지난 주말부터 한글버전의 크립토락커 랜섬웨어가 인터넷을 떠돌고 있습니다.
프로그램을 실행하지 않아도 감염되어 버리는 '드라이브 바이 다운로드(Drive-by-Download)' 방식으로 유포되고 있어서 많은 주의가 요구되고 있습니다.
2013년부터 등장하기 시작한 '크립토락커'는 가장 악명 높고 영향력이 있는 랜섬웨어로 알려져있습니다.
지금까지 한글 버전은 없었으나, 지난 주말부터 한글버전이 한국 웹상을 떠돌아다니고 있다고 합니다.
▲ 크립토락커 랜섬웨어에 감염된 PC에서 출력되는 화면
가장 큰 문제는 웹 서핑 도중 '드라이브 바이 다운로드' 방식으로 감염되고 있다는 문제입니다.
어떠한 파일을 다운받거나, 다운받아서 실행하지 않고 오직 웹서핑을 했을뿐인데 감염이 되어버립니다.
크립토락커 악성코드에 감염되면 사용자의 파일 (문서파일, 사진, 동영상 등등)을 모두 암호화 시켜버리며, 이 암호화 된 파일을 풀기위해서 돈을 내놓으라고 합니다. 현재 요구하는 금액은 한화 40만원대, 그리고 시간이 지날수록 요구 금액이 올라가도록 설정되어있습니다
즉 파일을 인질로 잡고, 현금을 요구하는겁니다.
또한 이번 랜섬웨어는 '네트워크 공유'된 PC까지 모조리 공격한다고 알려져있습니다.
NSA나 공유기를 이용해 여러 PC를 연결해놓은 경우, 한 PC만 감염되면 전부 다 감염이 되어버린다고 합니다.
예방방법
랜섬웨어를 예방하기 위해서 할 수 있는 방법으로 아래와 같은 방법이 있습니다.
(최근 Flash Player 취약점을 통해 공격하는 경우가 많다고 합니다. 꼭 최신버전을 유지합시다)
- 항상 인터넷익스플로러(IE)는 최신 버전 업데이트 - [Internet Explorer]
- Flash Player 최신 버전 업데이트 - [Adobe Flash Player] (크롬 브라우저의 경우 자동으로 플래쉬 플레이어가 최신버전으로 업데이트 됩니다.)
- 백신 프로그램 사용 - [MSE 추천(무료)]
- 중요 파일은 1차 백업, 2차 백업을 합니다. (백업 파일은 네트워크와 분리해 놓습니다)
- 보안에 취약한 사이트는 접속하지 않습니다.
보안은 두번 세번 점검해도 시간이 아깝지 않습니다. 귀찮더라도, 윈도우나 각종 프로그램을 꼭 최신버전으로 유지합시다.
감염 확인 방법
감염 확인 방법은
링크에서 자신의 OS에 맞는 버전으로 다운받아 실행 후 확인할 수 있습니다.
10~20여분 정도 걸린다고 합니다.
임시 해결방법
일부파일 암호화를 풀 수 있는 방법이 나왔습니다.
※ 단 시스템 복원 지점이 설정되어 있었어야 합니다. 시스템 복원 지점이 없었다면 복호화 불가능 입니다.
ShadowExplorer-0.9-setup.exe
ShadowExplorer-0.9-portable.zip
기록된 이전 파일을 조회하는 프로그램이라고 합니다. (즉 복원 시점으로 되돌릴 수 있습니다. 암호화 되기 전 상태 말이죠)
STEP 1 : 암호화 되어 잠긴 파일이나 폴더에 찾아갑니다.
STEP 2 :
Installer로 설치했을 경우 암호화 되어 잠긴 파일에 마우스 오른쪽 클릭하여 export를 누른 후 추출될 위치를 지정해줍시다.
Portable로 설치했을 경우 Shadow Explorer를 실행 하여 암호화 된 파일 위치로 찾아가서 export를 합니다.
결과 : 암호화 되기 전 상태로 복구됩니다.
Source : 뽐뿌
추가로 크립토락커 원인파일 제거 툴
http://cafe.naver.com/malzero/94376
'안전모드' 상태에서 위 카페에 접속 후 파일을 다운받아 실행하면 됩니다.
하지만 위 툴을 사용하더라도 암호화된 파일은 원래상태로 돌아오지 않습니다.
마이크로 소프트에서도 대응 시작
최근 세계적으로 랜섬웨어에 의한 피해가 늘어감에 따라 윈도우를 제작한 MS에서도 대응을 시작했습니다.
하지만 좋은 소식으로 감염 추세가 줄어들고 있다고 합니다.
http://www.microsoft.com/ko-kr/security/pc-security/malware-removal.aspx
해당 페이지에있는 검사 프로그램을 진행할 경우 랜섬웨어를 찾아 제거해줍니다.
다만 암호화가 진행중이라면 나머지 파일이 더 이상 암호화 되지 않고 정지됩니다.
즉 복호화는 되지 않는다는 얘기입니다.
크립토락커 랜섬웨어 해커가 남긴 글
===============================================================================
!!! 본인의 모든 파일을 Crypt0L0cker 바이러스으로 코딩했습니다 !!!
===============================================================================
본인의 모든 즁요한 파일을 (원격 네트워크 드라이브, USB 등에 저장된 파일을 포함해서): 사진, 동영상, 문서 등 Crypt0L0cker 바이
러스으로 코딩했습니다. 본인의 파일을 복구할 유일한 방법은 저희한테 지불하는 방법입니다. 그렇지 않으면 본인의 파일이 손실됩니다.
파일 복원 지불하려면 여기를 클릭하십시오:
http://zoqowm4kzz4cvvvl.torlocator.org/w75f4z.php?user_code=tgl7ai&user_pass=1035
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
[=] 제 파일이 어떻게 된 겁니까?
본인의 모든 즁요한 파일은: 사진, 동영상, 문서 등 Crypt0L0cker 바이러스으로 코딩했습니다.
이 바이러스는 매우 강력한 암호화 알고리즘- RSA-2048을 사용합니다.
특수 키가 없으면 암호화 알고리즘 RSA-2048를 깨기 불가능합니다.
[=] 제 파일을 복원 할 수 있습니까?
지금 본인이 자신의 파일을 어느 쪽도 사용하지 않고 열 수도 없습니다. 열기 해보시면 그 것을 확인할 수 있습니다.
정상으로 복원하기 유일한 방법은 저희 특별한 해독 프로그램을 사용하는 것입니다. 저희 웹 사이트에서 디코딩하기위한
프로그램을 구입할 수 있습니다 (http://zoqowm4kzz4cvvvl.torlocator.org/w75f4z.php?user_code=tgl7ai&user_pass=1035).
[=] 그런 다음에 어떻게 하는 겁니까?
저희 웹 사이트에 들어가서 본인의 컴퓨터를 위한 디코딩 프로그램을 구입해야 합니다
(http://zoqowm4kzz4cvvvl.torlocator.org/w75f4z.php?user_code=tgl7ai&user_pass=1035)
[=] 웹 사이트에 들어갈 수 없습니다. 어떻게 해야됩니까?
다음 링크 중에 하나를 이용하면서 웹 사이트에 들어갈 수 있습니다:
http://zoqowm4kzz4cvvvl.torlocator.org/w75f4z.php?user_code=tgl7ai&user_pass=1035
http://zoqowm4kzz4cvvvl.torminator.org/w75f4z.php?user_code=tgl7ai&user_pass=1035
http://zoqowm4kzz4cvvvl.tor2web.blutmagie.de/w75f4z.php?user_code=tgl7ai&user_pass=1035
http://zoqowm4kzz4cvvvl.onion/w75f4z.php?user_code=tgl7ai&user_pass=1035 (TOR browser)
어떤 이유로 지정된 주소를 사용할 수 없으면 다음 단계를 수행하십시오:
1. 다음과 같은 링크로 TOR 브라우저를 다운로드하고 설치하세요 :
http://www.torproject.org/projects/torbrowser.html.en
2. 성공적인 설치 후에는 브라우저를 실행하고 초기화를 기다려주세요.
3. 주소 표시 줄에 입력하세요:
http://zoqowm4kzz4cvvvl.onion/w75f4z.php?user_code=tgl7ai&user_pass=1035
4. 저희 사이트에 들어가주세요
또한 이메일로 문의하실 수 있습니다 : decrypthelp@mail15.com
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
계정 데이터:
URL: http://zoqowm4kzz4cvvvl.torlocator.org/w75f4z.php
User-Code: tgl7ai
User-Pass: 1035
UPDATE: SLR club에서 랜섬웨어 결제하신분이 등장
매우 중요한 파일들이 암호화 되어버린 분의 글입니다.
미친척 하고 비트코인을 45만원 가량의 한화를 들여 결제한 후
해커가 보내준 프로그램으로 다행히 90% 정도 복원했다고 합니다.
해커는 또한 컴퓨터 마다 복원키가 다르다고 했다고 합니다.
즉 이분이 받은 프로그램을 다른 컴퓨터에서 돌려봤자 소용이 없다는 얘기입니다.
Source : SLR club
댓글