[악성코드] 랜섬웨어 증상과 치료방법 알아보기

▣ 개요

 

랜섬웨어(Ransomware)는 몸값을 뜻하는 'Ransom'과 제품을 뜻하는 'Ware'의 합성어로 사용자의 동의없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 인질로 잡아 금전을 요구하는 악성 프로그램을 말한다.

 

참고로 모바일과 Mac OS에서도 활동한다. 랜섬웨어의 종류에 따라 백신 프로그램이 사전에 랜섬웨어의 암호화를 차단하기도 한다.

 

 

 

 

▣ 감염 증상

 

랜섬웨어에 감염되면 하드디스크의 파일들을 암호화하기 시작하는데 이 때문에 하드디스크와 메모리 점유율이 급격히 상승하게 된다. 종류에 따라서는 일정한 시간 간격을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다.

 

더 자세히 설명하면 파일 목록과 RSA 공개키를 확보하고 각 파일에 AES키를 생성하여 암호화한다. 다만 모든 랜섬웨어가 그런 것은 아니다.

 

암호화가 모두 완료되기 전에 재부팅하면 "랜섬웨어에 걸렸습니다."라는 식의 협박 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업되며 대부분의 작업을 할 수 없다. 대표적인 증상은 다음과 같다.

• 중요 시스템 프로그램이 열리지 않는다.

- 명령 프롬프트, 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자, 시작(Windows 로고 모양 버튼), 프로그램 및 기능, 워드패드(Word Pad), 알림 목록 등.

 

 

 

 

• 윈도우 복원 시점이 제거되거나 업데이트를 막아버린다.

• 별도의 다른 악성코드를 심기도 한다.

• CPU와 램 사용량이 급격하게 증가하고 파일들이 암호화된다.

- 암호화가 완료된 파일들이 들어있는 폴더에 위에서 말한 html과 txt파일을 생성한다.

 

• 백신 프로그램이 오작동한다. 혹은 강제로 꺼지거나 삭제된다.

• 안전모드로 진입할 수 없다.

• 암호화된 파일을 열 수 없다.

- 만약 아직 암호화되지 않은 문서 파일을 열 경우 문서를 저장하는 순간 암호화된다.

 

 

 

 

• 강제로 이동식 저장장치의 연결을 해제시킨다.

- 외장하드 역시 랜섬웨어에 감염될 수 있으며 경우에 따라 외장하드를 손상시킨다.

 

• 재부팅을 할 때마다 랜섬웨어 txt 파일, html 파일이 시작 프로그램 목록에 추가된다.

• 악성코드는 대략 특정 디렉터리에 자기 자신을 복사하는 유형이 꽤 많다. 대표적인 경로는 아래와 같다. 물론 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어 있으며 이미 자기 자신으로 인해 암호화가 된 시스템인지 체크하는 루틴이 보통 별도로 있다.
- C:\Program Files\
- C:\Users\(사용자 이름)\Appdata\Roaming\

 

 

 

 

• 당연한 사실이지만 연결된 이동식 저장매체 또한 감염된다. 외장하드, USB 메모리, SD카드 등 예외는 없다. 심지어 플로피 디스크도 감염된다.

이쯤 되면 대략 가정용 컴퓨터로는 버틸 수가 없다. 모든 시스템 접근권한이 거부당하고 오직 할 수 있는 것이라곤 인터넷 브라우저를 열어서 대응방안을 찾아보거나 내 컴퓨터를 열어서 내 파일들이 암호화되는 걸 지켜보거나 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만 백신이 무효화되어 악성코드를 잡지 못하게 된다.

 

위에 서술한 것은 언제까지나 일부분을 설명한 것이며 항상 이러한 현상인 것은 절대로 아니다. 또한, 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물이다. 하지만 파일의 확장자를 바꾸고 암호화하는 것은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것이다.

 

 

랜섬웨어에 감염된 컴퓨터 화면

 

 

▣ 치료방법

 

• 바이러스 백신 소프트웨어(안티 바이러스)에서 랜섬웨어가 탐지되어 차단되었다는 메시지를 보인다면 더 이상의 문제는 없으니 백신 프로그램을 통해 시스템 정밀 검사를 실행하고 추후 재발 방지 대책을 세우면 된다.

• crypt, vvv, zepto, fun 등이나 알 수 없는 명칭들로 확장자가 변환되고 랜섬웨어 협박문과 함께 타이머가 보이기 시작한다면 바로 아래 대처법을 시행해야 한다.

• 이 방법은 안전 모드가 작동이 가능한 경우에만 해당되며 안전 모드를 복구할 수 없다면 랜섬웨어에 의해 암호화된 파일을 별도의 저장소에 백업하고 감염된 PC에 윈도우 운영체제를 재설치한 후 아래 4번 항목부터 진행해야 한다.

• 하드디스크의 MBR이 암호화되는 랜섬웨어(페티야/미스차, 골든아이, 사타나 등)일 경우 운영체제 진입이 되지 않으므로 별도의 복구 방법을 사용해야 한다.

 

 

 

 

1. 우선 데스크탑의 경우 전원 플러그를 뽑아야 한다. 노트북이라면 강제 종료를 하거나 배터리를 탈착해야 한다.

2. 안전 모드로 진입한다. <Windows 7>까지는 2.1, <Windows 8>부터는 2.2, 2.2.1 항목을 참고한다.

 

2.1. [Windows 7까지] 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 버튼으로 '안전 모드(네트워킹 사용)'를 선택한 후 <Enter> 키를 눌러 진입한다.

2.2. [Windows 8부터] 명령 프롬프트(cmd)를 실행하여 다음 명령어를 입력한 후, 키보드의 <Enter> 키를 누른다.

shutdown /r /o

2.2.1. [Windows 8부터] 시스템이 다시 시작되어 옵션 선택 화면이 나오면 '문제 해결', '고급 옵션', '시작 설정', '다시 시작' 버튼을 차례대로 클릭한다. 한 번 더 재시작이 되면 숫자 5를 키보드로 눌러 안전 모드(네트워킹 사용)로 진입한다.

 

 

 

 

3. 안전 모드로 진입이 완료되었을 경우, 적절한 바이러스 백신 프로그램(안티 바이러스)으로 검사하여 랜섬웨어를 제거한다. 결제 협박문이 남아 있다면 랜섬웨어 결제 안내 파일 제거 스크립트(RIFR)를 이용하여 제거한 후 시스템을 다시 시작한다.

4. 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아있을 것이다. 따라서 암호화된 파일이 복호화가 가능하다면 복호화 툴을 이용한다. 이 방법은 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 전부 공개하거나, 사법 당국이나 백신 프로그램 업체가 복호화 키를 찾아낸 경우에만 해당된다.

5. 그러나, 4번의 경우도 완벽한 건 아니라서 특정 파일이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할 수도 있다.

 

◈ 관련 글

   ▶ [악성코드] 워너크라이 랜섬웨어 예방법과 특징 및 피해사례 알아보기