최근 보안의 동향은 바이러스대신 악성코드(Malware)가 성행하면서, 바이러스 자체의 비율과 파급력은 그리 높지 않았습니다.

그러나 작년쯤부터 나타나기 시작한 CryptoLocker라는 랜섬웨어(Ransomware)에 오늘 (4/21) 아침, 많은 감염자가 발생하였습니다.


오늘 아침에 많은 유저가 바이러스의 공격으로 파일의 암호화가 걸린 것을 보면, 기존에 감염되어 있다가 바이러스 개발자가 아침에 킬스위치를 작동시킨 것이 아닌가 합니다.


CryptoLocker 바이러스는 Ransomware의 한 종류로, 사용자 PC의 모든 파일에 RSA2048 등의 알고리즘을 사용하여 암호화를 걸어버리고, 비트코인을 보내줘야 복호화를 시켜주는 협박(?) 바이러스 입니다.

따라서 파일 자체가 모두 암호화에 걸려버려서 사용할 수 없고, 건지지도 못합니다 ㅠㅠ 철저한 백업 후 고립 시켜놔야 겠네요.


현재까지 알려진 감염 경로는, adobe flash player, adobe reader, IE, JVM 등에 대한 구형 보안 취약점을 모두 공격해본다고 합니다.

다만, 최신 버전으로 업데이트한 사용자들도 감염되었다고 하니.. 확실한 경로는 아닌 것으로 파악됩니다.


15. 4. 21 11:30

현재 클리앙 사이트의 광고페이지에, 리다이렉팅하는 스크립트가 삽입되어 원격지로부터 CryptoLocker 바이러스가 감염되는 것으로 파악되고 있습니다.

클리앙의 광고는 내려진 상태이며 공지를 통해 새벽에 클리앙에 서버에 삽입된 것으로 확인됩니다.

새벽에 IE를 통해 클리앙에 접속하신 분들은 꼭 백신으로 확인해보실 필요가 있겠습니다.


게다가 기존에는 미국, 러시아 등지에서 활동하던 바이러스가 최근에는 한글로된 공격까지 보이고 있습니다.

어투를 보아 왠지 번역투인 것 같긴한데.. 이것마저 한국사람처럼 보이지 않기 위해 가장하는 것이 아닌가 합니다.

아래는 4/17에 발견된 한글판(?) 최초의 CryptoLocker 바이러스입니다.




감염의 전조 증상으로 PC가 갑자기 급격하게 느려지는 경우 생깁니다. 뜬금없이 느려지는 경우가 발생한다면 의심해봐야 합니다. 그 이유는 프로세스가 시스템의 모든 경로(로컬 디스크, 네트워크 디스크 등)의 파일들을 Encryption하면서 느려지는 것으로 파악됩니다. 

이런 증상이 발견되면 얼른 PC를 끄고 하드를 떼서, 감염이 되지 않은 PC에 서브로 붙여서 백업을 떠야겠습니다ㅠ.ㅠ



그렇다고 모든 cryptolocker ransomware에 감염되면 풀 수 없는 것은 아닙니다.

coinVault라는 ransomware는 kaspersky에서 제거 방법 및 복호화를 제공합니다. (링크)


또한, 여기 링크에서는 다양한 Ransomware 및 CryptoLocker 제거 툴을 제공합니다.


1. 컴퓨터를 재부팅하시면서 F8키를 눌러 메뉴 선택화면으로 이동합니다.

2. 이어서 안전모드 (네트워크 옵션 사용) 메뉴를 통해 네트워크가 가능한 안전모드로 부팅합니다.

3.해당 링크에서 알맞는 OS타입을 선택하시고 실행 후 Ransomware를 제거합니다.

( http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3136/goz-and-cryptolocker-malware-affecting-users-globally )

4. 재부팅하시면 제거가 완료됩니다.


다만, 아직 복호화 방법이 명확치 않습니다. https://decryptcryptolocker.com/ 에서는 파일을 업로드하면 풀 수 있는 툴과 키를 제공하고 있는데, 아무래도 민감한 파일에는 파일을 업로드하기가 여간 찝찝한 관계로..

다만, 파일을 올리면 알고리즘을 분석하고 완벽히 깰 수 있는 방법을 수사한다고 합니다.


어쨌든 현재는 조심하고 백업해야만 할 것 같습니다.


추가.

근본적인 해결 방법은 아니지만, Windows의 Shadow Copy 서비스 (Windows 백업)를 사용하신다면 이전 시점으로 Snapshot을 돌려서 복구할 수 있습니다.

(복구라기보다는 복원이 올바른 표현일지도 모르겠습니다.)

윈도우7부터는 Shadow Copy라는 이름으로 파일에 대해 버전 관리를 해주는 기능이 있습니다.

따라서 파일이 변조되거나 바뀌어도 이전 시점의 Shadow Copy본만 있으면 그 시점으로 돌아갈 수 있습니다.


사용 방법은 해당하는 디스크 드라이브 (예를 들어 C드라이브)에 오른쪽 클릭->속성에서 이전 버전탭으로 이동합니다.

그렇다면 폴더 버전이라며 백업본의 날짜와 시간이 표시됩니다. 대략적으로 바이러스 감염 시점이나 파일 변조이전의 시점의 날짜를 택하고 열기를 누르면, 해당 시점의 파일들이 있습니다.


그곳에서 파일을 복사하여 안전한 곳으로 옮기면 되겠습니다!!

Snapshot에서 파일 추출을 좀 더 쉽게 도와주는 Shadow Explorer같은 툴을 이용하셔도 됩니다.


예전에 안드로이드에서 Linux의 Logical Volume Manager을 포팅하여 Snapshot 백업 및 복구툴을 만든 경험이 있는데 다시한 번 꺼내봐야겠습니다.

일단, 랜섬웨어에 감염되신 분들은 위의 임시해결책을 한 번 사용해보시고 리플 부탁드립니다.



저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by Written. 깡s

댓글을 달아 주세요