티스토리 뷰

cs/etc

랜섬웨어와 예방법, 복구절차

ba0bab 2017. 12. 15. 11:33


얼마 전, 워너크라이라는 새로운 랜섬웨어로 인해 세계가 난리가 났다. 그 안에 대한민국도 당연히 포함이 된다.

그렇다면 랜섬웨어는 무엇이며, 워너크라이라는 새로운 랜섬웨어는 무엇이며,

우리들이 예방을 해야 하는 이유들과 방법에 대해 알아보자.

랜섬웨어의 정의

- 랜섬웨어란 몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거 나 데이터를 암호화 하여 파일의 사용을 하지 못하게 하고 금전을 요구하는 나 쁜 프로그램을 말한다.

랜섬웨어가 무엇인지 알았다면, 내 수행평가 문서들과 각종 기밀문서들이 잠겨있는 상황을 생각해보자. 정말 끔찍하다. 사람들은 급한 마음에 돈을 랜섬웨어 개발자에게 주기도 한다.그렇다면 이 나쁜 프로그램은 도대체 어떻게 나의 컴퓨터에 감염이 될까?

랜섬웨어의 감염경로

- 신뢰할 수 없는 사이트

신뢰 할 수 없는 사이트인 경우 단순한 홈페이지 방문만으로도 감염이 가능하 다.

- 스팸메일 및 스피어피싱

출처가 불분명한 이메일의 첨부파일 또는 URL 링크를 통해 악성코드를 유포하 는 사례가 있다.

- 파일공유 사이트

토렌트, 웹하드 등 P2P 사이트를 통해 파일을 다운받고 이를 실행할 경우, 악성 코드에 감염될 수 있다.

- 사회관계망서비스(SNS)

페이스북, 링크드인 등 sns에 올라온 URL 및 사진을 이용해 악성코드를 유포하 는 사례가 있다.

- 네트워크 망

네트워크를 통해 최신 보안패치가 적용되지 않은 pc를 스캔하여 악성코드를 감 염, 확산시킨다. 이번에 워너크라이 랜섬웨어도 해당된다.

워너크라이 랜섬웨어


- 17년 5월 12일 스페인, 영국, 러시아 등을 시작으로 전 세계에서 피해가 보고된 악성코드.

- 원도우 운영체제의 SMB 프로토콜을 이용하여 악성코드를 감염시킨 후, 해당 pc또는 서버에서 접속 가능한 ip를 스캔하여 네트워크로 전파.

- 워너크라이 랜섬웨어에 감염되면, 파일들을 암호화한 바탕화면을 변경하고, 확 장자를 .WNCRY 또는 .WNCRYT로 변경.

- 워너크라이는 변종이 지속적으로 발견되고 있다.

SMB 프로토콜이란 파일, 프린터 등을 액세스 하는데 사용되는 프로토콜이다. 하지만 여기서 원격코드가 실행되는 취약점이 발견되어서 이 ‘워너크라이’ 랜섬웨어가 나타난 것이다.

그림 1 – 랜섬웨어 감염시 모습 그림


그림 2 – 워너크라이에 감염 된 모습

그렇다면 이 무시무시한 랜섬웨어의 예방수칙에 대해 알아보자.

랜섬웨어 예방 수칙

1. 모든 소프트웨어는 최신 버전으로 업데이트하여 사용한다.

- os와 응용 프로그램들은 최신 보안 업데이트를 한다.

2. 백신 소프트웨어를 설치하고, 최신 버전으로 업데이트 한다.

- 신뢰할 수 있는 백신을 사용한다.

3. 출처가 불명확한 이메일과 URL링크는 절대 실행하지 않는다.

- 스팸메일의 첨부파일을 의심하고 신뢰할 수 없는 URL은 클릭하지 않는다.

4. 파일 공유 사이트에서 파일 다운로드 및 실행에

- 파일 다운로드 및 실행을 주의한다. 이왕 이면 다운 받지 말고 정품을 이용 하자.

5. 중요한 자료는 백업을 한다.

- 랜섬웨어에 걸릴 시 데이터를 복구하기 정말 어렵기 때문에 미리미리 백업 하는 습관을 길러야 한다.


만약 개인 pc사용자가 아닌 기업이라면, 스팸메일 같은 경우는 차단을 하고, 패치 관리 시스템 등의 보안장비를 이용하여 직원들의 pc들을 보안 업데이트 한다. 직원들의 데이터를 항상 백업하고, 직원들에게 보안 교육을 해야 한다.

이렇게 예방 수칙을 지킨다면 나의 컴퓨터는 랜섬웨어에 거의 걸리지 않는다. 하지만 실제 랜섬웨어가 걸렸을 경우 어떻게 대응해야 하며, 또한 복구는 어떻게 해야 하는지 알아보자.

랜섬웨어 복구절차

- 백업파일이 존재할 경우 윈도우를 초기화 혹은 다시 설치하여 파일을 복구한다.

- 복구 도구를 다운 받아 실행시켜 복구한다.


NMR(No More Ransom) 제공 랜섬웨어 복구 프로그램

- https://www.nomoreransom.org/co/index.html

이스트시큐리티 제공 랜섬웨어 복구 프로그램

- http://www.estsecurity.com/ransomware#decryption

안랩 제공 랜섬웨어 복구 프로그램

- http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do

랜섬웨어침해대응센터 복구프로그램 안내

- https://www.rancert.com/bbs/bbs.php?bbs_id=rest

위 2개의 방법이 불가능 할 경우에는 비용 지불하는 경우가 있는데, 이 방법은 절대 해서는 안 된다. 그 이유는 비용 지불 후에도 복구되지 않는 경우가 있기 때문이다. 랜섬웨어에 걸릴 경우 다시 되돌리기에는 정말 쉽지 않으므로 예방 수칙을 지키자.

워너크라이 랜섬웨어 대응 방법

- 회사 및 기관의 네트워크를 단절한다.

- SMB관련 설정을 변경한다.

- 긴급 PC 및 서버 데이터 백업 조치를 한다.

- 윈도우 보안패치 및 백신 보안프로그램 업데이트 이후 네트워크를 연결한다.

국내 워너크라이 랜섬웨어 피해 사례

- 5월 15일 윈도우 7을 사용하는 cgv에서 워너크라이 랜섬웨어에 감염되었다.

이로 인해 광고 서버가 마비되는 등 피해를 보았다.

그림 3 – 국내 CGV 워너크라이 감염 사진


Comments