mir.pe (일반/어두운 화면)
최근 수정 시각 : 2024-08-22 15:18:35

랜섬웨어


1. 개요2. 설명
2.1. 치료2.2. 예방2.3. 주의
3. 원리와 공격4. 역사
4.1. 비트코인 등장 이전4.2. 비트코인 등장 이후
5. 범죄자들6. 종류7. 의문점 및 오해
7.1. 모바일에는 랜섬웨어가 없다?7.2. macOS는 랜섬웨어에 감염되지 않는다?7.3. 복구 업체는 자체 기술로 데이터를 복호화할 수 있다?7.4. 랜섬웨어는 대기업이나 조직만을 대상으로 한다?7.5. 몸값을 지불하면 데이터가 복원된다?7.6. 백업을 해두었다면 랜섬웨어부터 모든 게 괜찮다?
8. 피해 사례
8.1. 시기 불명8.2. 2015년8.3. 2016년8.4. 2017년8.5. 2018년8.6. 2020년8.7. 2021년8.8. 2022년8.9. 2023년8.10. 2024년
9. 언어별 명칭10. 관련 문서

1. 개요

랜섬웨어 차단/복원 시 접속: 국제 랜섬웨어 차단 및 복원 사이트(노모어랜섬)[1]
파일:external/blog.kaspersky.com/ransomware-expert-tips-featured.jpg
파일:랜섬웨어어택.webp
{{{+1 랜섬 웨어 / Ransom ware[2][3] 공격' 이다]}}}
카스퍼스키에서 제작한 동영상.
랜섬웨어에 걸려보았다 다른 다칸 영상 ( Windows 7)

랜섬웨어(Ransomware) 사용자 컴퓨터 장악하거나 데이터를 암호화한 다음[4] 정상적인 작동을 위한 암호키를 대가로 금품을 요구하는 유형의 악성코드다. 랜섬웨어의 가장 잘 알려진 예로는 케르베르(Cerber), 크립토락커(CryptoLocker), 워너크라이(Wanna Cry)가 있다.

즉 말하자면, 몸값을 뜻하는 Ransom 소프트웨어 영문 표기 Software의 합성어이며, 사용자의 동의 없이 시스템에 설치되어서 무단으로 사용자의 파일을 모두 암호화하여 인질로 잡고 금전을 요구하는 악성 프로그램을 말한다. 일반적인 PC는 물론 서버, 모바일, DSLR에서까지 현존하는 거의 모든 운영체제에서 활동한다. 랜섬웨어 종류에 따라 백신 프로그램이 사전에 랜섬웨어의 암호화를 차단하기도 한다.[5]

2017년 5월에 갑자기 등장한, 매우 강력한 전염력을 보여주는 워너크라이가 전 세계를 강타하면서 랜섬웨어가 화제가 되었다. 모든 랜섬웨어가 인터넷에 접속만 해도 감염되는 건 아니나, 워너크라이는 웜의 특성을 이용하여 전파력이 높았던 경우다. 이를 통해 랜섬웨어가 크게 알려지면서 랜섬웨어를 잘 모르던 일반인 중에선 '랜섬웨어 = 인터넷 연결 시 감염'인 걸로 생각하는 사람들이 있으나, 이는 워너크라이가 특수한 것이고 보통은 사회공학으로 사용자를 속여서 감염시킨다. 안랩이 2017년 대처해야 할 바이러스로 랜섬웨어를 꼽았을 정도로 랜섬웨어 바이러스는 오래전부터 존재했던 위협이다.

다른 악성코드가 컴퓨터의 소프트웨어/하드웨어를 망가뜨리고[6] 내부 데이터를 유출하거나 파손하는 수준인 데 반해 이쪽은 아예 협박을 하고 있다. 알기 쉽게 사람에 대한 범죄에 비유할 경우, 기존의 악성코드가 '절도'나 '손괴', 폭행 등이라면 랜섬웨어는 강도, 특히 인질 강도에 가깝다.

한편, 복호화 후에도 파일이 깨져있거나 시스템 파일을 건드리는 경우도 있기 때문에 랜섬웨어에서 복구를 진행했다 하더라도 컴퓨터가 이상작동하는 경우가 종종 보고된다. 따라서 랜섬웨어를 한번 겪은 이후에 블루스크린 등의 문제가 발생한다면 운영체제를 재설치해 줄 필요가 있다.

2. 설명

파일:ransomware-statistics-attack-cost-forecast.png
2015-2021년 랜섬웨어 재산 피해 예측
2015년 - 3억 2천 5백만
2017년 - 50억
2018년 - 80억
2019년 - 115억
2021년 - 200억
여러 랜섬웨어에 감염되었을때 나타나는 모습을 보여주는 영상. (0:50~1:58) ( Windows 10)
파일:Cerber_infected.png
케르베르 랜섬웨어에 감염된 컴퓨터의 모습.

감염되면 CPU, 하드디스크, 메모리 사용량이 급증하고 쿨러가 미친 듯이 회전하며 파일을 암호화하기 시작한다. 종류에 따라서는 일정한 간격을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만든 종류도 있다.

더 자세히 설명하자면 파일 목록과 RSA 공개 키를 확보하고 각 파일에 AES 키를 생성하여 암호화한다. 다만 모든 랜섬웨어가 그런 것은 아니다. TLS에서 볼 수 있듯이 가장 흔한 방식이다.

암호화가 모두 완료되기 전에 재부팅하면 "네 컴퓨터는 랜섬웨어에 감염되었다" 라는 식의 협박 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업된다. 그리고 대부분의 작업을 할 수 없다. 대표적인 증상은 다음과 같다.
 - C:\Program Files\
- C:\Users\(사용자 이름)\Appdata\Roaming\
 

이쯤 되면 심각하게 난감해진다. 모든 시스템 접근 권한이 거부당하고, 오직 할 수 있는 거라고는 인터넷에서 대응 방안을 찾아보거나, 내 컴퓨터를 열어서 내 파일들이 암호화 되는 걸 지켜보거나, 다른 프로그램을 실행해 보는 정도이다. 그나마 다른 프로그램이 열린다는 게 위안이지만, 백신이 무효화되어 악성코드를 붙잡지 못하는 현상이 발견되니 참고해야 한다.[10]

간혹 바이러스로 인지하지 않는 경우조차 발생한다. 대부분의 랜섬웨어는 실행된 후 어느 정도는 손해를 끼치고 나서야 탐지, 제거되는데 특성상 이미 늦은 상태인 경우가 많다. 랜섬웨어 특화 백신이 아닌 이상은 어쩔 수 없다. 다만 대부분 최상위 폴더부터 알파벳 순으로 암호화하므로 이를 이용해 감지하는 백신이 있다.

위에 서술된 것은 어디까지나 일부분을 설명한 것이며, 항상 저런 현상인 것은 절대로 아니다. 또한 종류도 많은 데다가 같은 종류의 랜섬웨어도 업데이트가 지속적으로 되고 있기 때문에 위의 내용만 가지고 판단하는 것은 금물이다. 하지만 파일의 확장자를 바꾸거나 암호화하는 것은 동일하니 이런 현상이 발생한다면 랜섬웨어에 감염된 것이다.

가끔 랜섬웨어를 가상머신의 운영체제에 일부러 풀어놓아 감상하려는 사람이 여럿 보이는데, 이렇게 가상머신의 운영체제를 랜섬웨어로 감염 시켰다가 결국 가상머신을 빠져나와 호스트 컴퓨터인 실제 사용자 컴퓨터까지 감염되었다는 사례가 매우 많으니 호기심으로라도 가상머신에서도 돌리지 말자. 대표적인 사례로는 Windows XP SP1을 설치하고 부팅한 즉시 감염이 되어 버린데다[11] 결국 이를 방관하다가 사용자의 컴퓨터까지 감염되어 모든 파일을 날려먹은 사례가 있다. 아래에서 후술하겠지만 심지어 OS간 호환도 되어서 macOS에서 Parallels Desktop을 통해 Windows를 사용하다가 감염되어 호스트인 macOS까지 감염되는 사례도 많다.

다만, 대부분의 가상머신 탈출 사례가 네트워크 취약점을 활용한 전염이다. 위의 사례도 버추얼박스 실행 상태 바를 보면 가상화 네트워크를 끄지 않았음을 확인할 수 있다. 그러나 게스트(가상화)와 호스트(물리적) 간의 자원이나 정보를 전달, 공유하는 과정에서 일어난 소프트웨어 버그나 취약점을 이용하여 가상머신을 탈출하는 사례가 PWN2OWN 같은 데서 보고되고 있다. 때문에 가상머신 안에서 가동되는 컴퓨터 자체는 논리적으로 독립된 곳이지만 마냥 안전한 건 아니니 자신이 없으면 하지를 말자.

또한 암호화되지 않은 똑같은 네트워크를 사용하는 컴퓨터끼리도 감염이 되어버리는 사례도 있다. 국내의 비 프렌차이즈카페에서 의도적으로 랜섬웨어에 감염된 기기를 암호화되지 않은 무선 네트워크에 연결한 채 오랜시간 방치하여 같은 와이파이를 잡고 있었던 여러 노트북이 감염된 사례는 이미 유명하다.

감염된 내장 혹은 외장 드라이브를 밀기 위해서 감염되지 않은 컴퓨터에 연결해서 포맷하려는 경우가 있는데 대부분의 컴퓨터에서 Plug & Play를 지원하기 때문에 연결하는 즉시 연결한 컴퓨터도 감염되어 버린다. 마찬가지로 이쪽도 OS 상관없이 감염이 되어버린다. 때문에 감염된 드라이브를 밀고 싶다면 전문가에게 맡기는걸 추천한다.

한국인터넷진흥원이 운영하는 암호이용활성화 홈페이지에서 랜섬웨어 동향 및 분석 보고서를 배포한다.

2.1. 치료


다음 방법들은 안전 모드가 작동이 가능한 경우에만 해당[18]되며, 안전 모드를 복구[19]할 수 없다면 랜섬웨어에 의해 암호화된 파일을 별도의 저장소에 백업하고 감염된 PC에 Windows를 재설치한 후 아래 4번 항목부터 진행해야 한다.
  1. 우선 데스크톱의 경우 전원 플러그를 뽑는 등 컴퓨터를 물리적으로 완전히 종료해야 한다.[20] 노트북이라면 배터리 일체형 제품의 경우 전원 버튼을 꾹 누르거나 배터리 분리형 노트북인 경우 배터리를 분리해 완전히 종료시킨다.
  2. 컴퓨터의 전원 버튼을 누른 후 안전 모드로 진입한다.
    • (Windows 7까지) 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 키로 '안전 모드(네트워킹 사용)'를 선택한 후, 'Enter' 키를 눌러 진입한다.
    • (Windows 8부터) 우선 이 사이트를 참고하여 안전모드(네트워킹 사용)로 부팅한다.
  3. 안전 모드로 진입이 완료되었을 경우, 적절한 안티 바이러스 제품으로 검사하여 랜섬웨어를 제거한다. 결제 협박문이 남아 있을 경우, Malware Zero를 이용하여 제거한 후 시스템을 다시 시작한다.
  4. 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아 있을 것이다. 따라서 암호화된 파일이 복호화가 가능하다면 복호화 툴을 이용한다. 이는 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 공개하거나, 사법 당국이나 안티 바이러스 업체가 복호화 키를 찾아낸 경우에만 해당된다.
  5. 그러나, 4번의 경우도 완벽한 건 아니라서 특정 파일[21]이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할 수도 있다.

2016년부터 한국의 각종 안티 바이러스(백신 소프트웨어)들도 랜섬웨어에 대응 할 수 있도록 계속해서 업데이트되고 있으며 대표적인 랜섬웨어들의 암호화 행위를 사전에 차단할 수 있게 되었다. 바탕화면이 바뀌였거나 이상한 압축 파일이 생겼는데도 변조, 암호화 된 파일이 없다면 백신에서 사전에 차단한 것이므로 3번 항목의 RIFR 또는 Malware Zero를 이용하거나 수동으로 협박문을 삭제하고, 랜섬웨어 감염 과정에서 다른 악성코드에도 감염되었는지 안티 바이러스나 Malware Zero를 이용하여 확인하고, 악성코드가 발견되면 제거한 후 사용하면 된다.

이 대처법은 걸렸다고 해도 암호화가 다 진행되지 않은 경우에 해당하는 대처법이다. 랜섬웨어가 작동하는 동안 자리를 떴다거나 하는 등으로 랜섬웨어가 걸린 지도 모른 채 있다가 전부 암호화가 되면 그때는 더 이상 방법이 없다. 그저 남아있는 악성코드가 있는지 안티 바이러스나 Malware Zero 등을 활용하여 검사, 치료하고, 랜섬웨어가 남긴 협박문을 삭제하고, 필요에 따라 윈도우 재설치, 포맷을 하여 사용하거나, 또는 막 쓰는 컴퓨터라면 그대로 사용하면 된다.

2.2. 예방

파일:상세 내용 아이콘.svg   자세한 내용은 랜섬웨어/예방법 문서
번 문단을
부분을
참고하십시오.

2.3. 주의

랜섬웨어는 고객 응대를 한다고 하여 채팅창(사실상 게시판)을 열어두는 경우가 있는데, 거기다가 대고 공격자를 조롱하는 메시지를 보내지 않는 것이 좋다. 도리어 본인이 감시 대상이 될 수 있으므로, 만약 그런 장소를 발견했다면 건들지 말고 경찰에 신고해야 한다.

3. 원리와 공격

파일:랜섬웨어의 원리.jpg
다양한 공격 벡터로 사용자 접촉 > 악성코드( 랜섬웨어) 다운 또는 감염 > 랜섬웨어 동작(감염 초기) > 파일 암호화 & 각종 시스템 변경 > 몸값 요구( 인질극)

랜섬웨어는 위와 같이 단순한 원리와 순서로 진행된다. 공격 벡터를 살펴보면 피해자( 사용자)는 자신도 모르게 바이러스 사이트에 접속되어 랜섬웨어에 감염되거나, 출처가 불분명한 메일을 통한 감염, 출처가 불명확한 소프트웨어를 통한 랜섬웨어에 감염 등 다양한 공격 경로로 랜섬웨어에 감염될 수 있다. 랜섬웨어 증식 및 전파 방식에 대해 최근 특성을 예로 들어 설명하자면, 윈도우의 원격코드 실행이 가능한 SMB 취약점을 통해 같은 네트워크 대역의 PC에 랜섬웨어를 전파한다. SMB 윈도우 운영체제가 설치된 시스템에서 파일이나 디렉토리 및 주변 장치들을 공유하는 목적으로 사용되는 전송 프로토콜로 SMB 취약점을 통해 원격 파일 복사 및 실행이 가능하여 최근 랜섬웨어 전파 목적으로 이 취약점이 자주 활용되고 있다.

피해자( 사용자)가 랜섬웨어 감염을 인지하지 못한 상태에서 랜섬웨어를 실행하는 순간 PC의 파일이 암호화되며, 가장 먼저 공격의 대상이 되는 것은 디렉토리 파일이다. 공격자( 해커)는 사용자에게 더 많은 돈을 요구하기 위해 PC에서 중요한 정보들을 포함할 수 있는 파일들을 선별화하여 암호화한다. 이는 랜섬웨어의 주목적이 처음부터 몸값을 요구하여 금전을 취득하는 것이기 때문에 시스템을 파괴하거나 불필요한 파일을 암호화하는 것을 최소화하는 대신에 실제 피해자( 사용자)가 최근 생성한 문서, 이미지 등의 파일"주요 대상"으로 암호화하여 몸값을 극대화하는 것이다. 랜섬웨어는 파일 암호화 수행이 완료되면 피해자( 사용자)에게 공격당했다는 사실을 인지시키기 위해 암호화된 파일들을 바탕화면으로 이동시키거나 피해자(사용자)에게 랜섬웨어 감염 내용과 파일 복구를 위한 몸값 지불 요구를 랜섬노트를 통해 알리는 작업을 수행한다.

대부분의 랜섬웨어는 몸값 지불 수단으로 비트코인 가상화폐를 이용하는데, 몸값을 지불하고도 복호화 키를 제공 받았다는 후기가 없는 것으로 보아, 암호화된 파일이 아무리 소중하다 할지라도 섣불리 몸값을 지불하는 것은 옳지 않은 방법임에 틀림이 없으니 지불 하지 않는 게 좋다. 아니면 신중히 생각하라. 해커측은 몸값을 지불하면 암호화된 파일이나 디렉토리를 복호화 해주겠다고 유혹하지만 대부분 보여주기식이고 사실상 악성코드 보이스피싱이나 다름없다. 심지어 몸값을 지불할 경우 범죄자( 해커)는 "피해자가 위협적인 요구에 굴복할 것" 이라는 동료 해커에게 신호를 알려 다음에 또 큰코 다칠 수 있다. 랜섬웨어 공격에 돈을 지불하지 말아야 할 4가지 이유

4. 역사

4.1. 비트코인 등장 이전

▲ 랜섬웨어와 유사한 형태를 취하고 있는 DOS 시기의 악성 코드 카지노 바이러스. #
랜섬웨어 이전에도, 사용자의 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어 놓는 종류의 악성코드는 많이 있었다. 대표적인 예가 바로 위에 있는 DOS 시절의 카지노 바이러스다. 랜섬웨어와 비슷하게 하드 디스크 FAT RAM에 백업해 놓고 간단한 슬롯머신 게임을 실행해 "5크레딧 이내에 잭팟 당첨"이라는 조건이 만족되지 않으면 파괴하는 형식을 취했다. 돈을 요구하지는 않고, 잭팟이 터져야 인질로 메모리에 붙잡아 뒀던 FAT를 다시 복구해 준다.

최초의 랜섬웨어로 알려진 악성코드 DOS 환경에서 작동하는 AIDS 트로이 목마이다. 1989년 세계보건기구 후천성 면역 결핍 증후군(AIDS) 회담에서 이 악성코드가 담긴 20,000장의 플로피 디스크가 배포되었다. 파일을 복구하기 위해서는 파나마에 위치한 우편함에 189 달러(미국 달러)를 보내어 라이선스가 담긴 디스크를 별도로 받아야 했다. 링크

비트코인 등장 이전의 초창기 랜섬웨어는 결제 수단으로 우편이나 대포통장, 또는 잘 알려지지 않은 듣보잡 간편 결제 서비스를 사용했기 때문에[22] 우편 배송 내역이나 거래 내역 등의 뚜렷한 흔적이 남아서 어느 정도 범죄자의 추적이 가능했었다. 그리고 현재처럼 크게 확산되지 않아서, "랜섬웨어"라는 개념 자체가 거의 형성되지 않았다.

비트코인 등장 후 크립토락커가 등장하면서 랜섬웨어 = 컴퓨터 암호화라고 여겨지고 있다. 다만 이전에도 이런[23] 형식의 컴퓨터를 암호화하지 않는 형식의 랜섬웨어들은 많이 존재했고, 종류가 다르긴 하지만 카지노 바이러스같은 경우도 있었다. 크립토락커가 등장한 이후 랜섬웨어의 대세는 컴퓨터 암호화 랜섬웨어인 것으로 보인다. 상기한 링크에서 말하는 형식의 랜섬웨어는 사용자 스스로 해제하는 것도 쉽기 때문이다.

이걸 보아도 악질적이지만 적어도 비트코인 등장 이후와 비교하면 그나마 신사적이라고 볼 수 있다.

4.2. 비트코인 등장 이후

대부분 Tor 기반의 결제 홈페이지를 이용하여 거래하고 비트코인으로 결제하기 때문에 범죄자 추적이 더욱 어려워졌고, 각종 랜섬웨어들이 우후죽순 생겨나 급격히 유행하기 시작했다. 이 때문에 암호 알고리즘과 비트코인(+ Tor)[24]의 조합이라고 불리기도 한다. 여기서 쓰이는 암호화 방식도 대단한데 상당수의 랜섬웨어들이 RSA-1024와 AES-128[25] 암호화 방식을 쓰는데 감이 안 온다면 요즘은 공개 키 암호화 방식은 기본으로 RSA-1024 이상을 쓰고 대칭 키 암호화 방식도 3DES, AES-128이상을 보통으로 쓴다. 어쨌든 개인이 푸는 것은 불가능하다. 양자 컴퓨터를 이용하면 암호화 해제가 가능할 것이라고 하지만 아직까지는 현실적인 해법이 아니다.

2020년대 들어 가상화폐 종류가 많아짐에 따라 굳이 비트코인이 아니더라도 이더리움이나 심지어 도지코인을 요구하는 사례가 부쩍 늘었다.

결제 대금을 지불해준다고 해서 랜섬웨어를 풀어주는 것은 아니다. 풀어주지 않으며 그냥 돈만 먹튀 한다. 풀어주려고 서버에 접근한다든가 하는 행동으로 인해 경찰에 잡힐 수도 있기 때문이다. 자세한 내용은 7.5. 몸값을 지불하면 데이터가 복원된다? 3. 원리와 공격 문단 참조.

5. 범죄자들

여기에 등재된 범죄자들은 지금까지 랜섬웨어로 돈을 먹으려다가 사람들의 기지나 경찰의 추적등으로 잡힌 범죄자들이다. 재력의 유무를 따지지 않고 수많은 사람들에게 고통을 주다가 체포된 범죄자들이다. 어느면에서는 테러리스트 수준이다.[29] 체포된 범죄자 징역은 기본적으로 7년쯤은 된다는 소리가 있지만 엄벌주의인 미국에서만은 절대로 아니다.

6. 종류

파일:상세 내용 아이콘.svg   자세한 내용은 랜섬웨어/종류 문서
번 문단을
부분을
참고하십시오.

7. 의문점 및 오해

7.1. 모바일에는 랜섬웨어가 없다?

컴퓨터에만 랜섬웨어가 있다고 생각하는 사람들이 있는데 모바일에선 랜섬웨어가 없다고 생각하면 큰 오산이다.


[31] 본사 유튜브 계정에서는 삭제된 영상이다. 사용된 기기는 왼쪽부터 모토 360 1세대와 갤럭시 S III(OS 버전 불명) GT-i930x이다.

위 영상은 모바일에서는 랜섬웨어가 어떻게 작동하는 지를 보여주는 영상이다. 영상에서 보듯, 스마트폰뿐만 아니라 연동되어 있는 스마트워치에까지 감염이 된다. 하지만 컴퓨터를 공격하는 것보다는 피해가 적다.

그럼에도 안심하면 안 된다. 실제로 제작이 이루어지고 있는 부분으로, 클라우드 스토리지에 자동으로 업로드되는 사진과 동영상들의 확장자는 그대로 두고 내부 정보만 암호화하면 클라우드 스토리지에 있는 정보까지 덮어씌울 수도 있다.

IoT 기술의 발달로 운영체제를 통한 전자제어를 하는 스마트 가전제품들도 위험해졌다. 스마트 TV에서도 랜섬웨어 감염이 보고되었다. 보일러 온도를 최고온도로 고정하고 돈을 요구하는 종류의 랜섬웨어도 보고되고 있다.

7.2. macOS는 랜섬웨어에 감염되지 않는다?


역시나 큰 오산이다. Mac에서도 충분히 랜섬웨어에 감염될 수 있다.

사례가 적은 이유는 단지 Windows의 점유율이 많이 높아서 해커들이 Windows용 랜섬웨어만 만드는 것뿐, 충분히 마음만 먹으면 macOS용 랜섬웨어를 만들 수 있다. 최근에는 디자이너와 개발자가 macOS를 많이 쓰는 사례를 이용해 사진이나 동영상 같은 그래픽 파일, 또는 소스 파일들만 골라서 암호화하는 악질 해커들도 속속 등장하는 추세이다. Parallels Desktop, VMware Fusion 등의 가상머신을 통해 Windows를 사용하는 도중에 Windows용 랜섬웨어에 감염되어 호스트인 macOS까지 같이 피해를 보는 사례도 많다.[32] 이렇듯 여러 기업 및 개인에서 mac을 사용하는 사례가 늘어나자 2024년 기준으로 macOS에서도 작동하는 랜섬웨어가 기하급수적으로 늘어났다.

macOS에서 응용 프로그램을 실행하려면 반드시 사용자가 먼저 설치해야만 한다. 기본적으로 맥은 앱스토어에서 설치한 프로그램이 아니면 보안상의 이유로 처음 실행시 까다롭게 실행되게 해 놓았다.[33] 때문에 이를 노리고 앱스토어가 아닌 GitHub등 외부에서만 얻을 수 있는 프로그램들을 위장한 랜섬웨어가 많다. 한 예로 iOS 탈옥 툴인 Cydia Impactor나 blobsaver등의 툴로 위장한 랜섬웨어도 있다. 따라서 출처가 불분명한 dmg, pkg 파일은 설치하지 말자.

위 영상을 보면 Windows 못지 않게 쉽게 감염되는 것을 볼 수 있다.

2020년을 기해 Apple이 인텔 프로세서를 버리고 자체 개발 ARM 기반 프로세서인 Apple M1을 탑재하기 시작해 감염사례가 줄어들 것으로 보였으나, M1이 탑재된 기기에서 감염된 사례가 속출해 별 효과는 없는 것으로 나타났다.[34]

심지어 M1 맥이면서 2022년 출시된 macOS Ventura 13.1에서도 순식간에 랜섬웨어에 감염된 사례도 있다.

macOS는 안티바이러스 프로그램 무용론을 주장하는 사람이 많은데, 자칫하다가 감염될 수 있으니 여건이 된다면 macOS에도 안티바이러스를 설치하는 것을 권장한다.

번외이긴 하지만, deb나 rpm을 직접 설치해야 하는 리눅스 기반 운영체제도 Wine을 통해 랜섬웨어에 감염되는 사례가 없지는 않다.

7.3. 복구 업체는 자체 기술로 데이터를 복호화할 수 있다?

[랜섬웨어, 걸려봤다] "100만원이면 저희는 다 복구 가능하세요"
랜섬웨어 무차별 유포…복구업체 폭리에 두 번 우는 피해자
랜섬웨어 복구 업체, 알고 보니 범인들과 연락하고 있었다

어느 정도 사실이다. 대부분의 랜섬웨어 복구 업체는 해커에게 복호화 툴을 받는 방법으로 데이터를 복구한다. 그래서 랜섬웨어 전문 데이터 복구 업체의 홈페이지나 광고에서도 가격을 표시하지 않고[35] 일단 상담을 받아보라 한다. 그래서 이런 업체에 방문하여 복구 비용을 문의하면 최소 수십 만 원에서 최대 수백만 원을 부른다. 이유는 해커가 원하는 복호화 툴의 가격이 천차만별이고, 업체에서도 수수료를 떼 가야 하기 때문.

만약 해커가 잠적했거나, 잘 알려지지 않은 랜섬웨어에 감염되거나, 해커와 접촉할 수단이 없어졌다면 복구 업체에서도 할 수 있는게 없어서 그냥 데이터를 포기하고 포맷하라고 한다. 애초에 소규모 복구 업체에서도 복호화를 쉽게 진행할 수 있었다면 이런 식으로 해커와의 거래를 하지 않았을 것이다.

거기다 이렇게 수십~수백 만 원의 현금을 지불하고도 해커가 복호화 툴을 준다는 보장도 없다. 몇몇 해커는 복구 업체 상대로는 할인을 해주는 경우도 있지만,[36] 작정하고 돈만 챙기고 잠적한다면 업체 입장에서도 할 수 있는게 없기 때문이다. 그렇기에 대부분의 업체에서는 일단 수수료를 먼저 받고, 해커와의 접촉에 성공하여 복호화에 성공하면 추가적으로 돈을 받는 방법으로 수익을 낸다.

여기에 수수료도 아무리 싸도 수십 만 원이 기본이고, 일부 업체에서는 해커와 접촉에 실패해도 수수료를 환불해주지 않는 불법 행위를 저지르는 경우도 있으므로 개인 입장에서는 해커가 잡히거나 랜섬웨어의 분석이 완료되어 복호화 툴이 유포되기를 기다리는 것이 상책이다.

7.4. 랜섬웨어는 대기업이나 조직만을 대상으로 한다?

랜섬웨어는 어떤 것이든 무차별적으로 공격한다. 대부분의 랜섬웨어는 피해자를 대상으로 하는 것이 무차별적이다. 실제로 대부분의 공격자들은 피싱 이메일이나 랜섬웨어가 있는 파일을 의심치 않는 사용자가 미끼를 물도록 하는데 성공하기 전까지는 피해자의 신원조차 알지 못한다. 그리고 중견 조직의 수가 대기업의 수를 훨씬 초과하기 때문에 피해자 조직의 대다수는 가명과는 거리가 멀다. 실제로 랜섬웨어는 규모나 재정적 자원에 관계없이 비즈니스를 방해할 수 있다. RSM과 미 상공회의소의 '2022년 사이버보안 특별보고서' 자료에 따르면 중견기업 임원의 23%가 지난해 자사가 랜섬웨어 공격이나 수요를 경험했다고 답했다.

7.5. 몸값을 지불하면 데이터가 복원된다?

랜섬웨어가 기기나 네트워크를 감염시킬 때, 데이터를 신속하게 되찾기 위해 몸값을 지불하는 것이 유혹적일 수 있다. 불행하게도, 보증과 후기는 없으며, 해커들은 일단 지불이 이루어지면 항상 약속을 이행하지는 않는다. 왜냐하면 복호화 해줄려고 서버에 접속했다간 경찰에게 "추적" 될수 있기 때문이다. 암호 해독 키를 사용하더라도 데이터 잠금을 해제하는 프로세스는 결코 간단하지 않을 수 있으며, 때로는 불가능할 수도 있다. 몸값을 지불하는 것이 범죄자들이 미래에 사용자를 다시 목표로 삼도록 부추길 수 있다는 것은 말할 것도 없고, 사용자가 위협적인 요구에 기꺼이 굴복할 것이라는 신호를 다른 범죄자들에게 보낼 수도 있다.
랜섬웨어 공격에 돈을 지불하지 말아야 할 4가지 이유

더 큰 목표물이 된다
악플러에게는 대응하지 말라는 말이 있다. 대응하면 계속 도발적인 말을 하기 때문이다. 랜섬웨어도 비슷하다. 몸값을 지불하면 공격자는 더 신이 난다. 범죄자는 다른 범죄자에게 누가 돈을 지불했고 누가 지불하지 않았는지 이야기한다. 피해자가 돈을 지불하는 대상으로 인식되면 당연히 다른 범죄자들도 몰려들게 된다.

게다가 그 공격자도 다시 올 수도 있다. 한 번 돈을 지불했으니 당연히 또 지불할 것이라고 생각하는 것이다.

범죄자를 신뢰할 수 없다
범죄자가 약속을 지킬 것이라는 기대는 위험하다. 돈을 내고 해독 키를 받는 간단한 거래로 보이지만 랜섬웨어 범죄자가 약속을 지킬지 미리 확인할 방법은 없다. 몸값만 지불하고 파일에 대한 접근권을 돌려받지 못한 피해자가 많다.

여기에는 상반된 측면도 있다. 즉, 데이터를 돌려받지 못한다는 인식이 굳어지면 아무도 돈을 지불하지 않을 것이란 점이다. 범죄자 세계에서도 신용은 중요하다.

크립토월(CryptoWall) 조직은 피해자에게 기한을 연장시켜주거나 비트코인을 구하는 방법을 알려주고(비트코인이 랜섬웨어에서 선호됨), 피해자가 돈을 지불하면 즉시 파일을 해독해주는 친절한 고객 서비스로 유명하다. 테슬러크립트(TeslaCrypt), 레베톤(Reveton), CTB-로커(CTB-Locker) 등의 다른 조직은 신용도가 그다지 좋지 않다. 어느 조직을 믿을 수 있을까? 직접 돈을 지불해서 확인하는 방법은 최선의 전략이 아니다.

다음 몸값은 더 높아진다
데이터 갈취범은 보통 과도한 금액을 요구하지 않는다. 평균적으로 300달러에서 1,000달러 사이다. 그러나 공격에 굴복하는 조직이 증가함에 따라 범죄자들 사이에서도 가격을 올려도 된다는 확신이 커지고 있다. 피해자에게 그 파일이 정말 절실히 필요하다면 데이터의 시장가격은 무의미하다.

할리우드 장로 병원(Presbyterian Medical Center)이 전자 의료 기록 시스템에 대한 접근 권한을 돌려받기 위해 1만 7,000달러를 지불했음을 생각해 보자. 병원 IT 부서가 데이터를 복구하는 사이 환자들은 다른 병원으로 갔고, 데이터그래비티(DataGravity)의 CISO인 앤드류 헤이가 대략적으로 추산한 바에 따르면 그 과정에서 병원이 입은 잠재적인 손실 금액은 53만 3,911달러에 달한다. 이 손실 금액에 비하면 몸값은 아주 미미한 수준이다. 지금은 1만 7,000달러지만 이 조직이 다음 주에 다시 공격해 5만 달러를 요구할 수도 있다.

간단한 경제학이다. 판매자는 구매자의 지불 의향을 기준으로 가격을 결정한다. 피해자가 지불을 거부하면 공격자 입장에서는 몸값을 더 올릴 이유가 없다.

범죄자를 독려하게 된다
장기적인 관점에서 보자. 몸값을 지불하면 당장 데이터를 복원할 수 있지만 그 돈은 또 다른 범죄를 위한 자금이 된다. 공격자는 더 풍부한 자금을 기반으로 더 진보된 랜섬웨어와 더 정교한 침투 메커니즘을 개발하게 된다. 많은 사이버 범죄 조직은 일반적인 기업과 마찬가지로 여러 수익원과 다양한 제품군을 갖추고 운영된다. 랜섬웨어 공격으로 벌어들인 돈은 다른 공격 활동을 위한 자금으로 사용될 수 있다.
랜섬웨어 공격에 돈을 지불하지 말아야 할 4가지 이유


하지만 현실적으로 데이터를 복구할려면 해커에게 돈을 줄 수 밖에 없어서, 대부분의 랜섬웨어 사고들은 지불하는걸로 끝난다. 문제는 해커들의 변심인데. 한번에 끝나면 자비롭고 상도덕을 아는 해커라고 할 정도로 약탈 수준으로 요구하는데. 카도카와가 당한 사건만 해도 처음에는 298만 달러를 요구해서 지불했지만, 다시 825만 달러를 요구했고 카도카와에서 난색을 표하자 해커들은 바로 개인정보를 유출했을 정도였다.

7.6. 백업을 해두었다면 랜섬웨어부터 모든 게 괜찮다?

역시 아니다. 백업은 방어 측면에서 매우 중요하며 랜섬웨어 최후의 방어선이다. 하지만 대부분의 기업과 기관에서는 백업을 모니터링하거나 테스트하지 않는다. 또한 최신 변종 랜섬웨어 백업과 백업 파일까지 암호화하기도 한다. 백업은 랜섬웨어로부터의 피해를 막기 위한 최선의 방법이 아니라 최후의 방어선인 것이다. 따라서 사고 복구(Disaster Recovery) 절차를 문서화하고 정기적으로 테스트를 실시해야 한다. 또한 암호화하여 백업해 둔 파일의 크기나 타임 스탬프의 증가 등 변경 사항을 모니터링해야 한다. 중요한 데이터에 대해서는 오프라인 백업도 고려할 필요가 있다.

8. 피해 사례

8.1. 시기 불명

불법공유 사이트인 Tcafe.net의 경우 정상적인 자료인 척 랜섬웨어를 집어넣고 배포하는 사례가 굉장히 많다.

8.2. 2015년

2015년 4월 21일 새벽, 클리앙의 광고 서버가 해킹되어 랜섬웨어가 배포되었다. 클리앙 랜섬웨어 사건의 전말. 대한민국 랜섬웨어의 시초격인 사건[37]이며, 크립토락커의 한글 버전 즉 랜섬웨어에도 한글화가 되어 한국을 집중적으로 노린 공격이었다. 공격은 구 버전 플래시의 취약점을 이용하여 공격하는 방식이었으며, 사이트에 접속만 하는 별 거 아닌 행위로 랜섬웨어에 감염되고 파일들이 암호화되어 버리는 처음 보는 광경에 나름 컴덕들이었던 클리앙 이용자들이 멘붕을 일으켰다. 이 사건으로 인해 다수 클리앙의 이용자들이 피해를 입었는데, IT 커뮤니티 특성상 정보도 얻을 겸 회사 컴퓨터로 접속하는 경우도 많아, 그 바람에 회사 중요 파일들이 몽땅 암호화되는 등 피해 규모는 심각한 편이었다. 이후로 컴덕들의 플래시 및 랜섬웨어에 대한 경각심이 높아지게 되었다.

4월 22일에는 seeko, 디시인사이드의 광고 서버가 해킹되어 랜섬웨어의 배포지가 되는 등, 국내 커뮤니티로 랜섬웨어 배포가 확산되면서 피해가 커질 전망이다. 특히 이번에 문제가 되는 랜섬웨어의 경우 취약점 공격이 1~2개로 한정되어 있는 것으로 보아 일종의 시범 성격이 큰 바, 본격적으로 공격이 진행되면 지금보다도 더 큰 재앙이 도래할지도 모른다.

10월 중순부터 ccc바이러스라 불리는 랜섬웨어가 유행하기 시작했다. 모든 파일의 확장자 명을 cc나 ccc로 바꾼 후 비트코인을 요구하는 창과 결제 방법 창을 띄운다고 한다.

11월 13일 드디어 CoinVault의 랜섬웨어 유포/제작자가 네덜란드 경찰에 의해 검거되었고, 현재 CoinVault 랜섬웨어의 모든 복호화 키를 넘겨 받아서 카스퍼스키에서 복구 툴을 만들어 배포 중이다. 해당 홈페이지 참조 랜섬웨어 복호화 툴 복구 가능한 랜섬웨어는 CoinVault와 Bitcryptor 두 가지이다.

12월 5일에는 일본에서 시작된 걸로 보이는 통칭 'VVV' 랜섬웨어가 기승을 부리기 시작했다. 몇몇 대형 마토메 사이트를 매개로 퍼진다고 알려졌으며 이것도 위와 마찬가지로 광고를 통해 전염되고, 파일 확장자를 'vvv'로 바꾸고 암호화시키는 데다 윈도우 복원 포인트까지 삭제시킨다고 한다. 단 일본 웹에서는 마토메 사이트가 매개라는 점에 대해 의혹을 제기하는 견해도 적지 않다. 랜섬웨어 문제가 본격적으로 공론화되기 전인 2010년 경부터 이미 VVV 랜섬웨어 자체는 존재했고, 굳이 마토메 사이트가 아니라도 해외 웹사이트나 성인 사이트의 광고를 매개로 감염되는 사례가 있었기 때문에 마토메 사이트 감염설을 마토메 안티들의 선동이라고 보는 시각도 많다.[38] 또한 주로 트위터를 중심으로 이 랜섬웨어에 대해 검증되지 않은 불확실한 정보들이 무수히 돌고 있는 형편이라 사람들을 불안하게 만들고 있다.

12월 8일, 문서 상단에서 언급했듯이 마이크로소프트에서 관련 대응 업데이트를 개시했다. 보안 업데이트도 중지한 XP도 이번만큼은 업데이트를 지원할 만큼 긴급하게 업데이트를 단행한 건데, 문제는 이 업데이트를 설치하고 나서도 랜섬웨어에 감염되는 사례가 있어 아직은 조심해야 할 단계다.

8.3. 2016년

1월 10일 경에 TeslaCrypt 2.2 (.vvv, .ccc 확장자) 복호화 툴이 GitHub에 풀렸다. # 한글 사용법은 랜섬웨어침해대응센터에서 참조하면 된다. 사이트 시도해 본 결과 본 방법으로 TeslaCrypt 2.2 외에도 같은 확장자로 변경되는 CryptoWall 3.0의 복호화도 가능하다.

2월 말에는 확장자를 .mp3(음악 파일)로 바꾸는 랜섬웨어가 기승을 부리기 시작했다.

3월 ~ 4월 천리안 메일 계정들이 털렸는지 천리안 메일 계정으로 랜섬웨어가 심어진 스팸 메일이 무차별적으로 살포되었다. 특히 메일 중에는 사용자 자신이 자신에게 보낸 메일인 것처럼 위장하는 메일도 있으므로 자신에게 메일 쓰기 기능을 쓴 적이 없다면 호기심에라도 열어보는 일이 없도록 해야 한다. 천리안 뿐만 아니라 네이버 메일에서도 이 현상이 자주 나타나고 있으니 주의해야 한다. (그래도 네이버는 첨부 파일 다운 전 악성코드가 포함되어 있다고 경고라도 해 준다.) 그리고 대부분 자기 자신에게 보낸 것처럼 위장하는 메일에 있는 랜섬웨어의 종류는 Locky라고 한다. Invoice(송장), payment, 여행 계획이 있을 시 flight plan 등으로 시작하는 제목이라면 무조건 의심해 봐야 한다.

3월에 트랜스미션에 맥에서 처음 구동되는 랜섬웨어가 발견되었다. 수많은 사람들이 피해를 입었고, 제작자는 바로 버전 업을 해버렸다.

5월 21일 카스퍼스키에서 제공하는 복호화 툴로도 해결이 안 되는 랜섬웨어가 발견되었다. 트위터에 의하면 현재 새로운 버전에 대한 연구도 진행 중이라고 한다.

5월 22일 12시 02분 경 오늘의유머 광고에 랜섬웨어가 침투하였다.

6월 5일 Diep.io에서 랜섬웨어에 감염된 사례가 발견되었다.

6월 5일 오전 중에 .crypz 형식의 랜섬웨어가 새로 발견되었다. 국외와 국내에서 동시 다발적으로 보고가 되고 있어 주의가 필요하다. 해당 바이러스의 경우 CryptXXX 3.0의 변종으로 추측되며 CryptXXX 3.0 계열의 경우 급조해 만든 변형이라는 것이다. 결제 시스템도 엉망이라 입금을 해도 해커가 입금 여부를 확인 못하고 심지어 해커의 복원 툴마저 고장 나는 것으로 추측되어 돈을 지불한다 하더라도 복원될 가능성이 거의 없다고 알려졌다. 그리고 이 와중에 .cryp1 형식의 랜섬웨어가 추가로 발견되었다.

6월 7일 뽐뿌 광고에 랜섬웨어가 침투한 것이 발견되었다. #, # 3일부터 진행 중이었다고 한다. 참고로 6월 2일 컬쳐랜드에 접속한 후 랜섬웨어에 감염됐다는 글이 올라왔는데, 뽐뿌 링크, 아카이브. 해당 랜섬웨어 감염 피해자가 컬쳐랜드 공식 홈페이지를 방문하였다가 감염된 것이 아닌 뽐뿌에서 이벤트 링크를 통해서 컬쳐랜드에 들어갔다고 한다. 뽐뿌에서 랜섬웨어를 걸렸을 가능성이 크다.

7월 14일 3dp Chip 다운로드 사이트 광고에 랜섬웨어 감염이 의심된다는 제보 1 제보 2가 있었다. 현재는 문제가 수정된 상태이다. 실제로 피해를 본 사람도 있다고 한다.

7월 20일 윈도우 바로 가기 파일(.lnk) 형태의 랜섬웨어가 발견되었다. 이번에 발견된 바로 가기 파일은 악성 자바 스크립트 파일을 생성 및 실행하는 코드가 삽입되어 있어 사용자 모르게 랜섬웨어를 감염시키며, 해당 랜섬웨어는 사용자 PC의 사진 및 그림 파일, 각종 오피스 문서 등을 암호화하여 몸값을 요구한다. 암호화된 파일은 확장자 뒤에 '.vault'가 추가되며 더 이상 파일을 사용할 수 없게 된다고 한다.

8월 23일 포켓몬 GO의 인기를 악용한 랜섬웨어가 등장하였다.

9월 25일 Locky 계열의 다른 변종 *.odin 확장자가 발견되었다. 아직 보안 업체에서도 방패가 없다.

10월 14일, 나무라이브에서 랜섬웨어가 유포되었고, 확인된 감염된 유저가 1명 발생했다. 유포된 랜섬웨어는 6월에 암호 키가 공개된 테슬라크립토이며 추천 조작 프로그램이라는 이름을 달고 url을 첨부해 유포되었다. 그리고 10월 16일에도 유포되었다. 이 때는 대놓고 .exe 파일로 링크를 걸어서 다행히 백신이 대부분 차단했다. 어쨌거나 이런 유형의 url은 클릭도 하면 안 된다. 그리고 랜섬웨어를 목격했다면 즉각 신고해야 한다.

10월 18일, 또 다시 나무라이브에서 랜섬웨어가 유포되었고, 감염된 사용자가 발생하였다. 이번엔 지난번 유포된 '테슬라크립토'가 아닌 '크립토 월'로, 이건 아예 공개 키가 없는 상태이다.

8.4. 2017년

4월 6일, 동방 프로젝트 갤러리에 한 갤러가 ' 련선웨어'라고 하는 랜섬웨어를 만들었다는 이 올라왔다. 이 랜섬웨어의 해제 방법은 돈이 아닌, 탄막 슈팅 게임인 동방성련선을 직접 구해서 설치를 한 뒤 가장 높은 난이도인 루나틱에서 점수 2억 점 이상을 달성하는 것이다. 이 와중에 디버깅을 대충한건지 최초 유포 파일로는 실행이 안되어[39] 개발자 자신이 테스트 과정에서 자기 컴퓨터에 걸린 게 유일한 감염이었다.[40] 련선웨어 문서 참고.

5월에 발생한 랜섬웨어 워너크라이에 대해서는 워너크라이 문서 참고.

6월 8일경 중국에서 Lycorisradiata라는 신종 모바일 랜섬웨어가 발견되었다. 이번에 발견된 랜섬웨어는 화면만 잠그고 돈을 요구했던 기존 랜섬웨어와는 달리 실제로 사진, 동영상과 같은 파일들을 잠그는 것으로 알려져 한국에 피해가 우려되었다. 결제 화면이 워너크라이랑 유사하다.[41]

6월 10일경 한국 유명 호스팅 업체 '인터넷나야나'에 랜섬웨어 공격이 발생하였다. 그리고 11월 6일, 이번에는 인터넷나야나에서 운영하는 코리아 IDC가 랜섬웨어에 감염되었다. 인터넷나야나 랜섬웨어 감염 사태 문서 참고.

6월 27일에 우크라이나를 공격한 낫페트야[42]가 전 세계로 확산되었다. 우크라이나를 노린 것으로 보이는 지라 러시아가 배후일 거라는 추측이 나왔다. 이로 인해 피해를 본 나라는 워너크라이 사태 때보다 적지만, 악질적이라 나토에선 아예 가해국에게 보복 응징을 해야 한다는 말까지 나왔다. 10월 24일엔 낫페트야의 변종으로 추정되는 배드 래빗이 등장해 동유럽을 중심으로 확산되었는데, 낫페트야의 배후가 배드 래빗의 배후인 것으로 추정된다고 한다.

8월 10일에는 '역사상 최악의 랜섬웨어'라고 하는 스캐럽이 한국에서 발견되었다. 확장자가 없는 파일까지도 암호화 시킨 후 셧다운을 시켜버리고 부팅 자체를 불가능하게 만들어서 랜섬웨어에 걸렸는지도 확인이 불가능하며 이 때문에 결제 요구 문구가 뜨지도 않는다. 즉 랜섬웨어지만 랜섬웨어가 아니라 그냥 트로쟌(트로이목마)인 셈이다. 제작자의 실수로 보인다. 기사

11월 4일에 확장자를 .yjnowl로 바꾸는 랜섬웨어가 등장했다. 이는 Magniber 랜섬웨어의 변종이다. 링크 11월 16일에는 확장자를 .axrxru으로 변경하는 변종이 Hitomi.la 웹 사이트를 공격하면서 많은 추가 감염자를 만들어냈다. 링크. 업로드 된 책자를 보기 위해 다운로드 버튼을 누르면 뜨는 중간 광고 창을 이용하여 랜섬웨어를 유포했던 것이다. 이 랜섬웨어는 접속 IP 위치를 판단하여, 한국인 경우 네트워크 암호화 키, 한국이 아닌 경우 로컬 암호화 키를 사용하여 암호화하는 과정을 수행한다. 즉 감염자가 한국인이라면 공격자에게 돈을 지불하는 방법 외에는 복호화 방법이 없는 것이다. 가끔 유포 과정에서 네트워크 키가 제대로 작동하지 않아 로컬 키로만 동작하는 경우도 있었다. 링크. 이 점에 착안하여 일부 보안 업체는 Magniber를 직접 복호화할 수 있음을 알리고 복호화 절차와 도구를 공개하였다. 2018년 11월에도 보안 관련 커뮤니티를 주축으로 Magniber 랜섬웨어의 복호화 방법이 새로이 등장하고 있다. 링크 1, 링크 2

12월 25일에 확장자를 .vticxt로 바꾸는 랜섬웨어가 등장했다. 이 역시 Magniber 랜섬웨어의 변종이다. 링크

12월 27일에는 헤르메스 랜섬웨어가 확산 중이다. 관련 기사

8.5. 2018년

유튜브의 동영상을 내려받거나 MP3로 추출하는 웹사이트 Convert2mp3[43]가 CrySis 랜섬웨어에 감염되었다는 말이 나왔다. Convert를 누르면 랜섬웨어가 실행된다고 한다. 2018년 2월 5일 가상 머신에서 테스트한 결과로는 문제가 없었다고 알려졌는데, 3월 19일에 지식인에 다른 랜섬웨어인, Magniber 랜섬웨어에 감염된 걸로 의심되는 질문이 올라왔다. 이 랜섬웨어는 한국어 사용자를 대상으로 하는 랜섬웨어이다. 타 유튜브 다운로드 프로그램을 이용하는 것(4k video downloader, savefrom.net 등)을 추천한다.

2월부터 기업 내 인트라넷을 타깃으로 Java 설치 파일로 위장한 랜섬웨어가 기승을 부리기 시작했다. 다운로드도 하지 않았는데 저절로 자바 설치 프로그램이 실행되며, 대부분 이를 자동 업데이트로 인지하고 업데이트를 해 버려서 감염된다고 한다. 심지어 운영체제 설정 언어를 감지하고 해당 언어로 실제 자바 설치 파일을 복사해서 붙여놓기를 해 놓은 것처럼 위장하여 의심할 여지를 없게 만든다. 4월 현재, 기업용 V3 등에서는 감지가 되지 않는 모양이니 조심하자.

8.6. 2020년

캡콤이 라그나로커라는 이름의 랜섬웨어[44]에 당해 2021년의 마케팅 자료 및 스케쥴표, 개발 중인 게임의 스크린샷, 전현직 직원들의 개인정보 등이 유출되었다.

이랜드그룹의 사내망이 Clop 랜섬웨어에 공격받아 95%의 데이터가 암호화 되어 백화점, 아울렛 등의 매장 절반이 휴점하였다. #

Enderman이 제작한 크리피파스타[45] 컴퓨터 바이러스 NoEscape.exe 트렌드마이크로에 의해 진짜 랜섬웨어로 정의되었다. 진단명은 Ransom.Win32.NOESCAPE이다. 다만 랜섬웨어의 정의는 금품을 요구하는 것이 필수적으로 들어가는 데다가, 앞서 말했듯 Enderman은 해당 프로그램을 사용해서 금품을 요구하는 등의 범죄 행위를 저지른 적이 없기 때문에 엄밀하게는 랜섬웨어로 분류할 수 없다.

8.7. 2021년

콜로니얼 파이프라인(Colonial Pipeline)이라는 석유 회사가 랜섬웨어 공격을 당해 해커 측에 약 56억원을 지불하는 사건이 일어났다. 이 회사는 미국 동부 지역 기름의 절반정도를 책임지는 대형 회사라, 소식을 들은 사람들이 주유소로 몰려들면서 어느 주는 주유소 70여곳의 기름이 순간적으로 동이 나기도 하고, 기름을 비닐봉투 등에 담아 트렁크에까지 채우는 사람, 먼저 기름을 넣기위해 몸싸움을 벌이는 사람 등 온갖 천태만상이 터져나온 대형 사건이었다. 관련 기사(영문) 관련 위키 그리고, 비슷한 시기에 그들이 대한민국에서도 활동했음이 알려졌다.

한국에서는 수리기사가 랜섬웨어를 직접 설치하기도 했다.( #/ 뉴스 1, 뉴스 2)

8.8. 2022년

2021년 중순부터, 랜섬웨어가 병원의 전산 원무 시스템과 진단 및 치료 장비에 장애를 일으켜 환자가 사망하는 실제 사례가 해외에서 보고되었다. 해당 사례가 보고된 이후 병원을 직접적으로 노리는 랜섬웨어의 등장 가능성이 제기되었고 업계에서는 2022년부터 이러한 악성코드를 킬웨어(Killware)로 명명하였다.

2022년 2월 경부터 큐냅, 아우스토어 등의 NAS(저장장치)를 대상으로 한 deadbolt 랜섬웨어가 활동하였다. 정확한 원인은 발표되지 않았으나, 나스 운영체제 자체의 문제 또는 DDNS 서버와 관련된 문제가 아닌지 유저들은 예상하고 있다. 2월 27일 현재 관련 문제가 해결된 업데이트를 제공하였으나 암호화된 자료는 대책이 없는 상태.

2022년 3월에 일어난 토에이 애니메이션 사내 네트워크 해킹 사건도 랜섬웨어에 의한 것임이 관계자 인터뷰에서 밝혀졌다.

8.9. 2023년

7월 6일 디시인사이드 중소기업 갤러리에 올라온, 모 중소기업에서 크랙 버전 엑셀을 다운받으려다가 랜섬웨어에 감염되어 1년치 서류를 모조리 날렸다는 내용의 이 네티즌들 사이에서 화제가 되었다. 불법 공유 및 크랙은 악성코드가 유포되는 주된 경로이므로 가급적 정품 소프트웨어를 사용하자.

9월 12일 한화솔루션의 중국 법인이 랜섬웨어에 공격 받아 800GB에 이르는 데이터를 탈취당했다. #

11월 23일 골프존 시스템이 랜섬웨어에 공격 받아 골프존 회원의 개인정보가 유출당했다.

8.10. 2024년

6월 8일, KADOKAWA의 서버에 랜섬웨어 공격이 가해지면서 다수의 개인정보가 유출되는 등의 사건이 발생하였다.
파일:상세 내용 아이콘.svg   자세한 내용은 KADOKAWA 웹사이트 사이버 공격 및 개인정보 유출 사건 문서
번 문단을
부분을
참고하십시오.

9. 언어별 명칭

<colbgcolor=#f5f5f5,#2d2f34> 언어별 명칭
한국어 랜섬웨어
스페인어 Secuestro de datos[46]
아랍어 برامج الفدية
영어 Ransomware
일본어 ランサムウェア[47]
중국어 勒索软件( 중국, 싱가포르)
勒索軟件( 홍콩, 마카오)
勒索軟體( 대만)[48]
프랑스어 Rançongiciel

10. 관련 문서



[1] 이 사이트는 네덜란드 경찰청, 유로폴 그리고 유명 보안 업체 카스퍼스키, 인텔 시큐리티(현 McAfee)에서 시작한 랜섬웨어 감염 방지, 예방을 목표로 하는 프로젝트다. 한국어도 공식적으로 지원한다. [2] 노트북에 그려진 랜섬웨어는 랜섬웨어 종류 중 하나인 ' 워너크라이(WannaCry)'이다. [3] 뒤에 ' Attack'이 붙어 ' Ransomware Attack', 직역하자면 '랜섬웨어 [4] 쉽게 말하자면 컴퓨터에 저장되어 있는 데이터를 인질로 잡는 뜻이다. [5] 협박문을 담은 TXT 파일과 파일들을 압축한 .rar 파일들은 존재하는데 암호화나 변조된 파일도 없고 압축된 파일들을 열어 봐도 비밀번호도 걸리지 않았거나 바탕화면이 바뀌었는데도 암호화, 변조된 파일이 없다면 백신에서 미리 차단한 것이다. [6] 빠른 저장장치 입출력이나 여러 방법으로 수명을 떨어트린다. [7] 명령 프롬프트가 열리지 않기 때문에 CLI 기반으로 우회해서 파일을 복사한다든지 별도의 CLI 기반 비상용 백신을 돌리는 게 불가능해진다. Malware Zero Kit(소위 mzk)도 여기서부터는 무용지물이다. [8] Windows 10 한정, 사실 Windows 10에서는 대부분의 랜섬웨어가 전부 Windows Defender에서 차단되거나 삭제하기 때문에 Windows Defender를 끄거나 프로그램을 승인하거나 업데이트를 강제로 비활성화하지 않는 이상 걸릴 확률이 낮다. [9] 백신의 언인스톨러를 자동으로 실행해서 삭제를 유도하거나 백신 프로세스를 강제로 종료하는 경우다. 하지만 백신도 자가 보호 기능이 있고 커널 모드에서 작동하므로 관리자 권한으로는 강제로 끌 수 없다. 또한 몇몇 백신(V3, 알약 등)은 언인스톨러를 이용한 삭제를 막기 위해 보안 코드까지 입력해야 삭제가 가능하도록 되어 있다. [10] 멀웨어바이츠에서 나온 카멜레온이라는 일반적으로 차단되지 않는 프로세스(예를 들어 윈도우 탐색기, IE 등이 있다. 랜섬웨어가 돈을 받아내기 위해서는 필수적인 프로세스이므로 차단하지 않는다.)로 위장한 백신을 최후의 저항 방법으로 사용할 수 있지만, 안전 모드가 전혀 통하지 않아 업데이트에 방해를 받을 수 있다.(실제 상당수의 바이러스가 일반 모드에서의 업데이트를 방해할 수 있다.) 일단 현재 업데이트는 문제 없이 되었다. 테슬라크립트(확장자 .VVV)의 경우는 치료도 잘 됐다. 그리고 이런 게 워낙 변형된 종류가 많아서 정말로 잡힐지, 혹은 잡더라도 치료가 제대로 될 지는 알 수 없다. [11] Windows XP는 SP1까지는 방화벽 기본값이 비활성화이다. SP2에서 기본으로 켜지도록 바뀌었다. [12] 최근에는 선정적 단어로 확장자가 변환되는 사례가 발견된다. 예: fucked(Manifestus), ifuckedyou(SerbRansom), sexy(PayDay), xxx(TeslaCrypt3.0) 등이 있다. 또한 일부 랜섬웨어는 유명한 파일 확장자를 사칭하기도 한다. [13] # 등 참조. [14] Master Boot Record의 약자로, 물리 디스크의 맨 앞에 기록되어 있는 시스템 기동용 영역이다. [15] GUID Partition Table의 약자로, 물리 디스크에 대한 파티션 테이블 레이아웃 표준이다. 주로 UEFI 기반 컴퓨터에서 사용된다. [16] 한 파일에 바이러스가 2개 들어 있다. UAC 화면에서 '예'를 누르면 페트야가, '아니오'를 누르면 미샤가 실행된다. [17] 상기한 페트야와 미샤를 합친 것이다. [18] 랜섬웨어 종류에 따라 안전 모드로 진입이 되지 않는 경우가 있다. [19] Comodo Cleaning Essentials에 포함된 Comodo KillSwitch의 Quick Repair 도구를 사용하면 복구가 가능할 수도 있다. 자세한 건 이 문서 일부 참고. [20] 이미 감염되어 화면에 문구가 떠있다면 강제종료시 운영체제가 증발할 수 있으니 주의하자. [21] 암호화 과정에서 사용자가 시스템을 강제 종료하여 파일이 손상되었거나, 한국에서만 주로 사용하는 한컴오피스 문서 등이 포함된다. [22] 하술할 크립토락커가 비트코인 또는 MoneyPak이라는 간편 결제 서비스로 입금을 받았다. [23] 중간에 등장하는 러시아어 메시지는 대략 ' 아동 포르노 게이 포르노가 발견되어 300루블의 벌금을 부과하겠다. 웹메일(전자 지불) 계좌로 이 금액 이상을 입금하면 키를 줄 테니 아래 창에 입력한 후 문제가 되는 내용을 삭제하라. 지불하지 않으면 이 컴퓨터의 모든 데이터를 날리겠다'는 내용이다. (전문은 다음과 같다.) 굳이 페도 옆에 게이를 언급하는 이유는 러시아 사회의 호모포비아적 성향 때문으로 보인다. [24] Tor는 해커가 받은 비트코인을 세탁할 때 필요하다. [25] 이따금 AES-256을 쓰는 경우도 보인다. [26] 또한 추적을 방지하기 위해 비트코인으로 결제를 요구한다고 한다. [27] 세계적으로 흔히 쓰이는 파일들과 달리, .hwp와 같은 한컴오피스 파일은 한국에서만 쓰니까 외국 랜섬웨어 개발자는 한컴오피스의 존재를 모르는 경우가 있어서 암호화를 안 하는 경우도 종종 있다. [28] 이렇게 모인 피해 금액이 테러 범죄에 사용된다는 분석이 있기는 하다. 결국 악순환의 연속이다. [29] 국가 중요기관에 랜섬웨어가 들어갔다고 생각해보자. [30] 레드페트야, 그린페트야, 골든아이 등. [31] 노턴 시큐리티의 서비스 회사인 Symantec이 제작한 것으로 추정되는데 어째서인지 영상 초반 지구본에서 남한만 지워져 있다. [32] 가상머신 설정에서 파일 공유를 끄면 감염되어도 윈도우만 죽고 맥은 멀쩡하다. 다만 이렇게 사용하면 다소 불편할 수 있다. [33] 이런 경로로 설치된 프로그램은 Launchpad에서는 백날 클릭해봤자 열리지 않으며 오직 Finder의 응용 프로그램에서 해당 프로그램을 Control을 누른 상태로 클릭한 뒤 실행을 눌러야 하며 그 뒤에 뜨는 팝업에서 또 실행을 눌러야 할 정도로 까다롭다. [34] x86 기반 프로그램을 구동시킬 수 있는 로제타의 존재 때문에 인텔 맥을 타깃으로 하는 악성코드 역시 로제타의 지원이 끊기지 않는 한 애플 실리콘 기반 맥에서도 그대로 동작한다. [35] 일반적인 데이터 복구는 데이터의 용량에 따라, 물리, 비물리적 방식에 따라 따로 가격표를 만들어 놓은 경우가 대부분이다. [36] 물론 업체도 이윤을 챙겨야 하기 때문에 피해자 입장에서는 해커가 제시한 가격과 다를게 없는 가격, 혹은 보다 비싼 가격으로 복호화를 진행해야 한다. 그래서 개인 피해자가 문의를 하면 십중팔구 중요한 데이터가 아니라면 포기하라고 종용한다. [37] 진짜 시초는 위에서 언급한 마이컴 고이지만 사건 정도의 피해는 찾아보지 못했다. [38] 애초에 마토메 사이트에 들어갔다가 감염되었다는 정보의 소스 자체도 어느 트위터 유저의 트윗뿐이었고 그 외에는 사례가 나오지 않았다. [39] Directory.GetLogicalDrives() 메서드의 허점으로 인해 디스크를 넣지 않은 ODD 등 접근 불가능한 드라이브가 하나라도 존재하면 에러가 나며 실행이 안된다. [40] 물론 리뷰어들이 디버깅을 한 후 일부러 가상 머신으로 실행한 건 제외한다. 실수로 가상머신을 안 킨 제작자는 결국 밤을 새서 2억 점을 채우고 컴퓨터를 복구했다고. [41] 심지어 알약에서는 Trojan.Android.Ransom.Wannacry 로 진단한다. [42] 명칭에 주의해야 한다. [43] 폐쇄됨. [44] 일단 파일에 락을 걸고 돈을 요구하는 타 랜섬웨어와는 달리 먼저 정보를 털고 난 뒤 락을 걸고 돈을 요구한다. 돈을 안 주면 해킹한 정보를 풀면서 압박하는 수법을 쓴다. 실제 저 방법에 못 이겨서 해커에게 돈을 줘버린 업체도 있다. [45] 제작자인 Enderman이 복구하는 방법을 올렸다. [46] Secuestro는 '유괴 또는 하이재킹', de datos는 '데이터'를 뜻한다. 즉, 직역하면 '데이터를 유괴/하이재킹' 라는 뜻이다. 시스템식으로 직역하자면 '데이터를 유괴 또는 하이재킹하는 시스템/데이터를 유괴 또는 하이재킹하는 악성코드'라고 할수 있다. [47] 영어 Ransomware의 발음을 그대로 옮겼다. '란사무웨아'라고 발음한다. [48] 勒索는 '강탈하다', 軟件/軟體은 '소프트웨어'를 뜻한다. 즉, 직역하면 '(돈을) 강탈하는 소프트웨어'라는 뜻이다.

분류