바이러스2013.11.07 20:29

지난 1 여년간의 긴 잠에서 다시 깨어나 죽었던 블로그를 부활시켜 봅니다. (--) (__)


지난 2013 년 11월 1 일.

인류 역사상 가장 강력하고, 치명적인 컴퓨터 바이러스가 미국에 등장 하였다.


이름하여, 'CryptoLocker'.


아마 컴퓨터 바이러스 어워드 같은게 있다면(혹시 있나?), 아마 전종목 석권은 물론, 올해의 그리고, 향후 몇 년간 상이란 상은 모조리 휩쓸지 않을까....싶을 정도로 강력하며, 치명적이며 누구나 쉽게 감염되는 그런 바이러스이다.


그렇다면, 이 녀석의 정체부터 하나씩 찬찬히 훓어보자.


1. CryptoLocker - Ransomware


위키 피디아 사전적 정의. (원문 클릭)

- 늦은 2013 년 등장하여, 트로이 목마 악성 코드로써, 마이크로 소프트의 윈도우 운영체제를 사용하는 컴퓨터를 공격대상으로 한다. CryptoLocker 는 정상적인 첨부 파일로 위장하여, 사용자에 의해 활성화 되면, 악성코드의 제어 서버에 저장된 개인키와 RSA 공개 키 암호화를 사용하여, 로컬 및 네트워크 드라이브에 저장된 특정 형식의 파일을 암호화 한다. 악성 코드는 공격자가 지정한 마감 시간까지 공격자가 제시한 금액인 $300 상당의 Bitcoin  또는 선불 상품권 중 하나를 공격자에게 지불하지 않으면, 더 이상 암호 해독이 불가능하게 만들어 버리거나, 더 높은 가격을 제시하면, 암호화된 파일을 해독할 수 있는 코드를 제공한다.



2. CrytoLocker 가 공격하는 파일형식


3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx


눈에 익숙한 파일들이 많이 보일 것이다.

마이크로 소프트 오피스 파일인 엑셀, 워드, 파워포인트등과 어도비의 포토샾 및 일러스트레이터, PDF 파일등 뿐 아니라, 너무 쉽고, 자주쓰는 JPG 같은 이미지, 사진 파일까지 사실상 사용자가 사용하는 거의 모든 파일들이 주 공격 대상이다.


3. 감염 증상


먼저, CryptoLocker 에 감염이 되면, 아래와 같은 이미지가 윈도우 화면에 뜬다.



감염된 시간으로 부터 100 시간의 카운트 다운이 시작되며, 여기서, 'Next>>' 버튼을 누르면, $300 결제 화면이 나온다.


(아마 이것이 내 PC 에 설치되어 있다면, 그날의 악몽은 시작될 것이다.)


여기까지만 보면, 지금까지 여러차례 등장하였던, 'Ransomware' 와 비슷하다. 


여기서 잠깐!! 

Ransomware 가 뭐냐구??

간단히 이야기 하면, 너 PC 바이러스에 감염 됐거든....그거 해결하고 싶으면, 나에게 돈 줘~~~ 뭐, 이런류의 악성 코드이다.


뭐, 그렇다고 돈을 입금한다고 해도 딱히 해결은 커녕, 그냥 아까운 돈만 날리게 된다는~~~ 새로운 형태의 악성 코드의 등장~


(FBI 를 사칭하면서, 돈 입금을 요구하고 있다.)




CryptoLocker 는 바로 이 'Ransomware' 에서 한발 더 진보한 악성 코드이다.

CryptoLocker 에 감염되면, 증상은 매우 간단하다.

감염된 그 어떤 파일도 열어볼 수 가 없게 된다.



위와 같이 엑셀의 경우 모든 내용이 다 깨져서 나오며, 파일 형식이 잘못되었다는 둥의 에러 메세지만 나올 뿐 내용을 확인할 수 가 없다. 이미지, 사진, 문서, 포토샾 파일등 위에서 나열한 파일 형식으로 된 파일은 그 어떤 파일도 정상적으로 열어볼 수 없다.


일반적으로 알고 있는 바이러스 처럼 운영체제를 공격하여, PC 를 다운 시키거나, 좀비 PC 로 만들거나, 부팅이 안되거 하거나, 이상한 인터넷 으로 연결시키거나 하진 않는다. 간단하게, 100시간 안에 $300 입금하지 않으면, 감염된 파일 열어볼 수 없게만 할 뿐....;;


4. 인류 역사상 가장 치명적이며, 공격적인 바이러스


먼저 CryptoLocker 악성 코드는 개인보다는 '회사' 나 '공공기관' 등이 주 공격 대상이다. 즉, 없어도 그만이거나 다시 다운받으면 되는 음악 파일(MP3) 나, 동영상 파일등이 아닌, 회사나 공공기관에서 업무에 주로 사용하는 오피스 파일이나, 디자인, 이미지 파일등이 주 공격 대상이다. 그리고, 파일도 공공기관등에서 주로 사용하는 매우 정상적이고, 누가 들어다 다 알만한 '회사' 등의 E-Mail 로 위장하고 들어온다. 그러나, 사용자 입장에서는 당연히 거래처 에서 보낸 메일로 생각하고, 무심코 메일을 열어보게 되고, 악몽은 시작된다.....;;


이렇게 들어온 CryptoLocker 악성 코드는 먼저 개인 PC 를 감염시키고, 개인 PC 와 연결된 네트워크 망을 타고, 다시 그 네트워크 망에 연결된 다른 PC 를 감염시키면서, 퍼져 나간다. 서버도 예외는 아니다. 자신의 PC 가 CryptoLocker 에 감염되었다는 사실을 조금만 늦게 간파하면, 회사 혹은 공공기관의 모든 PC 가 감염되며, 지금껏 수 년간 작업하고, 보관해 놓은 그 소중한 파일 모두가 하루 아침에 날아가는 불상사가 발생하게 된다. 순식간에 하루 아침에 회사 업무에 필요한 모든 PC 파일들이 날아가게 되며, PC 문서 작성이 주 업무인 사람, 그래픽 디자이너 등은 그날로 손가락 빨며, 발만 동동 굴리게 될 것이다.


오죽하면, CNBC 같은 뉴스에서 이 녀석에 대해서 대대적인 주의 방송을 하고 있다.


5. 해결 방안


먼저, 결론만 이야기 하자면, 현재로썬 '없다'.


바로 이점이 지금까지 그 어떤 바이러스나 악성코드와 다른점이며, 가장 무섭고 치명적이라 불리우는 까닭이다.


"에이....그런게 어딨어? 백신 돌리면 되는거 아냐??"

라고 반문하는 사람들이 있을지도 모른다.


그래서 직접 'Kaspersky' 헤드쿼터에 전화하여, 약, 1 시간가량 통화하였다.




CryptonLocker 에 감염이 되면, 네트워크 망을 타고, 급속도로 퍼저 나가 PC에 설치된 파일들을 '암호화' 시켜 버린다고 한다. 현재 Kaspersky 랩에서 CryptoLocker 를 구현 및 재현한 다음 분석을 하는 중인데, 요즘 미국발 도청 사건으로 이름이 오르내리고 있는 'NSA' (National security agency) 같은 국가 기관에서 사용하는 키가 '512' 비트의 키를 사용한다고 하는데, 이 CryptoLocker 는 1024 비트를 사용한다고 한다. 그리고, 이렇게 암호화 시킨 후 키 값을 서버에 저장하는게 아니라, 서버에 들어간 키 값을 해커가 중간에서 탈취 후 서버에서 완전 삭제를 해버려, 서버에 흔적자체가 없기 때문에, 어렵게 추적하여, 해커의 서버를 찾아낸 다고 할 지언정 암호 키 값을 찾을 수 없다고 한다. 이렇게 되면, 해커가 사용자의 키 를 내놓지 않는 이상 1024 비트의 키를 해독하여, 암호를 풀려면, (관계자 말로는) 몇 년이 걸릴지 자신도 모른다고 한다. 자신도 13 년간 바이러스 백식을 만들어 왔지만, 이런 악성 코드는 처음이라는 말과 더불어....;;


뭐, 훨씬 복잡하고, 다양한 기술 관련 이야기를 나줬지만, 솔직히 100% 이해 못한것도 있고, 여기 적기에는 너무 길기에 이 정도로만.....;;


6. 결 론


악성 코드에 감염이 되면, Kaspersky 난 Norton, Marwarebyte 같은 백신으로 CryptoLocker 은 어렵지 않게 삭제 할 수 있으며, 더 이상 퍼지는 것을 막을 순 있다.


하지만!!!


이미 감염되어 '암호화' 되어버린, 파일들은 아쉽지만......포기하는 수 밖에....;;


개인적인 여담으로 Youtube 등을 찾아보면, 해커가 요구하는대로 $300 을 결제하여, 해결하는 동영상이 있다. (http://www.youtube.com/watch?v=_rQRJHwMqi8)


하지만, Kaspersky, FBI 및 여러 전문가들은 절대 결제하지 말라고 신신당부를 하는데, 개인적으로 $300 결제 해보지를 않아서, 결과에 대해서 어떻다고 할 순 없는 상태.


결제되는 돈을 추적해 해커를 잡을 순 없나??

해커도 바보가 아닌지라....위 글에도 나와 있지만, 이들이 원하는 결제 수단은 'Bit coin' 이다. (자세한 건 검색하면 쫙 나오니 검색!!!)


간단히 적어보자면, 

Bit coin 은 2009 년에 한 일본인(?)인 나카모토 사토시(익명?) 가 만든 P2P 기반의 전자 화폐이다. 전세계 단 2100 만개만 발행되도록 정해져 있다.


(1) 특정 기관을 거치지 않고 거래할 수 있다. 익명성 철저히 보장.


(2) 세계 어느 나라에서든 사용가능하다.


(3) 약관이 없고, 계좌가 동결되거나 독점 당할 수 없다.


즉, 개인 대 개인의 거래이며, 익명성이 보장되며, 세계 어디서든 결제가 가능하기에 사실상 추적이 불가능에 가까운 인터넷 상의 전자 화폐.



CryptoLocker 의 예방법은 의외로 간단하다.


Naver 백신이나, 알약 같은 별 다른 기능은 없는 무료 백식보다는 믿을 수 있고, 강력한 Norton 이나, Kaspersky 같은 유료 백신을 PC 에 설치하고, 관리만 잘해도 CryptoLocker 같은 악성 중의 악성 코드를 막을 수 있으며, 소중한 자료를 지킬 수 있다.

저작자 표시 비영리 변경 금지
신고
Posted by wildfree

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. 이게 트로이목마냐 멀웨어지 ㅋㅋㅋ

    2013.11.14 20:14 신고 [ ADDR : EDIT/ DEL : REPLY ]
  3. 이게 트로이 목마냐 멀웨어 계통의 랜섬웨어짘ㅋㅋㅋ

    2013.11.14 20:15 신고 [ ADDR : EDIT/ DEL : REPLY ]
  4. 맥 쓰면 걱정 X

    2013.11.15 15:16 신고 [ ADDR : EDIT/ DEL : REPLY ]
  5. 결국 마무리 백신홍본가요?

    2013.11.15 21:24 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 감염된 파일 복구는 불가이니, 들어오기 전 막는 수 밖엔 없다는거죠.

      2013.11.18 10:30 신고 [ ADDR : EDIT/ DEL ]
  6. 잡을 수 없는게 아니라, 복구할 수 없는거군요..
    즉, 예방은 가능하나 피해가 생기면 돌이킬 수 없다.
    복구하는 방법은 있을 것 같은데 그 방법을 찾지 못했다..는 결론인거 같네요..
    제목에 낚였당 CIH 보다 쎈거 아직 못 봤음요..

    2013.11.15 22:46 신고 [ ADDR : EDIT/ DEL : REPLY ]
  7. 카스퍼스키 본사에 전화하셔서 한시간 동안 통화해서 분석 내용을 들으셨다고요?

    어떤 회사가 고객 지원에 분석가를 배정하나요? ㅎㅎ 그냥 각 회사가 웹에 올린 분석 정보 아닌가요? 분석가가 한시간동안 전화로 분석 정보를 가르쳐 줄 만큼 한가하진 않습니다. 전문 정보를 무리없이 이해할 정도면 러시아어에 매우 능눅하시겠어요?

    2013.11.17 05:53 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 1-866-328-5700 or 781-503-1818
      Kaspersky US Headquarters 전화 번호 입니다. 전화해 보세요.

      2013.11.18 10:31 신고 [ ADDR : EDIT/ DEL ]
  8. 주작

    몰론 암호화 이후에는 곤란한 랜섬웨어이긴 합니다만 감염 경로나 루틴은 복잡하지 않아서 이정도로 인류 역사상 가장 강력한은 그냥 망상이네요.

    이런 랜섬웨어가 가장 강력한 멀웨어라면 Stuxnet은 인류 수준을 가뿐히 뛰어넘었네요

    2013.11.17 05:56 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 한번 걸리면, 복구 '불가' 입니다. 현재까지 나온 악성코드 통틀어서 이런거 보신적 있으신가요???

      2013.11.18 10:32 신고 [ ADDR : EDIT/ DEL ]
  9. JHE

    그나마 국내에 hwp가 보급화되서 많이 사용하는거 보면.. 이런 점에서는 참 국내꺼 쓰길 잘했다는 생각이드내요 ㅋㅋㅋㅋㅋ.. 그래도 걸리면 정말 답 없는 바이러스 ㅠㅠ

    2013.11.17 22:10 신고 [ ADDR : EDIT/ DEL : REPLY ]
  10. 트로이 목마라고? 카스퍼스키 본사에 직접전화해서 물어봐? 도대체 뭔소리여

    2013.11.17 22:35 신고 [ ADDR : EDIT/ DEL : REPLY ]
  11. 쭈드로

    아놔 걸렸습니다. 회사전무님아 멜보냐서 봤더니.. 피시 포맷중요~

    2013.11.20 08:40 신고 [ ADDR : EDIT/ DEL : REPLY ]
  12. 마지막은 광고네요 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 시벌

    2013.11.24 12:52 신고 [ ADDR : EDIT/ DEL : REPLY ]
  13. 좀비바이러스시발

    2013.12.18 17:06 신고 [ ADDR : EDIT/ DEL : REPLY ]
  14. 좀비바이러스시발

    2013.12.18 17:06 신고 [ ADDR : EDIT/ DEL : REPLY ]
  15. 좀비바이러스시발게색기병신또라이

    2013.12.18 17:06 신고 [ ADDR : EDIT/ DEL : REPLY ]
  16. 좀비바이러스

    2013.12.18 17:06 신고 [ ADDR : EDIT/ DEL : REPLY ]
  17. 좀비바이러스

    2013.12.18 17:06 신고 [ ADDR : EDIT/ DEL : REPLY ]
  18. 좀비바이러스

    2013.12.18 17:06 신고 [ ADDR : EDIT/ DEL : REPLY ]
  19. 좀비바이러스

    2013.12.18 17:07 신고 [ ADDR : EDIT/ DEL : REPLY ]
  20. 좀비바이러스

    2013.12.18 17:07 신고 [ ADDR : EDIT/ DEL : REPLY ]
  21. 최용

    시발꺼져

    2013.12.18 17:10 신고 [ ADDR : EDIT/ DEL : REPLY ]


티스토리 툴바