문서의 임의 삭제는 제재 대상으로, 문서를 삭제하려면 삭제 토론을 진행해야 합니다. 문서 보기문서 삭제토론 랜섬웨어 (문단 편집) == 설명 == ||{{{#!wiki style="margin: -5px -10px" [[파일:ransomware-statistics-attack-cost-forecast.png|width=100%]]}}}|| || {{{#000000 2015-2021년 랜섬웨어 재산 피해 예측}}} || || '''{{{#000000 2015년 - 3억 2천 5백만}}}''' || || '''{{{#ff0 2017년 - 50억}}}''' || || '''{{{#ff0 2018년 - 80억}}}''' || || '''{{{#ff0 2019년 - 115억}}}''' || || '''{{{#ff0 2021년 - 200억}}}''' || || [youtube(pU8PKg_owRs)] || || [[choda100|여러 랜섬웨어에 감염되었을때 나타나는 모습을 보여주는 영상. (0:50~1:58)]] ([[Windows 10]]) || || [[파일:Cerber_infected.png|width=100%]] || || [[케르베르]] 랜섬웨어에 감염된 컴퓨터의 모습. || 감염되면 CPU, 하드디스크, 메모리 사용량이 급증하고 쿨러가 미친 듯이 회전하며 파일을 암호화하기 시작한다. 종류에 따라서는 일정한 간격을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다. 더 자세히 설명하자면 파일 목록과 RSA 공개 키를 확보하고 각 파일에 [[AES]] 키를 생성하여 암호화한다. 다만 모든 랜섬웨어가 그런 것은 아니다. [[TLS]]에서 볼 수 있듯이 가장 흔한 방식이다. 암호화가 모두 완료되기 전에 재부팅하면 '''"네 컴퓨터는 랜섬웨어에 감염되었다"''' 라는 식의 협박 텍스트 파일과 복호화 파일을 전달할 [[HTML|html]] 페이지가 자동으로 팝업된다. 그리고 '''대부분의 작업을 할 수 없다.''' 대표적인 증상은 다음과 같다. * 중요 시스템 프로그램이 열리지 않는다. * [[명령 프롬프트]][* [[명령 프롬프트]]가 열리지 않기 때문에 CLI 기반으로 우회해서 파일을 복사한다든지 별도의 CLI 기반 비상용 백신을 돌리는 게 불가능해진다. Malware Zero Kit(소위 mzk)도 여기서부터는 무용지물이다.], 제어판의 일부 기능, [[레지스트리]] 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows [[작업 관리자]], 시작(Windows 로고 모양 버튼), 프로그램 및 기능, [[워드패드]](WordPad), 알림 목록[* [[Windows 10]] 한정, 사실 Windows 10에서는 대부분의 랜섬웨어가 전부 [[Windows Defender]]에서 차단되거나 삭제하기 때문에 Windows Defender를 끄거나 프로그램을 승인하거나 '''[[Windows 업데이트|업데이트]]를 강제로 비활성화'''하지 않는 이상 걸릴 확률이 낮다.] 등의 작업이 불가능하다. * 윈도우 복원 시점이 제거되거나 업데이트를 막아 버린다. * 별도의 다른 악성코드를 심기도 한다. * [[CPU]]와 [[RAM]], 디스크 사용량이 급격하게 증가한다. * 쿨러가 고속으로 회전하며 컴퓨터에서 소음이 나기 시작한다. * 암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt 파일을 생성한다. 이것은 하위 폴더, 상위 폴더 구분 없이 일단 해당 디렉토리의 모든 파일을 '''암호화하고 난 뒤에''' 생성하므로 참조할 것. 즉, 디렉토리 암호화가 완료되기 전까지는 생성하지 않는다는 것이다. 어디까지 랜섬웨어 피해를 받았는지 확인할 수 있는 부분이다. * [[안티 바이러스]]가 오작동한다. 혹은 강제로 꺼지거나 삭제된다.[* 백신의 언인스툴을 이용해서 삭제를 유도하거나 백신 자체를 꺼버리는 경우다. 하지만 백신도 자가 보호 기능이 있고 '''커널 모드'''에서 작동하므로 관리자 권한으로는 강제로 끌 수 없다. 또한 몇몇 백신(V3, 알약 등)은 언인스툴을 이용한 삭제를 막기 위해 보안 코드까지 입력해야 삭제가 가능하도록 되어 있다.] * 안전 모드로 진입할 수 없다. * 파일이 암호화되고 확장자가 변경되어 열 수 없다. 변경된 확장자를 제거해도 파일 내용은 암호화되어 있기 때문에 역시 열 수 없다. * 만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화된다. * 강제로 이동식 저장 장치의 연결을 해제시킨다. * 외장 하드 역시 랜섬웨어에 감염될 수 있으며, 경우에 따라 외장 HDD가 손상되는 경우가 있다. 연결을 해제하고 다시 연결하고 해제하는 것이 계속 반복되기 때문에 배드 섹터가 발생할 수 있기 때문이다. * 재부팅을 할 때마다 랜섬웨어 안내문이 들어있는 txt 파일, html 파일이 시작 프로그램 목록에 추가된다. * 악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다. 대표적인 경로는 아래와 같다. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며, 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다. {{{ - C:\Program Files\ - C:\Users\(사용자 이름)\Appdata\Roaming\ }}} * 실행되면 숙주 파일이 사라지는 경향이 있다. 따라서 한번 암호화가 끝나면 다시 암호화가 되지 않는다. * 몇몇 랜섬웨어는 외장 하드, [[USB 메모리]], [[SD 카드]] 등의 연결된 이동식 저장 매체까지 감염시키는 경우가 있다. 심지어 [[플로피 디스크]]도 감염된다. 이를 감염되지 않은 컴퓨터에 연결하면 즉시 그 컴퓨터에도 전염되는 경우도 있다. 이쯤 되면 심각하게 난감해진다. 모든 시스템 접근 권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷에서 대응 방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참고해야 한다.[* 멀웨어바이츠에서 나온 카멜레온이라는 일반적으로 차단되지 않는 프로세스(예를 들어 윈도우 탐색기, IE 등이 있다. 랜섬웨어가 돈을 받아내기 위해서는 필수적인 프로세스이므로 차단하지 않는다.)로 위장한 백신을 최후의 저항 방법으로 사용할 수 있지만, 안전 모드가 전혀 통하지 않아 업데이트에 방해를 받을 수 있다.(실제 상당수의 바이러스가 일반 모드에서의 업데이트를 방해할 수 있다.) 일단 현재 업데이트는 문제 없이 되었다. 테슬라크립트(확장자 .VVV)의 경우는 치료도 잘 됐다. 그리고 이런 게 워낙 변형된 종류가 많아서 정말로 잡힐지, 혹은 잡더라도 치료가 제대로 될 지는 알 수 없다.] 간혹 바이러스로 인지하지 않는 경우조차 발생한다. 대부분의 랜섬웨어는 실행된 후 어느 정도는 손해를 끼치고 나서야 탐지, 제거되는데 특성상 이미 늦은 상태인 경우가 많다. 랜섬웨어 특화 백신이 아닌 이상은 어쩔 수 없다. 다만 대부분 최상위 폴더부터 알파벳 순으로 암호화하므로 이를 이용해 감지하는 백신이 있다. 위에 서술된 것은 어디까지나 일부분을 설명한 것이며, 항상 저런 현상인 것은 절대로 아니다. 또한 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물이다. 하지만 '''파일의 확장자를 바꾸거나 암호화하는 것'''은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것이다. 가끔 랜섬웨어를 [[가상머신]]의 운영체제에 일부러 풀어놓아 감상하려는 사람이 여럿 보이는데, 이렇게 '''가상머신의 운영체제를 랜섬웨어로 감염 시켰다가 결국 가상머신을 빠져나와 호스트 컴퓨터인 실제 사용자 컴퓨터까지 감염되었다는 사례가 매우 많으니 호기심으로라도 가상머신에서도 돌리지 말자.''' 대표적인 사례로는 [[Windows XP]] SP1을 설치하고 부팅한 즉시 감염이 되어 버린데다[* Windows XP는 SP1까지는 방화벽 기본값이 비활성화이다. SP2에서 기본으로 켜지도록 바뀌었다.] 결국 이를 방관하다가 사용자의 컴퓨터까지 감염되어 모든 파일을 날려먹은 사례가 있다. 아래에서 후술하겠지만 심지어 OS간 호환도 되어서 macOS에서 [[Parallels Desktop]]을 통해 Windows를 사용하다가 감염되어 호스트인 [[macOS]]까지 감염되는 사례도 많다. 다만, 대부분의 가상머신 탈출 사례가 네트워크 취약점을 활용한 전염이다. 위의 사례도 [[버추얼박스]] 실행 상태 바를 보면 가상화 네트워크를 끄지 않았음을 확인할 수 있다. 그러나 게스트(가상화)와 호스트(물리적) 간의 자원이나 정보를 전달, 공유하는 과정에서 일어난 소프트웨어 버그나 취약점을 이용하여 가상머신을 탈출하는 사례가 [[PWN2OWN]] 같은 데서 보고되고 있다. 때문에 가상머신 안에서 가동되는 컴퓨터 자체는 논리적으로 독립된 곳이지만 마냥 안전한 건 아니니 자신이 없으면 하지를 말자. 또한 암호화되지 않은 똑같은 네트워크를 사용하는 컴퓨터끼리도 감염이 되어버리는 사례도 있다. 국내의 비 프렌차이즈카페에서 암호화되지 않은 무선 네트워크를 사용해 의도적으로 랜섬웨어에 감염된 다음 오랜시간 방치하여 같은 와이파이를 잡고 있었던 여러 노트북이 감염된 사례는 이미 유명하다. [[한국인터넷진흥원]]이 운영하는 암호이용활성화 홈페이지에서 랜섬웨어 동향 및 분석 보고서를 [[https://seed.kisa.or.kr/kisa/adverse/reference.do|배포]]한다.저장 버튼을 클릭하면 당신이 기여한 내용을 CC-BY-NC-SA 2.0 KR으로 배포하고,기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다.이 동의는 철회할 수 없습니다.캡챠저장미리보기