랜섬웨어.. 걸리기 전에 인지하고 주의하자! 랜섬웨어에 당해버림..

지난 달..

 

나는 내가 갔던 친척의 돌잔치에 대해 포스팅하고자

돌잔치에 대한 그림 이미지를 찾고자 구글 검색으로 여러 블로그를 돌아다니고 있었다.

 

그렇게 몇 홈페이지를 둘러보고 왔는데,

 

갑자기 V3 방화벽을 통해 

XXXXX-a.exe (XXXXX 는 5개의 랜덤 문자로 기억이 잘 안남)

를 실행하시겠습니까? 라는 메세지가 계속 떴다.

 

나중에.. 관련 카페에서 확인해 보니

Teslacrypt 라는 랜섬웨어이고...

랜덤 워드 exe 파일을 생성하여 사용자의 컴퓨터에 침입한다고 한다.

 

 

정말 주의해야 한다.

XXXXX-a.exe

"-a" 가 붙은 이 파일을 정말 조심했어야 했다 ......

 

처음에는 대수롭지 않게 계속 아니요 를 눌렀다만..

한 1분에 한번? 계속 방화벽을 두드리고 실행을 부탁하니..

 

나도 모르게.. 무생물체 파일에게 마음이 약해졌다.

 

마치..

문좀 열어주세요? 주인님?

똑똑똑?

 

주인님.. 문좀 열어주세요!

쾅쾅쾅!! 이런 느낌이었다..

 

인터넷에서 저 파일을 찾아봤지만, 무슨 파일인지 정보가 나와있지 않아서..

 

 

 

마음이 약해진 난.. 이런 난 ㅠㅠ

파일을.. 실행.. 시켜주고.. 말았다....

방화벽으로부터 그 파일을 열어 주었고...

 

그리고 그것은... 재앙의 시작이었다.

 

 

갑자기 들어온 그들은 이렇게 도둑으로 변해서,

하드를 드르륵 하고 움직이며 내 모든 그림, 동영상, 사진, 음악 파일 등에 암호를 걸어놓았다....

 

일부 프로그램에 들어가야 할 이미지에도 암호를 걸어놓아,

프로그램이 제대로 실행되지 않는 문제도 생겼다.

 

 

파일들은 이런 식으로...

예를 들면 이 파일은 원래는 png 파일로 읽을 수 있는 파일이었으나, 파일에 암호가 걸려서 사용을 할 수 없는 상태이다.

 

괜찮겠지 하고 그냥 인터넷으로 해결 방법을 찾아보던 난,

방법이 없다는 것을 깨닫고 이것이 랜섬웨어 라는 것을 알았다...

 

랜섬웨어란..

 

 

 

악성코드를 사용자의 컴퓨터에 심어 놓고,

악성코드가 실행되면 윈도우 폴더에 들어있는, 윈도우 실행에 관계된 딱 필요한 파일들만 제외하고

나머지 프로그램 (게임, 이미지프로그램 등), 혹은 개인 문서 등에 들어있는

모든 그림, 동영상, 음악파일, 문서 에 암호를 걸어놓아 실행하지 못하게 하는 나쁜 프로그램이다 ㅠㅠ

(그리고 이 파일을 다시 읽을 수 있게 하려면 돈을 내놓으라고 한다)

 

 

이런 식으로 바탕화면이 뜨게 되고, 이때서야 사람들이 무슨 문제인지 두려워하는 단계로 가게 된다...

 

그리고..

종류마다 다를수는 있지만,

 

파일 1개 (500 kb 이하)를 무료로 (...) 풀어줄 수 있는 데모 사이트를 제공하고,

(아주 고맙다 니놈들..)

그 이상의 해독은 달러, 또는 비트코인 (약 30만원 ~ 100만원 상당)을 요구한다.

 

인터넷에 찾아보았을 때, 정말 수많은 사람들의 절규 섞인 글이 보인다.

하지만 해결했다고 하는 사람들은 정말 극소수...

 

개중에는 회사 컴퓨터나 공적인 일의 파일이 감염된 경우가 있어,

해커가 이야기한 홈페이지에 직접 들어가 비트코인 중개상을 통해 납부해, 프로그램을 실행시켜 암호해독을 한 경우도 있다고 한다;;

 

하지만... 비트코인을 이름모를 외국 사람에게 보낸다고 해서 이게 해결될지...

돈을 더 받거나, 다른 이상한 프로그램을 보낸 사례도 종종 보이기에,

 

나 같은 경우..

 

 

6년 넘게 모아 온 중요한 파일들이 있었고...ㅠㅠ

그 파일들이 다 날라갔지만, 범인들과는 협상하지 않는다는 주의로 그냥 새롭게 살기로 했다 ㅠㅠ

 

 

그렇다면,

데모로 제공하는 한 파일의 해독 외에,

모든 파일을 해독할 수 있는 방법은 전혀 없을까?

 

지금까지 내가 아는 해결 방법은 다음과 같다

(백업해 놓는 것이 최선이지만)

 

외국의 한 보안업체는

일부 악성코드에 대해 해독할 수 있는 프로그램을 내놓았다.

 

http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/

여기에서 일부 EXX, EZZ, ECC 로 변해버린 파일들을 해독할 수 있다고..

 

하지만 최근 버전의 경우,

악성 코드를 실행시켜 파일을 암호화시킨 다음,

그 악성코드를 해독하는 데 필요한 메커니즘이 들어있는 악성 코드 파일 자체를 삭제시키고,

암호화된 파일을 해독하는데 필요한 key는 해커만이 가지고 있게 하는

 

그러한 방법 등을 이용하고 있어, 전문가들도 해독 하기 굉장히 어렵다고 한다....

 

내 경우에도, 여러 글들을 참조해 원본 악성코드 파일을 찾아보려 했으나, 이미 지워진 뒤였다 ㅠㅠ

 

또한, 어떠한 경우에는

windows의 최후의 파일 보호기능- volume copy 라는 기능을 이용,

Shadow explorer 프로그램을 사용하여, 운이 좋은 경우 이전 버전의 파일로 돌릴수도 있다고 한다.

 

http://blog.naver.com/alone2002/220529020569

http://blog.naver.com/gyurse/60204626182

 

 

그런데.. 나는 이 랜섬웨어에 걸렸을 당시 volume copy 기능을 사용하지 않고 있어..

이 방법도 통하지 않았었다....

 

따라서, 진짜 운이 좋은 경우에만 해결이 가능하고,

다른 경우에는 해결이 불가능하다고 볼 수 있다...

 

 

혹시나, 우리나라의 보안 전문가들은 이런 프로그램을 개발하고 있지 않을까? 하는 생각에

안철수연구소에 메일을 보내보았다.

혹시 보안 업체에서 해독 프로그램을 개발할 수 있다면,

냉동인간처럼 나중에 다시 풀릴 수 있지 않을까 하는 기대감에..

 

 

 

ㅠㅠ

만약 복구 프로그램을 개발할 수 있다면, 한 1년이라도 그냥 놔둔 상태에서 쓸려고 했는데,

프로그램을 제공하지 않는다는 말에.. 어쩔 수 없이 기대를 접기로 했다.

아무래도 어렵겠지.. 변종은 많이 나오고 ㅠㅠ

암호화된 파일을 계속 보고있자니 짜증이 나서 그냥 지워버렸다.

 

 

일부 데이터 업체들은 랜섬웨어를 해독할 수 있다고 하지만,

비트코인을 범죄자에게 송부하는 방법으로 해독하는 것이라고 한다 ㅋㅋㅋㅋㅋㅋ

 

다행히, 한번 변형된 랜섬웨어가 제거된 것을 확인하면 더이상의, 새로운 문서에 대한 변형은 없다고 한다.

그리고 전파 기능도 없다고 한다. (그래도 윈도우 재설치를 추천한다)

 

 

따라서... 이러한 랜섬웨어에 걸리기 전에 예방 하는것이 최선의 방법이다.

 

방화벽에 걸린 이상한 파일을 실행하지 않는 것..

 

그리고, 평소에 이런 이슈에 대해서 잘 알아놓고 있는 것.

 

 

그리고 걸린다면

- http://m.cafe.naver.com/malzero/113729 주소를 방문해 자신의 랜섬웨어가 어떤 종류인지 확인

  (확장자 및 메세지를 통해 구분할 수 있음)

- 수동 제거 (암호를 풀지는 못하고 컴퓨터에 들어있는 악성코드를 제거, 카페 프로그램으로 제공됨)

  (범인에게 송금하려고 하는 경우 절대 수동제거를 하면 안된다! 정보가 지워져서 해커에게 연락할 수가 없음) 혹은 해커들에게 돈 송금 (데이터 복구 업체 등 중개상 이용)

- 윈도우 재설치 ㅠㅠ 혹은 그냥 사용 (나처럼 ㅋㅋㅋㅋㅋ)

 

 

하지만 제일 최선의 방법은 걸리기 전에 대비하는 것이다.

이에, 하기의 카페를 추천한다!

http://cafe.naver.com/malzero

 

컴퓨터의 바이러스 문제가 생길 때 내가 자주 들르는 카페인데..

아니나 다를까 랜섬웨어에 관련된 글이 정말 많다.

나와 같이 .. 걸리고 나서 후회하는 사람들의 절규..ㅠㅠ

 

이 카페는

 

랜섬웨어에 대해서 굉장히 상세한 정보, 그리고 사전 예방 툴, 걸렸을 때 바탕화면의 이상한 문구들을 지우는 프로그램 등을 제공하고 있다.

(사전 예방툴은 세계 유일의 랜섬웨어 예방 시스템으로 랜섬웨어가 파일 변환하는 것을 차단할 수 있고, 변환이 된다 하더라도 일부 파일을 복구할 수 있다고 한다! 꼭 설치하자!)

 

 

특히 운영자 중 Violet 이라는 분이 있는데 예전 몇년 전 바이러스에 걸려 관련 포스팅을 했을 때도 내 블로그에 찾아와서 이런 저런 이야기를 해 주셨을 정도로 굉장히 활동도 활발하시고 적극적인 분이시다.

뭔가 좀 멋있다. 큰 보안업체의 사장 같기도 하고... 보안 전문가라고 할 수 있는 분이다. 그런데 왠지 나이는 좀 지긋해 보인다.

오늘도 불철주야 힘없는 네티즌들에게 방어 수단을 제공해 주는 violet 님에게 감사드린다.

 

 

나는 이런게 문제다. 당해야 지식이 쌓이는 그런 타입 ㅠㅠ

 

여튼 컴퓨터 보안에 관심이 없더라도.. 이 카페에 가입한 다음 글을 읽어보면

보안에 신경을 써야 할 필요성을 느끼고.. 조심할 수 있을 것이다.

 

랜섬웨어.. 나처럼 걸리고 후회하는 일이 없도록 하자 ㅠㅠ