1. 랜섬웨어(RansomWare)란?
- Ransom(몸값) + Ware(제품) = RansomWare
- 감염시 컴퓨터 시스템에 접근이 제한되거나 저장된 파일이 암호화되어 사용할 수 없게 되며, 해커는 이에 대한 대가로 금품을 요구
- 즉, 사용자의 동의 없이 시스템에 설치되어서 무단으로 사용자의 파일을 모두 암호화하여 인질로 잡고 금전을 요구하는 악성 프로그램
2. 동작 원리
| 뮤텍스 생성 | - 최초 실행시 중복 암호화를 방지하기 위해 뮤텍스 생성 |
| 공격 대상 파일 검색 | - 다소 차이가 있으나 특정 경로, 확장자명, 파일명 등 암호화에서 제외되는 항목이 존재 |
| 암호화 | - 단방향(암호화 후 복구불가), 양방향(암복호화 가능) 암호화를 수행 |
| 파일 이동 | - 피해자에게 공격 사실을 알리기 위한 목적으로 파일이동, 랜섬노트 생성 |
| 감염 안내 및 복구 방법 메시지 출력 | - 파일 암호화 사실과 복구 방법이 작성된 안내창을 띄움 |
3. 감염 경로
| P2P, 블로그 등 출처가 불명확한 소프트웨어 및 메일 등의 첨부파일 |
- 상용 소프트웨어에 대한 크랙/무료 버전 다운로드, 메일에 첨부파일 등으로 클릭 유도 - 정상 다운로드 사이트로 위장한 피싱 사이트 혹은 감염된 사이트일 가능성 - 불법 소프트웨어 다운로드 후 실행 시 랜섬웨어 감염 |
| 웹사이트 접속 | - 이미 감염된 혹은 오타 등에 의해 잘못된 사이트로 접속 - 사용자 접속 시 공격자가 랜섬웨어 유포를 위해 만들어둔 사이트로 리다이렉트 |
| 외부 저장 장치 | - 랜섬웨어에 감염된 혹은 유포를 위한 USB, 외장하드 등을 PC에 연결 시 랜섬웨어 유포 |
| 보안 패치가 부족한 PC 환경 | - OS, 백신 등 최신 패치가 되어있지 않을 경우 랜섬웨어 감염 가능성이 높음 |
| 공유 폴더 | - PC의 특정 폴더를 다른 사용자와 공유하여 사용하는 경우 - 공유폴더에 랜섬웨어 감염 파일이 존재한다면 감염 가능 |
4. 대응 방안
| 정기적 데이터 백업 | - 물리적으로 분리된 PC 또는 클라우드 등에 중요자료에 대한 백업을 생성 |
| 최신 버전 업데이트 | - 소프트웨어, 백신, OS 등을 최신 버전으로 업데이트 |
| 불명확한 출처에 대한 주의 | - 이메일, URL, P2P, 신뢰할 수 없는 사이트 등 불명확한 출처에서 파일 다운 및 실행 주의 |
| PC 점검 | - PC의 보안상태 점검 |
| 보안 솔루션 도입 | - 보안 솔루션(Endpoint, Anti-Spam, IPS 등), 2단계 인증, 네트워크 모니터링 등 |
| 보안 교육 | - 사용자들이 랜섬웨어뿐만 아니라 다양한 위협에 대해 경각심을 가질 수 있도록 교육 진행 |
| 네트워크 차단 | - 랜섬웨어에 감염되었을 경우 전파의 위험이 있으므로 랜선 제거, 네트워크 공유 해제 등 격리 조치 |
| 외부 저장 장치 통제 | - USB 자동실행 기능 비활성화, 보안성 검토 후 사용 |
| 랜섬 지불 거부/지양 | - 데이터를 돌려받는 보장이 없으며, 공격 시도 증가 초래 |
| KISA | - KISA에서 제공하는 랜섬웨어 복구 솔루션 혹은 랜섬웨어 솔루션 무상지원 사업 이용 |
'랜섬웨어 > 기본' 카테고리의 다른 글
| 서비스형 랜섬웨어(RaaS) (1) | 2022.09.18 |
|---|
