본문 바로가기

뭔가 컴퓨터

랜섬웨어..하여튼 사람새끼들이 돈만주면 못하는일이없어요.


지인의 외장하드가 랜섬웨어에 감염되어서 대학라이프 3년간의 모든 추억이 담긴 사진과 공모전 및 과제파일이 복구할 수 없도록 손상되었다.



랜섬웨어는 대충 "사용자의 파일을 암호화한다음에 풀고싶으면 돈을 지불해야한다"는 별 씹 거지같은 종류의 악성코드인데, 돈 줘도 풀어준다는 보장이 없다. (랜섬 뜻이 몸값임)


게다가 이 암호화는 굉장히 복잡한 기법으로 이루어져있기에 몇년사이에 풀 수 있는 그런 단순한게 아니다.




고로


우선 랜섬웨어에 감염되었다면


1. 우선 감염된 파일들은 '더 이상 못쓴다.'는 마음가짐을 가진다.

2. 모든 파일을 백업한다. 감염된 파일을 포함해서. (언젠간 해독될 수 있으니 감염파일도 백업한다)

3. 당장 백신을 최신으로 업데이트 한다.

4. http://www.trendmicro.co.kr/kr/security-intelligence/anti-threat-toolkit/ 가서 위헙제거툴 실행

5. 안전모드 부팅 후 랜섬웨어의 코어프로그램을 제거한다.




파일은 복구할 수 있나?


랜섬웨어에 감염된 사람이 당신 혼자뿐이 아니므로 이미 파일 해독에 대한 연구는 진행중이다.

다만, 이 암호화에 사용된 기법이 '국가 기밀자료'를 암호화하는데에도 쓰이는 기술인 만큼 직접적으로 해독할 수 있는 방법은 없다.

가장 근본적으로, 어떠한 방법을 사용해도 '지금 당장 100% 파일을 복구할 수 있는 방법'은 없다.



첫번째 희망으로

https://decryptcryptolocker.com/

라는 싸이트는, 지금까지 '다양한 시도를 통해 어쩌다 풀린' 암호화 키를 모아두고 있다. 고로, 당신이 걸린 랜섬웨어의 형식이 이미 해독되었을 수도 있다. 저기에 감염된 파일 하나를 올려보고 결과를 확인한다. 이미 해독된 형식이라면 해독 키를 보내줄 것이고 그럼 십중팔구 복구가 가능하다.

단, 랜섬웨어라는녀석이 워낙 변종이 많고 암호화키가 조금이라도 다르면 복구되지 않기에 이미 해독된 형식일 확률이 낮다.

랜섬웨어에 대한 연구와 해독은 계속 진행중이므로 감염된 파일은 버리지 않고 주기적으로 이 싸이트를 방문하여 파일 해독을 요청하도록 하자.


두번째 희망으로

일부 '약한' 랜섬웨어는 복호화 키를 생성할 수 있는 수준의 암호화 기술을 사용한다.

고로 자신의 파일을 공격한 랜섬웨어 형식이 뭔지 파악한 후 풀 수 있는 녀석이면 해독프로그램을 실행해본다.

이를테면 옛날 랜섬웨어라던지...


세번째 희망으로

랜섬웨어 뿌린새끼들도 결국 돈벌라고 만들어서 뿌린거다. 고로 얘네들에게 몸값..아니 파일값을 지불해주면 해독키를 보내줄 수도 있다.

문제는 파일값이라는게 백원이백원이 아닌 몇십만원정도를 요구하고있고, 시간이 지날수록 몇십만원이 몇백이 되는 그런 시스템이기 때문에 쉽게 지불할 수 없을 뿐더러, 파일값을 지불한다고해도 얘들이 해독키를 보내줄지 아닐지 믿을 수 없다.

지불 방법은 감염된 컴퓨터에 기록되어있는데, 대충 살펴보면 다 비슷하다.

"토르 브라우저로 어떤 싸이트에 접속해서 코드를 친 뒤 비트코인으로 지불하세요" 인데, 토르브라우저는 대충 '접속자와 접속위치 등 정보를 숨기고 모든 연결을 개방하여 인터넷을 탐색'하는 프로그램이다. 간단하게, 비무장상태로 혼자서 뒷골목에 들어가는 뭐 그런셈. 그리고 소개된 어떤 싸이트는 '딥웹'에 포함된 웹싸이트인 것 같다. 당신이 몇십에서 몇백쯤은 그냥 하늘에 던지고다녀도 될만큼 부자가 아니라면 얘들에게 돈을 지불하지 않는 것을 권장한다.




예방하자


컴퓨터 악성코드나 바이러스도 결국 사람 죽이는 바이러스와 매우 비슷하다.

그래서 '컴퓨터 바이러스'라고 부르고, '백신'이라고 부르는거다.

그렇기 때문에 반대로 치료와 예방하는 것도 실제 바이러스를 처리하는 것과 비슷하다.


이번에 메르스사태도 보면 솔직히 보건부의 늦장대응도 문제가 있었지만 아무리 생각해도 가장 중요한건 시민의식문제인 것 같다. 인터넷으로 실컷 욕 싸질러놓고 정작 자신은 안이한 태도를 가지고 있다가 일이 커지는거다.

(당장 밖에만 보아도 메르스가 무섭다고 말하면서 마스크 안쓰고 사람 많은곳 몰려다니는 사람이 한둘이아니다. 그리고 메르스사태 터진 이후로 그냥 딱 봐도 헛기침하는사람 10배는 늘어난 것 같은데, 얘네 다 메르스일거임 아마. 근데 병원은 아무도 안가잖아. 자기는 아닐꺼라는 생각에.)


뭐만 터지면 윗사람들 탓하기 전에 자기 자신이 먼저 잘 예방을 하였다면 메르스도, 랜섬웨어도 피해갈 수 있다.


1. 백신 최신 업데이트

2. 컴퓨터 보안 최신 업데이트(윈도우 업데이트라던지.. 아무튼 업데이트는 귀찮다고 미루면 더 귀찮은 일이 생긴다)

3. 주기적인 '별도의 물리적인 장치에' 백업. (이거 안들어본 사람은 없지만, 들었지만 시도한 사람은 몇 안될껄)

4. 수상한 싸이트 및 파일 접근 금지. (뭔지 모르겠다면, 그냥 원래 돈내야되는데 꽁짜로 해주는 싸이트는 피하면 된다.)


사실 1번과 2번만 제대로 해도 99%는 막는다. 

(문제는 회사컴같은경우 정책상 업데이트를 하지 말라는 지침이나 그러한 환경(..)에 놓여있는곳이 꽤 많다)

3번을 해야하는 이유는, 3번은 만일을 대비한 최악의 시나리오를 가장 완벽하게 해결할 수 있는 방법이다.

지인의 경우도 컴퓨터에 랜섬웨어가 감염된게 아니고, 다른 사람에게 외장하드를 빌려줬는데 그 다른사람의 컴퓨터가 랜섬웨어에 감염되어있던거였다.

별도의 물리적인 장치라는 말은, 네이버 N드라이브같은 클라우드 웹하드도 위험하다는 얘기이다. 물론 백업 후 접속을 끊으면 상관이 없다만, 연결이 유지된 상태라면 바이러스는 이쪽도 타고들어간다. 외장하드에 디스크 이미지를 복사뜬 후 그냥 서랍장에 넣고 보관하는거 추천.

4번의 경우 필요에 따라 해야할 수도 있는데, 인터넷 조금만 뒤져보면 '지금 접속하려는 싸이트가 위험한곳인지 검사'해주는 곳이 많다. 그리고 딱 봐도 수상해보이는 파일, 딱 봐도 수상한새끼가 보낸 메일이 있다. 열지 않는다. 아니, 받지도 않는다.

팁으로 http://www.virustotal.com 이 싸이트는 파일이나 싸이트의 위험성을 검사해주는 프로그램이다.


대충 위 4가지를 사람의 몸에 비유하자면

1. 예방접종 열심히 하기.

2. 하지 말라는 짓 안하기.

3. 자기 몸을 복제하기. (사람은 안되지만 컴퓨터니깐 되는거다)

4. 수상한 곳, 가지 말라는 곳 안가기.




우리나라에도 랜섬웨어가 유행하면서 랜섬웨어침해대응센터(https://www.rancert.com/)라는, 그나마 도움이 되는 싸이트가 등장했다. 꽤 괜찮으니 랜섬웨어에 당한사람은 꼭 즐겨찾기 등록 후 자주 확인하고, 보안에 관심이 있는 사람도 자주 참조하도록 하자.



진짜 아이러니한것중 하나가 있는데, 일부 컴퓨터 최적화 팁을 살펴보면 '저장장치의 불필요한 입출력을 줄여야 한다'는 이유로 윈도우즈의 시스템 복원기능을 해제시켜야 좋다는 경우가 있다(....).

예방책은 많으면 많을수록 좋다. 우리들이 돈을 주고 보험을 드는 이유가 뭐겠나.




랜섬웨어에 대해 할 말은 진짜 많다.

씁쓸하기도 하고. 하여튼 돈만 주면 못하는 일이 없어요 그냥.


개인적으로 인터넷의 절대적인 익명성에 대해 반대하는편이긴 한데, 그 이유중 하나가 이런거때문이다. 프라이버시같은소리하고앉아있네 미친새끼들.


그리고, 컴퓨터공학 전공자로써 해줄 수 있는 말로써는

제발 컴퓨터를 믿지 말자.