가장 많이 발생하지만 모바일 환경에서도 발생하며, 맥 OS도 감염될 수 있다.
2017년 5월 12일에는 사상최대 규모의 랜섬웨어 공격이 발생하기도 했다. 2016년 해커들에게 탈취당한 미국국가안보국(NSA)의 해킹 툴을 활용한 "워너크라이(WannaCry)라는 랜섬웨어는 유포 하룻만에 전세계 100여개국 10여만대 이상의 컴퓨터를 감염시키며 전세계를 사이버테러의 공포로 몰아 넣었다.
어원
[편집]랜섬웨어는 악성코드의 일종으로 몸값을 뜻하는 영어 ‘Ransom‘과 소프트웨어(Software)의 합성어이다.
작동원리
[편집]흐름
[편집]- 1. 공격 대상 파일검색
- 2. 파일 암호화
1. 고정키 암호화
2. 다이나믹키 암호화
1. 암호화키 생성
2. 암호화키 서버 전달
- 3. 파일 이동
- 4. 감염 안내 및 복구 방법 메시지 출력
원리
[편집]암호화 알고리즘의 이용이다. 파일 데이터에 암호화 알고리즘을 이용하여 암호화하여 사용할 수 없도록 하는 것이다. 암호화 방식에는 크게 단방향, 양방향 방식이 있다. 당방향 암호화란 한 번 암호화하면 다시 복호화 할 수 없도록 하는 것이다. 양방향 암호화는 암호화한 후 복호화가 가능한 것이다.
최근에는 단순히 홈페이지를 방문만 해도 랜섬웨어에 감염되기도 한다. 일명 ‘드라이브 바이 다운로드(Drive by Download)’ 기법을 이용해서다. 드라이브 바이 다운로드는 공격자가 해당 웹사이트에서 보안이 취약한 점을 노려 악성코드를 숨기고, 이 악성코드를 사용자가 자신도 모르게 내려받아 실행해 감염되는 방식이다.
- 랜선 뽑기 / 와이파이 끄기
- 방화벽 설정 변경
- 모든 소프트웨어는 최신 상태를 유지
- 백신소프트웨어 설치 및 최신버전 유지
- 출처가 불분명한 첨부파일이나, URL은 열람하지 않는다
- 불법 파일공유사이트 이용 시 유의
- 주기적인 백업
- SMB 포트 차단
- SMB 1.0/CIFS 파일 공유 지원 해제
- 알약 워너크라이 예방 조치툴
역사
[편집]랜섬웨어는 1989년 처음 ’조셉 팝’에 의해 대칭형 암호방식을 사용하는 형태로 만들어졌고, 1996년 ‘아담 영’과 ‘모티 융’에 의해 공개키 암호방식을 사용하는 형태로 진화하였다. 제작자들은 처음엔 복호화가 가능한 RSA알고리즘으로 암호화했지만 많은 복구,복원 업체들이 솔루션을 만들어 대항하자 단방향암호화로 랜섬웨어를 제작하기까지 시작하였다.
2013년 금품 지불을 위해 비트코인(Bitcoin) 디지털 통화를 사용하는 CryptoLocker가 출현하고, 2014년 Synology의 NAS를 대상으로 하는 SynoLocker 등의 전파로 또다시 랜섬웨어에 의한 피해가 급증하였다. 2012년 이후 출현한 주요 랜섬웨어로는 Reveton, CryptoLocker, TorrentLocker, Cryptowall 등이 있으며, 보안 소프트웨어 기업 맥아피(McAfee)의 보고에 따르면 2013년 ¼분기에 발견된 랜섬웨어의 수는 25만 개 이상으로, 2012년 1/4분기에 비해 2배 이상 증가하였다.
감염시 증상
[편집]- 주요 시스템 파일이 열리지 않는다.
- CPU와 램 사용량이 급격히 증가한다.
- 백신프로그램이 강제로 종료되거나, 중지. 또는 오류가 지속적으로 발생한다.
- 파일들의 확장명이 변경된다. (예 : 한글파일의 확장자인 hwp 가 hwp.abc 나, adfdw 등과 같이 이상한 확장자로 변경된다. 확장자가 이상한 경우 파일은 열리지 않으며 사용자가 다시 원상태로 돌릴 수 없다.)
- 윈도우 복원시점을 제거한다.
감염경로
[편집]- 신뢰할 수 없는 사이트
- 스팸메일
- sns 서비스
- 광고배너
- P2P 사이트