mir.pe (일반/밝은 화면)
최근 수정 시각 : 2024-07-23 15:52:43

CryptoLocker

1. 개요2. 감염 증상3. 한국어 버전 변종 발생4. 감염 이후5. 기타

1. 개요



2013년에 발생한 인질형 악성 코드, 랜섬웨어의 일종. 컴퓨터 내의 모든 파일(OS 파일 포함) 및 네트워크 드라이브의 파일을 RSA, AES 키로 암호를 걸어, 암호 해독 키를 대가로 돈을 요구한다. 금액은 해커별로 천차만별이지만, 비트코인을 통해 금액을 결제하라는 경향을 보인다. 2015년부터는 비트코인으로 1비트코인 이상(당시 한화 50만 원가량) 을 요구한다. 구매에는 1주일 정도 시간 제한이 있으며 이 안에 복호화 프로그램을 구매하지 않으면 가격이 2배로 상승한다. 정말 추악한 도적질이다.

FBI 현상금 300만 달러의 남자, 러시아 국적의 해커 евгений михайлович богачев (예브게니 미하일로비치 보가체프)가 만들었으며 http://www.itworld.co.kr/news/106993 정확한 시기는 모르나 17년에 체포되었다. 그러나 영어 위키에도 공식 작전을 통해 기소되었다고 올라와 있는데도 불구하고 아직 FBI 사이트에 수배가 진행 중이므로 아직 확신할 수 없다. 만든 것을 해커 그룹에 팔아서 작금의 사태를 만들었다. 또한 이 악성 프로그램을 해커 그룹들이 변종화시켜 유포하고 있는 상황이다. FBI 측에서는 이 사람에게 공갈, 은행 사기, 컴퓨터 사기 시행 및 가담, 신원 정보 도용 및 수색 방해, 신원 정보 절도, 음모죄, 컴퓨터 사기, 금융 사기, 돈세탁, 은행 사기 공모 등의 혐의를 걸었다.

2. 감염 증상

감염 과정에서 RAM을 풀가동시키기 때문에 이유 없이 갑자기 컴퓨터가 느려지기 시작하는 것이 감염의 초기 증상이다. 컴퓨터의 대부분 파일들을 해커의 서버에서 만든 RSA-2048 키(!)를 사용하여 .encrypted 확장자로 암호화시켜 버린다. 역시 품종(?!)별로 암호화의 범주는 제각각이지만 랜섬웨어들이 다 그렇듯 MS Office에 속하는 파워포인트, 워드, 엑셀 파일들과 JPG 등의 이미지 파일들과 zip, rar 등의 압축 파일들은 표적이 된다. 원래는 hwp 파일은 건드리지 않았으나 패치를 더해가며 그것까지 난도질하는 종류도 발견되었다.

암호화가 끝나면 100시간의 카운트다운을 시작하는데, 비트코인이나 MoneyPak으로 300달러를 지불하면 복호화를 시켜준다고 주장한다. 그리고 100시간 이내에 입금을 하지 않으면 그대로 하드의 데이터는 고스란히 날아간다.[1]

이때까지만 해도 지금의 랜섬웨어처럼 비트코인 등의 암호화폐만을 요구하는 것과 달리, MoneyPak이라는 현금을 충전해서 송금하는 기프트 카드라는 다른 옵션이 있었으므로 그나마 현금 흐름 추적이 가능했다. 이걸 자비롭다고 해야 할지는 모르겠지만, 어찌 됐든 간에 사건을 수사하는 검찰/경찰들 입장에서도 해커가 '실수'를 제공해 준 셈이기 때문.

3. 한국어 버전 변종 발생

사실 원조 크립토락커는 2014년 8월 글로벌 보안 업체들이 원제작자의 서버를 추적해서 다운시키고[2] 복호화 키를 얻어서 해독 프로그램을 만들고 퍼져서, 일단 세계적으로 조금 잠잠해진 상태였다. 이 때문에 2015년에는 크립토락커보다는 크립토락커와 크립토월을 조합한 테슬라크립트가 더 주목받고 있었던 상황이었다. 그런데...

파일:external/image.itdonga.com/001_fynAof3.jpg
납치범치고 쓸데없이 친절하다 지들도 돈은 받아야 하니까

2015년 4월 19일을 기준으로 왈도체 한국어로 된 토렌트락커의 짝퉁 crypt0l0cker( leet)가 발생하였다.[3] 특히 4월 21일 새벽 인터넷 커뮤니티인 클리앙의 광고 서버에 취약점 코드가 삽입되면서, 이 사이트에 접속했던 많은 보안 패치 하지 않은 컴퓨터들이 감염되었다. 이번 감염은 가짜 승인 절차 창 같은 것도 없이 접속만 하면 감염되는 종류로 확인되면서, 보안 업데이트를 미룬 개인과 기업 컴퓨터가 다수 감염된 것으로 보인다. Internet Explorer Flash의 보안 약점을 파고든 것으로 밝혀졌다. 안랩에서는 광고 배너 플래시를 통해 악성 코드가 퍼진 것으로 추측했다.

랜섬웨어침해대응센터에서는 이번 크립토락커가 발생한 지 얼마 안 된 변종이라서 아직 복구책이 없다고 밝히고 있다. #

인터넷 커뮤니티 SLR클럽에서 한 용자가 요구 사항대로 결제를 한 결과 데이터의 90% 정도 복구되었다고 한다. 다만 비싸기에 돈을 보내는 것은 엄청난 도박이라는 것을 명심하자.

4. 감염 이후

암호화 수준이 높아서 입금을 하지 않으면 복구가 불가능하다고 여겨졌으나, 파이어아이와 폭스잇 연구원들이 이 악성 코드에 감염된 파일들을 풀어주는 서비스를 무료로 개시했다. 이메일 주소와 감염된 파일 하나를 보내면 해당 이메일로 RSA_2048 키가 온다. 그런 다음 해당 사이트에서 제공하는 복구 프로그램을 다운로드받아 다음 명령을 시행하면 된다.: Decryptolocker.exe –key "<key>" <Lockedfile>. 사이트 주소는 http://decryptcryptolocker.com

그렇지만 비슷비슷하거나 구별이 어려운 변종이 20개도 더 되고, 복구 서비스가 이러한 변종의 생산을 부추길 수도 있다는 이유로 현재는 더 이상 서비스를 하지 않는다.

변종 크립토락커의 암호화 정도가 갈수록 극심해져서, 파일 복구 업체에서도 복구하기가 힘들다고 한다. 차라리 해커에게 돈을 입금하는 게 나을 수도 있는데, 앞서 언급했듯이 입금을 한 사람 모두가 데이터를 돌려받는 것은 아니라고 하니 주의. 말 그대로 복불복, 케바케지만 보안업체 등에서도 절대 결제하지는 말라고 하는 상황이다. 가끔 제시간 내에 입금을 해서 데이터가 복구된 경우도 있다.

영어 사이트를 찾아보면 데이터 복구 프로그램인 Data Recovery Pro로 해결할 수 있다고 하기도 하지만, 엄청난 양의 파일을 변조하는 과정에서 지운 흔적이 남아있을 가능성은 거의 없다. 유료 프로그램이고 구입해서 사용했음에도 데이터가 복구되지 않았다는 사람도 있는 만큼 어지간하면 사용하지 않는 편이 좋을 듯하다.

중요한 자료는 꼭 백업하자. 또, 예방을 위해서, 개인용으로 공개된 적절한 안티 랜섬웨어 프로그램을 설치하도록 하자. 현재는 V3, 알약을 포함한 안티 바이러스 제품들도 대개 비슷한 기능이 추가되어 있다. 다만 치료하지 못한 크립토락커가 삭제되지 않고 검역소로 실려가 있을 때도 깽판을 계속 친다는 케이스가 있다고 하니 주의하자.

그리고 2017년 5월 크립토락커의 뺨을 후려갈기는 워너크라이라는 후배가 나타났다.

5. 기타

대부분의 일반 사용자들이 랜섬웨어라는 통칭과, 크립토락커라는 특정 악성 코드를 동일시하는 경우가 있는데, 이는 건수가 몰리면 파리 떼 꼬이듯 랜섬웨어라는 악성 코드 분류를 하나의 악성 코드를 지칭하는 단어로 서술했기 때문이라 카더라.


[1] 복호화(쉽게 말하자면 암호 해제) 키를 서버에 저장해 두었다가 시간이 지나면 그것도 없애버리는 방식이다. [2] 서버가 다운되어 있으면 애초에 작동을 안 한다. 인질극을 해봤자 돈을 받을 수단이 막힌 것이기 때문. [3] 보면 알겠지만 cryptolocker가 아닌 crypt0l0cker 다.

분류