맨위로가기

랜섬웨어

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

랜섬웨어는 컴퓨터 시스템에 대한 접근을 제한하고 금전을 요구하는 악성 소프트웨어의 일종이다. 1989년 최초의 랜섬웨어가 등장한 이후, 암호화 기술을 활용하여 파일 접근을 막고 금전을 요구하는 형태로 발전했다. 2010년대 초반 비트코인의 등장과 함께 랜섬웨어 피해가 급증했으며, 최근에는 이중 갈취 및 서비스형 랜섬웨어(RaaS) 형태로 진화하여 기업과 기관을 대상으로 한 공격이 증가하고 있다. 랜섬웨어는 트로이 목마, 피싱 이메일, 웹사이트 취약점 등을 통해 시스템에 침투하며, 파일 암호화, 시스템 잠금, 데이터 유출 등의 방식으로 피해를 발생시킨다. 감염 시 파일 확장자 변경, CPU 및 램 사용량 증가, 백신 프로그램 종료 등의 증상이 나타나며, 예방을 위해서는 백업, 보안 패치, 사이버 위생 준수 등이 중요하다.

더 읽어볼만한 페이지

  • 랜섬웨어 - 크립토락커
    크립토락커는 2013년에 등장하여 이메일 첨부 파일이나 게임오버 제우스 봇넷을 통해 유포된 랜섬웨어로, 감염된 컴퓨터의 파일을 암호화한 후 몸값을 요구했으며, 토바 작전으로 네트워크가 붕괴되어 복구 도구가 배포되기도 했지만 유사 랜섬웨어의 등장으로 사이버 보안의 중요성을 부각시켰다.
  • 랜섬웨어 - 페트야
    페트야는 컴퓨터의 MBR을 감염시켜 부팅을 방해하고 데이터를 암호화한 후 비트코인을 요구하는 랜섬웨어로, 이터널블루 익스플로잇을 사용해 확산된 NotPetya 변종은 전 세계적으로 막대한 피해를 야기했으며, 우크라이나의 세금 신고 프로그램 업데이트를 통해 유포되어 국제적인 문제로 부각되었다.
  • 암호 공격 - 재전송 공격
    재전송 공격은 유효한 데이터 전송을 가로채 재사용하여 권한 없는 접근을 시도하는 사이버 공격으로, 세션 ID, 일회용 비밀번호, 타임스탬핑 등을 통해 방지할 수 있으며, IoT 장치와 같은 시스템에서 보안 위험을 초래할 수 있다.
  • 암호 공격 - 암호 해독
    암호 해독은 암호학의 한 분야로서 암호화된 정보를 키 없이 평문으로 되돌리는 과정이며, 키를 알아내거나 암호 방식의 문제점을 악용하는 것을 목표로 한다.
랜섬웨어
개요
워너크라이 랜섬웨어 감염 화면
워너크라이 랜섬웨어 감염 화면
유형악성 소프트웨어
악성 유형랜섬웨어
활동 시기1989년 - 현재
첫 발견1989년
개발자사이버 범죄자
기술적 세부 사항
감염 경로이메일 첨부 파일
악성 웹사이트
소프트웨어 취약점
드라이브 바이 다운로드
암호화 알고리즘AES
RSA
ECC
작동 방식
작동 방식 요약파일 암호화 후 몸값 요구
데이터 접근 제한
시간 제한 설정
암호화폐를 통한 지불 요구
예방 및 대응
예방 방법백신 소프트웨어 사용
운영체제 및 소프트웨어 최신 업데이트
의심스러운 이메일 및 링크 주의
정기적인 데이터 백업
대응 방법감염 시스템 격리
백업 데이터 복구
랜섬웨어 제거 도구 사용
사이버 보안 전문가에게 문의
역사 및 영향
주요 공격 사례워너크라이
낫페트야
락커
클롭
리빌
다크사이드
사회적 영향기업 및 기관 운영 마비
개인 정보 유출
경제적 손실 발생
사회적 혼란 야기
법적 및 윤리적 문제
법적 책임사이버 범죄 관련 법규 적용
데이터 유출 책임
개인 정보 보호법 위반
윤리적 문제피해자 협박 및 금전 요구
사회 기반 시설 공격
데이터 인질
기타
관련 용어크립토락커
리빌
페트야
골든아이
배드 래빗
워너크라이
낫페트야
다크사이드
참고 자료대한민국 정부 국가정보원
한국인터넷진흥원 (KISA)
미국 연방수사국 (FBI)

2. 역사

컴퓨터 바이러스의 역사와 멀웨어의 역사도 참고하십시오.

최초로 알려진 랜섬웨어는 1989년 조셉 팝이 만든 "AIDS Trojan"(PC Cyborg라는 이름으로도 알려짐)이다. 이 랜섬웨어는 소프트웨어 사용 라이선스가 만료되었다고 주장하며 하드 디스크 드라이브의 파일 이름을 암호화하고, 제한 해제를 위해 "PC Cyborg Corporation"에 189USD를 지불해야 한다고 사용자에게 주장했다. 팝은 재판에서 정신 이상으로 선고받았지만, 멀웨어로 얻은 이익을 에이즈 연구 자금으로 사용하겠다고 약속했다.[183] 1996년 아담 L. 영과 Moti Yung|모티 융영어은 공개 키 암호 방식을 사용하는 랜섬웨어 개념을 소개했다.

AIDS Trojan은 공통 키 암호만 사용하여 프로그램에서 키를 꺼낼 수 있었기 때문에 효과적이지 않았다. 이후 RSA 암호와 Tiny_Encryption_Algorithm|Tiny Encryption Algorithm (TEA 암호)영어를 사용한 Macintosh SE/30용 개념 증명형 바이러스가 제작되었다. 영과 융은 이 공격을 "암호화 바이러스 갈취(cryptoviral extortion)"라고 불렀으며, "cryptovirology|암호 바이러스학영어" 분야에서 주목할 만한 공격 중 하나로 언급했다.[173]

2005년 5월부터 랜섬웨어가 맹위를 떨치기 시작했다.[184] 2006년 중반에는 Gpcode|Gpcode영어, TROJ.RANSOM.A, Archiveus|Archiveus영어, Krotten, Cryzip, MayArchive 등의 프로그램이 정교한 RSA 암호를 활용하여 키 길이를 늘렸다. 2006년 6월에 탐지된 Gpcode.AG는 660비트 RSA 공개 키로 암호화를 수행했다.[185] 2008년 6월에는 1024비트 RSA 키를 사용하는 Gpcode.AK 변종이 탐지되었는데, 이는 분산 컴퓨팅 없이는 깰 수 없을 정도로 긴 키로 여겨진다.[186][187][188][189]

2014년에는 NAS를 표적으로 한 랜섬웨어 "SynoLocker"가 확인되었으며, 구 버전 Synology NAS의 OS "Synology DSM"에 공격이 확산되고 있다고 에프시큐어사가 주의를 환기했다.[190] 일본에서는 0Chiaki라는 인물이 개발한 TorLocker의 아종 KRSWLocker(일명 칼 랜섬웨어)가 발견되어 "신 경제 서미트 2015"에서 소개되었다.[191][192]

2010년 8월, 러시아 당국은 WinLock이라는 랜섬웨어 웜과 관련된 10명을 체포했다. WinLock은 암호화를 사용하지 않고 포르노 이미지를 표시하여 시스템 접근을 제한한 후, 제한 해제 코드를 받기 위해 사용자에게 유료 SMS(약 10USD)를 보내도록 요구했다. 이 사기로 범죄 그룹은 1600만달러를 벌어들였다.[179][193]

2011년에는 마이크로소프트 라이선스 인증을 모방한 랜섬웨어 웜이 발생했다. "사기의 피해자"가 되었으므로 Windows를 재활성화해야 한다고 알리며, 온라인 활성화가 불가능하므로 국제 전화를 걸어 6자리 코드를 받도록 요구했다. 이 멀웨어는 통화가 무료라고 주장했지만, 실제로는 국제 전화 요금이 높은 국가로 연결되어 막대한 장거리 전화 요금이 발생했다.[194]

2013년 2월에는 Stamp.EK 익스플로잇 킷 기반 랜섬웨어 웜이 SourceForge와 GitHub를 통해 배포되었으며, 유명인의 "가짜 누드 사진"을 제공한다고 주장했다.[195] 같은 해 7월에는 OS X에 특화된 랜섬웨어 웜이 발생했는데, 사용자가 포르노를 다운로드했다고 비난하는 웹 페이지를 표시하고 웹 브라우저 동작을 이용해 페이지를 닫기 어렵게 만들었다.[196]

2013년 7월, 버지니아 출신 21세 남성이 랜섬웨어를 받은 후 경찰에 출두했다. 그는 아동 포르노 소지 혐의를 받는 가짜 FBI 경고를 받았는데, 실제 그의 컴퓨터에서 미성년 여성 사진과 부적절한 대화가 발견되어 아동 포르노 소지 및 아동 성적 학대 혐의로 기소되었다.[197]

2. 1. 암호화 랜섬웨어의 등장

최초의 랜섬웨어는 1989년 조셉 팝이 작성한 에이즈다.[232] 이 랜섬웨어는 하드 드라이브의 파일을 숨기고 파일 이름만 암호화했으며, 특정 소프트웨어 사용 라이선스가 만료되었다는 메시지를 표시했다. 사용자는 "PC Cyborg Corporation"에 189USD를 지불하라는 요청을 받았다. 하지만, 해독 키가 트로이 목마의 코드에서 추출될 수 있었기 때문에 돈을 지불할 필요가 없었다.[25] 팝은 그의 행위에 대해 재판을 받기에 정신적으로 부적합하다고 선고받았지만, 악성 코드에서 얻은 수익을 AIDS 연구에 기부하겠다고 약속했다.[25]

1996년 아담 영과 모티 융은 공개키 암호화 방식을 사용하는 랜섬웨어를 고안했다. 이들은 RSA와 TEA를 사용하여 피해자의 데이터를 하이브리드 암호화하는 Macintosh SE/30에서 실험적인 랜섬웨어를 구현했다. 공개 키 암호화가 사용되므로 바이러스에는 "암호화" 키만 포함되어 있었고, 공격자는 해당 "개인" 해독 키를 비공개로 유지했다.[16] 초기에는 복호화가 가능한 RSA 알고리즘으로 암호화했지만, 많은 복구 및 복원 업체들이 솔루션을 만들어 대항하자 단방향 암호화 방식으로 랜섬웨어를 제작하기 시작하였다.

2005년 5월, 갈취성 랜섬웨어의 예가 두각을 나타내기 시작했다.[28] 2006년 중반까지 Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive와 같은 트로이 목마는 점점 더 큰 키 크기를 가진 더 정교한 RSA 암호화 방식을 사용하기 시작했다. 2006년 6월에 감지된 Gpcode.AG는 660비트 RSA 공개 키로 암호화되었고,[29] 2008년 6월에는 Gpcode.AK로 알려진 변종이 1024비트 RSA 키를 사용했는데, 이는 분산 노력을 기울이지 않으면 계산상 해독이 불가능할 정도로 충분히 크다고 여겨졌다.[30][31][32][33]

2013년 금품 지불을 위해 비트코인을 사용하는 CryptoLocker가 출현하고, 2014년 Synology의 NAS를 대상으로 하는 SynoLocker 등의 전파로 또다시 랜섬웨어에 의한 피해가 급증하였다. 2012년 이후 출현한 주요 랜섬웨어로는 Reveton, CryptoLocker, TorrentLocker, Cryptowall 등이 있으며, 보안 소프트웨어 기업 맥아피의 보고에 따르면 2013년 1분기에 발견된 랜섬웨어의 수는 25만 개 이상으로, 2012년 1분기에 비해 2배 이상 증가하였다.

2. 2. 암호화를 사용하지 않는 랜섬웨어

2010년 8월, 러시아 당국은 WinLock이라는 랜섬웨어와 관련된 9명을 체포했다. 이전의 Gpcode 트로이 목마와 달리 WinLock은 암호화를 사용하지 않았다. 대신 WinLock은 음란물을 표시하여 시스템 접근을 제한하고, 사용자가 잠금 해제 코드를 받기 위해 프리미엄 SMS (약 10USD)를 보내도록 요청했다. 이 사기는 러시아와 인근 국가의 수많은 사용자들에게 피해를 입혔으며, 이 그룹은 1600만달러 이상을 벌어들인 것으로 알려졌다.[13][50]

2011년에는 윈도우 정품 인증 알림을 모방한 랜섬웨어 트로이 목마가 나타났다. 사용자에게 시스템의 Windows 설치가 "사기의 희생자"가 되어 다시 활성화해야 한다고 알렸다. 온라인 활성화 옵션(실제 Windows 활성화 프로세스와 유사)이 제공되었지만 사용할 수 없었으며, 사용자는 6자리 코드를 입력하기 위해 6개의 국제 번호 중 하나로 전화해야 했다. 이 멀웨어는 통화가 무료라고 주장했지만, 높은 국제 전화 요금이 부과되는 국가의 불량 사업자를 통해 라우팅되어 통화를 대기 상태로 유지하여 사용자가 대규모 국제 장거리 통화 요금을 발생시켰다.[51]

2013년 2월, Stamp.EK 익스플로잇 키트를 기반으로 한 랜섬웨어 트로이 목마가 나타났다. 이 멀웨어는 유명인의 "가짜 누드 사진"을 제공한다고 주장하는 SourceForge 및 GitHub의 프로젝트 호스팅 서비스에서 호스팅되는 사이트를 통해 배포되었다.[53] 2013년 7월에는 사용자가 포르노를 다운로드했다고 비난하는 웹 페이지를 표시하는 OS X 관련 랜섬웨어 트로이 목마가 나타났다. Windows 기반의 다른 랜섬웨어와 달리 컴퓨터 전체를 차단하지 않고, 단순히 웹 브라우저 자체의 동작을 악용하여 일반적인 방법으로 페이지를 닫으려는 시도를 좌절시켰다.[54]

2013년 7월, 우연히 성적 의사소통을 한 미성년 소녀의 음란 사진을 컴퓨터에 가지고 있던 버지니아 출신의 21세 남성은 FBI MoneyPak 랜섬웨어에 속아 아동 포르노 소지 혐의를 받자 경찰에 자수했다. 수사 결과 유죄 증거가 발견되었고, 이 남성은 아동 성적 학대 및 아동 포르노 소지 혐의로 기소되었다.[55]

2. 3. 이중 갈취 및 서비스형 랜섬웨어 (RaaS)

암호 바이러스학 공격은 피해자가 컴퓨터 시스템에 대한 접근을 거부하는 대신 훔친 정보를 공개하겠다고 위협하는 공격으로, 아담 L. 영(Adam L. Young)이 발명했다.[56] 릭웨어(Leakware) 공격에서 악성코드는 민감한 호스트 데이터를 공격자에게 유출시키고, 공격자는 피해자가 몸값을 지불하지 않으면 피해자의 데이터를 공개하겠다고 위협한다.[57]

데이터 유출의 일반적인 대상은 다음과 같다.

  • 주요 피해자가 저장한 제3자 정보 (예: 고객 계정 정보 또는 건강 기록)
  • 피해자에게 독점적인 정보 (예: 영업 비밀 및 제품 정보)
  • 당혹스러운 정보 (예: 피해자의 건강 정보 또는 피해자의 개인적인 과거에 대한 정보)


데이터 유출 공격은 일반적으로 선별된 피해자 목록을 대상으로 하며, 잠재적인 데이터 대상과 취약점을 찾기 위해 피해자의 시스템을 예비적으로 감시하는 경우가 많다.[58][59]

2019년 후반부터는 암호화와 함께 정보 공개를 협박하는 이중 갈취(영어: Double-Extortion Ransomware Attack) 방식이 나타났다. 유럽 연합 일반 데이터 보호 규정(GDPR)의 제재금보다 저렴하다는 점을 들어 개인 정보 유출에 대한 기업의 벌칙을 이용하는 모습도 보인다.

서비스형 랜섬웨어(RaaS)는 랜섬웨어 개발만을 담당하고, 공격은 기술력이 없는 의뢰인이나 공격을 원하는 사람에게 랜섬웨어를 판매하여 이익(얻은 몸값에서 분배를 포함)을 얻는 수법이다. 러시아 기반[129] 또는 러시아어를 사용하는[130] REvil 그룹이 2021년 5월 브라질 기반 JBS S.A.와 2021년 7월 미국 기반 Kaseya Limited를 포함한 여러 대상을 상대로 작전을 펼친 이후 주목할 만한 방법이 되었다.[131]

2. 4. 한국에서의 랜섬웨어 피해 증가

랜섬웨어는 처음 등장했을 때 일반 사용자를 공격 대상으로 삼았다. 그러나 2015년경부터는 더 많은 몸값을 받을 수 있는 대기업을 대상으로 공격하기 시작했다. 2017년에 널리 퍼진 워너크라이는 많은 민간 기업과 공공 기관을 공격하여 국가적 위협으로까지 불리게 되었다.[202]

3. 작동 원리

파일 암호화 랜섬웨어의 개념은 1996년 IEEE 보안 및 개인 정보 보호 컨퍼런스에서 컬럼비아 대학교의 Young과 에 의해 처음 소개되었다.[27] 이들은 ''크립토바이럴 갈취''라는 개념을 제시했는데, 이는 영화 ''에이리언''의 페이스허거에서 영감을 받은 것이다.[16][27]

크립토바이럴 갈취는 공격자와 피해자 간의 3단계 프로토콜로 이루어진다.[16]

1. 공격자는 키 쌍을 생성하고 공개 키를 멀웨어에 넣어 배포한다.

2. 피해자는 멀웨어가 생성한 무작위 대칭 키로 데이터를 암호화당한다. 멀웨어는 공개 키를 사용하여 대칭 키를 암호화하고, 하이브리드 암호화 방식으로 암호문을 생성한다. 이후 대칭 키와 원본 데이터는 제로화되어 복구가 불가능하게 된다. 피해자는 암호문과 몸값 지불 방법을 안내받고, 공격자에게 암호문과 전자 화폐를 보낸다.

3. 공격자는 지불을 확인하고 개인 키로 암호문을 해독하여 대칭 키를 피해자에게 전송한다. 피해자는 대칭 키를 이용해 데이터를 복호화한다.

이 방식에서 대칭 키는 무작위로 생성되므로 다른 피해자에게는 소용이 없으며, 공격자의 개인 키는 노출되지 않는다. 피해자는 암호화된 대칭 키만 공격자에게 보내면 된다.[16]

랜섬웨어는 트로이 목마를 통해 시스템에 침투하며, 악성 첨부 파일, 피싱 이메일 링크, 네트워크 서비스 취약점 등이 이용된다.[12][13][51] 시스템에 침투한 프로그램은 시스템을 잠그거나 파일을 암호화하는 페이로드를 실행한다. 스케어웨어 프로그램처럼 법 집행 기관을 사칭하여 시스템이 불법 활동에 사용되었다거나 음란물 및 "불법 복제된" 미디어가 있다는 가짜 경고를 표시하기도 한다.[12][13][51]

일부 랜섬웨어는 시스템을 잠그거나 제한하며, Windows 셸을 변경하거나,[14] 마스터 부트 레코드파티션 테이블을 수정하여 부팅을 방해하기도 한다.[15]

지불은 주로 계좌 이체, 프리미엄 요금 텍스트 메시지,[19] 선불 바우처 서비스(예: paysafecard),[20][21][77] 비트코인 암호화폐 등 추적하기 어려운 방법을 통해 이루어진다.[22][23][82] 공격자는 피해자가 돈을 지불해도 소용없다는 인식이 퍼지면 지불을 중단할 것이므로, 합의된 대로 해독을 수행하는 것이 일반적이다.

3. 1. 일반적인 작동 흐름

랜섬웨어는 일반적으로 트로이 목마 형태로 시스템에 침투한다. 예를 들어, 다운로드된 파일이나 네트워크 서비스의 취약점을 이용한다.[173][174][175]

이후, 프로그램은 페이로드 (본체 프로그램)를 실행한다. 페이로드는 하드 디스크 드라이브의 개인 파일을 암호화하거나,[17] 시스템 상호 작용을 제한하는 방식으로 작동한다.
파일 암호화 방식

  • 하이브리드 암호화: 정교한 랜섬웨어는 임의의 대칭키와 고정된 공개 키를 이용한 하이브리드 암호 방식으로 피해자의 파일을 암호화한다.[16] 이 경우 멀웨어 작성자만이 비밀 복호화 키를 알고 있다.
  • 단순 시스템 제한: 일부 랜섬웨어는 암호화를 수행하지 않고, 윈도우 셸 설정을 변경하거나,[176] 마스터 부트 레코드 또는 파티션 테이블을 변경하여[177] OS 부팅을 방해하는 방식으로 시스템 접근을 제한한다.

사용자 협박랜섬웨어는 스케어웨어 요소를 이용하여 사용자로부터 금전을 갈취한다. 페이로드는 기업이나 경찰을 사칭하여 시스템이 불법 활동에 사용되었거나, 포르노 또는 해적판 소프트웨어 및 미디어와 같은 불법 콘텐츠가 발견되었다는 허위 주장을 표시한다.[178][179]

일부 랜섬웨어는 Windows XP의 마이크로소프트 라이선스 인증 통지를 모방하여 Windows가 위조되었거나 재활성화가 필요하다는 허위 주장을 하기도 한다.[194]
금전 요구랜섬웨어는 파일을 복호화하는 프로그램을 제공하거나, 페이로드의 변경을 되돌리는 해제 코드를 보내는 대가로 금전을 요구한다.

지불 방법으로는 은행 송금, 비트코인, 유료 문자 메시지,[180] 또는 온라인 결제 상품권 서비스가 사용된다.[206][181][182]

3. 2. 암호화 방식

암호화 방식에는 크게 단방향 암호화와 양방향 암호화가 있다. 단방향 암호화는 한 번 암호화하면 복호화가 불가능하며, 양방향 암호화는 암호화 후 복호화가 가능하다. 초기 랜섬웨어 제작자들은 복호화가 가능한 RSA 알고리즘을 사용했지만, 복구 업체들이 솔루션을 개발하자 단방향 암호화 방식으로 전환했다.[232]

1996년 아담 영과 모티 융은 공개 키 암호화 방식을 사용하는 랜섬웨어를 고안했다. 이들은 RSA와 TEA를 사용하여 피해자의 데이터를 하이브리드 암호화하는 실험적인 암호 바이러스를 구현했다.[16] 공개 키 암호화를 사용하므로 바이러스에는 "암호화" 키만 포함되며, 공격자는 해당 "개인" 해독 키를 비공개로 유지한다.

대칭 키는 무작위로 생성되어 다른 피해자에게는 도움이 되지 않는다. 공격자의 개인 키는 피해자에게 노출되지 않으며, 피해자는 매우 작은 암호문(암호화된 대칭 암호 키)만 공격자에게 보내면 된다.[16]

정교한 랜섬웨어는 임의의 대칭키와 고정된 공개 키에 의한 하이브리드 암호로 피해자의 파일을 암호화한다. 해당 멀웨어 작성자는 비밀 복호화 키를 아는 유일한 인물이다.

3. 3. 감염 경로

랜섬웨어는 다양한 경로를 통해 시스템에 침투하여 감염을 일으킨다.

  • 드라이브 바이 다운로드 (Drive by Download): 사용자가 웹사이트를 방문하는 것만으로도 랜섬웨어에 감염될 수 있다. 공격자는 웹사이트의 보안 취약점을 이용해 악성코드를 숨겨놓고, 사용자가 자신도 모르게 악성코드를 다운로드하고 실행하도록 유도한다.[27]
  • 트로이 목마 (Trojan Horse): 랜섬웨어는 일반적으로 트로이 목마를 통해 전파된다. 악성 첨부 파일, 피싱 이메일에 포함된 링크, 또는 네트워크 서비스의 취약점을 통해 시스템에 침투한다.[12][13][51]
  • 이메일 첨부 파일: 초기에는 이메일 첨부 파일을 통해 감염되는 경우가 많았으며, 주로 소규모 범죄 집단이 무작위 사용자에게 이메일을 보내는 방식을 사용했다.
  • 취약점 공격: 최근에는 기업의 자격 증명을 훔치거나 네트워크 취약점을 발견하여 공격하는 방식으로 발전했다.
  • 기타 감염 경로:
  • SourceForge 및 GitHub와 같은 프로젝트 호스팅 서비스를 통해 배포되기도 한다.[53]
  • OS X 관련 랜섬웨어는 웹 브라우저 자체의 동작을 악용하여 컴퓨터 전체를 차단하지 않고 페이지를 닫을 수 없도록 한다.[54]
  • 안드로이드 플랫폼에서는 타사 애플리케이션 설치가 가능하여 APK 파일 형태로 배포되는 경우가 많다.[60][61]
  • iOS 기기에서는 iCloud 계정을 악용하거나 나의 iPhone 찾기 시스템을 사용하여 기기 접근을 잠그는 방식이 사용된다.[63]
  • DSLR 카메라의 PTP 취약점을 악용하여 랜섬웨어에 감염시키는 경우도 있다.[66]


랜섬웨어는 시스템에 침투한 후, 시스템을 잠그거나 파일을 암호화하는 등의 방식으로 사용자에게 금전을 요구한다.

4. 감염 시 증상


  • 주요 시스템 파일이 열리지 않고, 파일들의 확장명이 변경된다. ('''예 :''' 한글파일의 확장자인 @@@.hwp 가 @@@.hwp.abc나, adfdw 등과 같은 확장자로 변경된다. 확장자가 변경된 경우 파일은 열리지 않는다. 예를 들어 사용자가 123.hwp.abc라는 파일에서 .abc를 지운다 하더라도 그 파일은 이미 손상되었기 때문에 사용자가 원상태로 돌릴 수 없다.)
  • CPU와 램 사용량이 급격히 증가한다.
  • 백신프로그램이 강제로 종료되거나, 중지 또는 오류가 지속적으로 발생한다.
  • 윈도우 복원 시점을 제거한다.

세르베르 랜섬웨어에 감염된 컴퓨터의 바탕화면이다.

5. 주요 사례

다음은 랜섬웨어의 주요 사례들이다.



파일 암호화 랜섬웨어의 개념은 영(Young)과 컬럼비아 대학교에서 발명하고 구현했으며, 1996년 IEEE 보안 및 개인 정보 보호 컨퍼런스에서 발표되었다. 이는 ''크립토바이럴 갈취''라고 불리며 영화 ''에이리언''의 허구적인 페이스허거에서 영감을 받았다.[27]

랜섬웨어 공격은 일반적으로 트로이 목마를 사용하여 수행되며, 악성 첨부 파일, 피싱 이메일에 포함된 링크, 또는 네트워크 서비스의 취약점을 통해 시스템에 침투한다.

일부 페이로드는 지불이 이루어질 때까지 시스템을 잠그거나 제한하도록 설계된 응용 프로그램으로 구성되며, Windows 셸을 자체적으로 설정하거나,[14] 운영 체제가 복구될 때까지 부팅을 방지하기 위해 마스터 부트 레코드 및/또는 파티션 테이블을 수정하기도 한다.[15] 가장 정교한 페이로드는 파일을 암호화하며, 강력한 암호화를 사용하여 피해자의 파일을 암호화하여 멀웨어 제작자만이 필요한 해독 키를 갖도록 한다.[16][17][18]

계좌 이체, 프리미엄 요금 텍스트 메시지,[19] 선불 바우처 서비스(예: paysafecard),[77][20][21]비트코인 암호화폐를 포함한 다양한 지불 방법이 사용되었다.[82][22][23]

1989년 조셉 팝이 제작한 최초의 악성코드 갈취 공격인 "AIDS 트로이 목마"는 설계 결함으로 인해 갈취범에게 돈을 지불할 필요가 없었다. 이 페이로드는 하드 드라이브의 파일을 숨기고 파일 이름만 암호화했으며, 특정 소프트웨어 사용 라이선스가 만료되었다는 메시지를 표시했다. 사용자는 해독 키가 트로이 목마의 코드에서 추출될 수 있었음에도 불구하고 수리 도구를 얻기 위해 "PC Cyborg Corporation"에 US$189를 지불하라는 요청을 받았다.[25]

데이터 납치 공격에 공개 키 암호화를 사용하는 개념은 1996년 아담 L. 영과 Moti Yung에 의해 소개되었다. 영과 융은 대칭 암호화에만 의존하는 AIDS 정보 트로이 목마의 실패를 비판했는데, 치명적인 결함은 해독 키를 트로이 목마에서 추출할 수 있다는 것이었다. 그들은 RSA와 Tiny Encryption Algorithm (TEA)를 사용하여 피해자의 데이터를 하이브리드 암호화하는 Macintosh SE/30에서 실험적인 개념 증명 암호 바이러스를 구현했다.[16]

갈취성 랜섬웨어의 예는 2005년 5월에 두각을 나타내기 시작했다.[28] 2006년 중반까지 Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive와 같은 트로이 목마는 점점 더 큰 키 크기를 가진 더 정교한 RSA 암호화 방식을 사용하기 시작했다. 2006년 6월에 감지된 Gpcode.AG는 660비트 RSA 공개 키로 암호화되었다.[29] 2008년 6월에는 Gpcode.AK로 알려진 변종이 감지되었다. 1024비트 RSA 키를 사용했는데, 분산 노력을 기울이지 않으면 계산상 해독이 불가능할 정도로 충분히 크다고 여겨졌다.[30][31][32][33]

암호화 랜섬웨어는 Bitcoin 디지털 화폐 플랫폼을 사용하여 몸값을 징수하는 CryptoLocker의 확산과 함께 2013년 말에 다시 두각을 나타냈으며, 2013년 12월, ZDNet은 비트코인 거래 정보를 바탕으로 CryptoLocker 운영자가 10월 15일부터 12월 18일까지 감염된 사용자로부터 약 2700만달러를 조달했다고 추정했다.[34]

2022년 코스타리카는 정부, 의료 및 산업에 영향을 미치는 광범위한 Conti 랜섬웨어 공격을 받았다.[41] 이로 인해 로드리고 차베스 대통령은 비상사태를 선포하고 코스타리카가 랜섬웨어 해커와 "전쟁"을 벌이고 있다고 발표했다.[42]

2016년에는 병원에 대한 랜섬웨어 공격이 크게 증가했다. 시만텍(Symantec Corp)의 2017년 인터넷 보안 위협 보고서에 따르면, 랜섬웨어는 IT 시스템뿐만 아니라 환자 관리, 임상 운영 및 청구에도 영향을 미쳤다.[67]

2019년 말, 랜섬웨어 그룹 Maze는 회사의 민감한 파일을 잠그기 전에 다운로드하고, 몸값을 지불하지 않으면 데이터를 공개하겠다고 위협했다. 적어도 한 건의 경우 실제로 그렇게 했다. 많은 다른 조직이 이를 따랐으며, 훔친 데이터에 접근할 수 있는 "유출 사이트"가 다크 웹에 생성되었다.

랜섬웨어 공격 이후 첫 사망 사건은 2020년 10월 독일 병원에서 발생했다.[71]

2020년 코로나19 범유행 동안 랜섬웨어 공격이 현저하게 증가했다. 이러한 공격의 대상 기관에는 정부, 금융 및 의료가 포함되었다. 연구자들은 이 기간 동안 공격이 증가한 이유를 설명할 수 있는 여러 가지 요인이 있다고 주장했다. 그러나 주요 요인은 2020년 많은 산업에서 표준이 된 원격 근무가 전통적인 작업 환경에 비해 보안이 부족하여 공격이 급증했다는 것이다.[72]

사용자가 런던 경시청에 벌금을 내야 한다고 사기성으로 주장하는 Reveton 페이로드


2012년, Reveton으로 알려진 주요 랜섬웨어 트로이 목마가 확산되기 시작했다. Citadel 트로이 목마를 기반으로 하며, 페이로드는 사용자가 불법 소프트웨어 또는 불법 복제 소프트웨어를 다운로드하는 등 불법 행위에 컴퓨터를 사용했다는 법 집행 기관의 경고를 표시한다. 이러한 행동으로 인해 일반적으로 "경찰 트로이 목마"라고 불린다.[73][74][75] 경고는 시스템 잠금을 해제하려면 Ukash 또는 paysafecard와 같은 익명의 선불 현금 서비스의 바우처를 사용하여 벌금을 지불해야 한다고 사용자에게 알린다.[77]

Reveton은 2012년 초에 여러 유럽 국가에서 처음 확산되기 시작했다.[77] 변종은 사용자의 국가에 따라 다른 법 집행 기관의 로고가 있는 템플릿으로 현지화되었다. 예를 들어, 영국에서 사용된 변종에는 런던 경시청 및 경찰 국가 전자 범죄 부서와 같은 기관의 브랜드가 포함되었다.[76] 2012년 8월까지 Reveton의 새로운 변종이 미국에서 확산되기 시작하여 MoneyPak 카드를 사용하여 FBI에 $200의 벌금을 지불해야 한다고 주장했다.[5][6][79]

2013년 9월, 트로이 목마인 '''크립토락커'''를 통해 암호화 랜섬웨어가 다시 나타났는데, 이 트로이 목마는 2048비트 RSA 키 쌍을 생성하여 이를 명령 및 제어 서버에 업로드한 다음, 특정 파일 확장자화이트리스트를 사용하여 파일을 암호화했다. 이 멀웨어는 비트코인이나 선불 현금 바우처를 감염 후 3일 이내에 지불하지 않으면 개인 키를 삭제하겠다고 협박했다. 매우 큰 키 크기를 사용했기 때문에, 분석가들과 이 트로이 목마의 피해자들은 크립토락커를 복구하기가 극도로 어렵다고 생각했다.[82][83][84][85]

크립토락커는 미국 법무부가 2014년 6월 2일에 공식 발표한 Operation Tovar의 일환으로 Gameover ZeuS 봇넷을 압수하면서 격리되었다.[88][89]

2014년 9월, 호주 사용자들을 처음으로 표적으로 삼은 일련의 랜섬웨어 트로이 목마가 나타났는데, 그 이름은 ''CryptoWall''과 ''CryptoLocker''였다(CryptoLocker 2.0과 마찬가지로, 기존의 CryptoLocker와는 관련이 없다). 이 트로이 목마는 호주 우체국(Australia Post)에서 발송한 실패한 소포 배송 알림을 사칭한 사기 이메일을 통해 확산되었다.[90][91]

이 파동의 또 다른 트로이 목마인 TorrentLocker는 처음에는 CryptoDefense와 유사한 설계 결함을 가지고 있었다. 즉, 모든 감염된 컴퓨터에 대해 동일한 키스트림을 사용하여 암호 해독이 매우 쉬웠다. 그러나 이 결함은 나중에 수정되었다.[95]

2016년 3월에 처음 확인된 랜섬웨어. 2016년 3월에 출현한 KeRanger는 macOS 운영 체제 상의 최초의 멀웨어이자 랜섬웨어이다.[220]

2017년 5월 13일에 출현한 워너크라이(Wcry, 울고 싶어지는)는 세계적으로 맹위를 떨친 신종 랜섬웨어 아종이다. 이 컴퓨터 바이러스에 감염되면 자신의 개인용 컴퓨터(마이크로소프트 윈도우)나 서버에 저장된 중요한 파일이 임의로 암호화되어 사용자가 파일을 열 수 없게 된다.[221]

2017년 6월, 우크라이나를 중심으로 세계 각지로 확산되었다.[222] 우크라이나의 국영 전력 회사와 우크라이나 수도 키이우의 국제공항에 감염되었다.

2019년 4월에 처음 확인된 랜섬웨어를 배포하는 서비스형 RaaS(서비스형 랜섬웨어) 그룹이다.

2020년 5월에 처음 확인된 의료 기관 등을 표적으로 하는 랜섬웨어.

2020년 8월에 처음 확인된 동유럽을 거점으로 활동하는 사이버 범죄 개인 또는 그룹이다. 피해자가 사용하는 프로그램을 랜섬웨어를 사용하여 암호화하고, 금전을 요구하는 갈취 행위를 한다. 미국 남동부에 가솔린과 제트 연료를 수송하며, 동해안이 사용하는 연료의 45%를 공급하는 파이프라인 수송을 관리하는 콜로니얼 파이프라인의 시스템이 해킹된 사건(콜로니얼 파이프라인 사이버 공격)에 연루되었다.[223][224]

6. 대응 및 예방

공격이 의심되거나 초기 단계에서 탐지된 경우, 암호화가 진행되는 데 시간이 걸리므로 암호화가 완료되기 전에 멀웨어를 즉시 제거하면 추가적인 데이터 피해를 막을 수 있다.[135][136]

랜섬웨어로 잠긴 파일을 해독하기 위한 여러 도구가 있지만, 항상 복구가 가능한 것은 아니다.[153][154] 암호화 키가 모든 파일에 동일하게 사용된 경우, 해독 도구는 손상되지 않은 백업과 암호화된 복사본이 모두 있는 파일을 사용(암호 분석 용어에서 알려진 평문 공격)하여 복구할 수 있다. 단, 공격자가 사용한 암호가 약해야 가능하다. 키를 복구하는 데 며칠이 걸릴 수도 있다.[155] 무료 랜섬웨어 해독 도구는 AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear, Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt, XData와 같은 랜섬웨어로 암호화된 파일 해독을 도울 수 있다.[156] 보안 연구원에 의해 해독된 랜섬웨어 암호화는 일반적으로 범죄 목적으로는 사용되지 않으므로, 대부분의 공격은 암호화를 해독하여 되돌릴 수 없다.[159]

No More Ransom Project는 네덜란드 경찰의 국가 첨단 기술 범죄 부서, 유럽 연합의 유럽 사이버 범죄 센터, 카스퍼스키 랩, 맥아피가 랜섬웨어 피해자가 몸값을 지불하지 않고 데이터를 복구하도록 돕기 위한 이니셔티브이다.[157] 이들은 암호화된 파일을 분석하고 해독 도구를 검색하기 위해 무료 CryptoSheriff 도구를 제공한다.[158]

삭제된 파일의 이전 사본이 디스크에 존재할 수 있으며, 경우에 따라 해당 목적으로 설계된 소프트웨어를 사용하여 복구할 수도 있다.

2019년 ProPublica의 조사에 따르면 몸값 없는 해독 서비스를 광고한 사이버 보안 회사인 Proven Data Recovery와 Monstercloud는 일반적으로 몸값을 지불하고 피해자에게 더 높은 가격을 청구한다.[159] SamSam 해커는 Proven Data를 너무 자주 이용하여 지불에 기술적인 어려움을 겪는 피해자에게 회사를 추천하기도 했다.[159] Coveware와 같은 다른 회사는 해커에게 지불하고 보안이 취약한 시스템을 패치하는 서비스를 더욱 투명하게 제공했다.[159] 많은 미국 피해자는 몸값 금액이 연방 정부의 개입 기준을 충족하기에는 너무 낮다고 판단했지만, 지역 경찰은 기술적 능력이 부족했고, 종종 그들 자신도 피해자였다.[159]

6. 1. 예방

보안 전문가들은 랜섬웨어에 대한 예방 조치를 제안했다. 알려진 페이로드가 실행되는 것을 차단하는 소프트웨어나 기타 보안 정책을 사용하면 감염을 예방하는 데 도움이 될 수 있지만, 모든 공격으로부터 보호하지는 못한다.[82][137] 따라서 적절한 백업 솔루션을 갖는 것은 랜섬웨어 방어에 매우 중요한 요소이다. 많은 랜섬웨어 공격자가 피해자의 라이브 시스템을 암호화할 뿐만 아니라 로컬 또는 NAS(Network-attached storage, 네트워크 연결 스토리지)을 통해 네트워크에서 접근 가능한 핫 백업을 삭제하려고 시도하므로, "오프라인" 백업을 유지하는 것도 중요하다. 즉, 잠재적으로 감염된 컴퓨터에서 접근할 수 없는 위치에 저장된 데이터(예: 외부 저장 드라이브 또는 어떤 네트워크(인터넷 포함)에도 접근할 수 없는 장치)에 저장하면 랜섬웨어가 접근하는 것을 방지할 수 있다. 또한, NAS 또는 클라우드 스토리지를 사용하는 경우 컴퓨터는 대상 저장소에 추가 전용 권한을 가져야 하며, 이전 백업을 삭제하거나 덮어쓸 수 없어야 한다. 코모도 그룹(comodo)에 따르면, 공격 표면 감소를 운영 체제/커널 (운영 체제)에 적용하면 공격 표면이 실질적으로 감소하여 보안 상태가 향상된다.[138][139][140]

소프트웨어 공급업체가 발행한 보안 패치 (컴퓨팅) 업데이트를 설치하면 특정 종류의 랜섬웨어가 전파하기 위해 악용하는 취약점 (컴퓨팅)을 완화할 수 있다.[141][142][143][144][145] 다른 조치로는 사이버 위생(이메일 첨부 파일 및 링크를 열 때 주의), 네트워크 세분화(중요한 컴퓨터를 네트워크로부터 격리)가 있다.[146][147] 또한 랜섬웨어 확산을 완화하기 위해 감염 관리 조치를 적용할 수 있다.[148] 여기에는 감염된 컴퓨터를 모든 네트워크에서 분리, 교육 프로그램 제공,[149] 효과적인 커뮤니케이션 채널 구축, 멀웨어 감시 및 집단 참여 방안 마련이 포함될 수 있다.[148]

2021년 8월, 사이버 보안 및 인프라 보안국 법안(Cybersecurity and Infrastructure Security Agency Act)에 따라 사이버 보안 및 인프라 보안국(CISA)은 랜섬웨어 공격을 완화하는 방법에 대한 지침을 제공하는 보고서를 발표했다. 이는 최근 랜섬웨어 관련 공격이 크게 증가했기 때문이다. 이러한 공격에는 미국 파이프라인 회사와 소프트웨어 회사에 대한 공격이 포함되었으며, 이로 인해 관리형 서비스 제공업체(MSPs)의 다운스트림 고객에게 영향이 미쳤다.[150]

추가 기록 불가 읽기 전용 (WORM) 저장소는 많은 광 디스크 형식과 같이 내용을 변경하거나 삭제할 수 없으므로 랜섬웨어에 거의 면역이다. 그러나 데이터를 어떤 식으로든 삭제할 수 없어 개인 정보 보호법 및 기타 콘텐츠 관련 법률로 인해 많은 저장 공간에 실용적이지 않다. 유일한 방법은 불필요한 파일을 제외하고 새 WORM 디스크에 복사한 다음 원본 복사본을 파기하는 것이다.

다수의 파일 시스템은 자신이 보관하는 데이터의 스냅샷을 유지하며, 랜섬웨어가 이를 비활성화하지 못할 경우, 랜섬웨어 공격 이전 시점의 파일 내용을 복구하는 데 사용할 수 있다.

  • 윈도우에서는 볼륨 섀도 복사본(VSS)이 데이터 백업을 저장하는 데 자주 사용된다. 랜섬웨어는 종종 이러한 스냅샷을 공격하여 복구를 막으므로, 랜섬웨어가 과거 사본을 비활성화하거나 삭제할 위험을 줄이기 위해 사용자 도구인 ''VSSadmin.exe''에 대한 사용자 접근을 비활성화하는 것이 좋다.
  • 윈도우 10에서는, 사용자는 랜섬웨어로부터 보호하기 위해 윈도우 디펜더의 제어된 폴더 액세스에 특정 디렉토리 또는 파일을 추가할 수 있다.[151] 백업 및 기타 중요한 디렉토리를 제어된 폴더 액세스에 추가하는 것이 권장된다.
  • 악성코드가 ZFS 관리 명령을 실행하도록 코딩된 공격을 배포하여 ZFS 호스트 시스템에서 루트 권한을 얻지 않는 한, ZFS를 실행하는 파일 서버는 광범위하게 랜섬웨어에 면역된다. ZFS는 시간당 여러 번 대규모 파일 시스템의 스냅샷을 생성할 수 있으며, 이러한 스냅샷은 불변(읽기 전용)이며, 데이터 손상 시 쉽게 롤백하거나 파일을 복구할 수 있기 때문이다.[152] 일반적으로 관리자만이 스냅샷을 삭제할 수 있다(수정은 불가능).


다른 형태의 멀웨어와 마찬가지로, 보안 소프트웨어가 랜섬웨어의 페이로드를 감지하지 못할 수 있다는 우려가 있다. 특히 페이로드가 암호화되어 있거나 신종 멀웨어의 경우, 탐지가 어렵다[225]。또한, 네트워크를 통한 스토리지(네트워크 드라이브) 내의 데이터도 암호화될 수 있다는 우려가 있다.

랜섬웨어에 감염되더라도, 물리적으로 차단된 스토리지 장치(예: 탈착 가능한 보조 기억 장치)에 컴퓨터 데이터를 백업하고, 감염된 컴퓨터를 완전 초기화함으로써, 적어도 백업 시점의 상태로 복원할 수 있다[226]。하지만, 침입을 위해 파악된 통신 경로 및 통신 장치의 변경이 있을 수 있으므로, 피해 정도에 따라 시스템 구축부터 다시 시작해야 할 수도 있으며, 피해를 입었을 때의 신속한 조치 및 운영 방안을 미리 마련하는 것이 필요하다.

몸값을 지불하지 않는 선택을 고수함으로써, 공격 대상에서 제외될 수 있다는 견해가 있다[203]

6. 2. 대응

보안 전문가들은 랜섬웨어에 대한 예방 조치를 제안했다. 알려진 페이로드가 실행되는 것을 차단하는 소프트웨어나 보안 정책은 감염 예방에 도움이 될 수 있지만, 모든 공격으로부터 보호하지는 못한다.[82][137] 따라서 적절한 백업 솔루션을 갖추는 것이 랜섬웨어 방어에 매우 중요하다. 많은 랜섬웨어 공격자가 피해자의 라이브 시스템뿐만 아니라 로컬 또는 NAS(Network-attached storage, 네트워크 연결 스토리지)을 통해 네트워크에서 접근 가능한 핫 백업도 삭제하려 하기 때문에, "오프라인" 백업을 유지하는 것도 중요하다. 즉, 잠재적으로 감염된 컴퓨터에서 접근할 수 없는 위치에 저장된 데이터(예: 외부 저장 드라이브 또는 어떤 네트워크(인터넷 포함)에도 접근할 수 없는 장치)는 랜섬웨어의 접근을 막을 수 있다. 또한, NAS 또는 클라우드 스토리지를 사용하는 경우 컴퓨터는 대상 저장소에 추가 전용 권한을 가져야 하며, 이전 백업을 삭제하거나 덮어쓸 수 없어야 한다. 코모도 그룹(comodo)에 따르면, 공격 표면 감소를 운영 체제/커널 (운영 체제)에 적용하면 공격 표면이 실질적으로 감소하여 보안 상태가 향상된다.[138][139][140]

소프트웨어 공급업체가 발행한 보안 패치 (컴퓨팅) 업데이트를 설치하면 특정 종류의 랜섬웨어가 전파하기 위해 악용하는 취약점 (컴퓨팅)을 완화할 수 있다.[141][142][143][144][145] 다른 조치로는 사이버 위생(이메일 첨부 파일 및 링크를 열 때 주의, 네트워크 세분화, 중요한 컴퓨터를 네트워크로부터 격리)이 있다.[146][147] 또한 랜섬웨어 확산을 완화하기 위해 감염 관리 조치를 적용할 수 있다.[148] 여기에는 감염된 컴퓨터를 모든 네트워크에서 분리, 교육 프로그램 제공,[149] 효과적인 커뮤니케이션 채널 구축, 멀웨어 감시 및 집단 참여 방안 마련이 포함될 수 있다.[148]

2021년 8월, 사이버 보안 및 인프라 보안국 법안(Cybersecurity and Infrastructure Security Agency Act)에 따라 사이버 보안 및 인프라 보안국(CISA)은 랜섬웨어 공격을 완화하는 방법에 대한 지침을 제공하는 보고서를 발표했다. 이는 최근 랜섬웨어 관련 공격이 크게 증가했기 때문이다. 이러한 공격에는 미국 파이프라인 회사와 소프트웨어 회사에 대한 공격이 포함되었으며, 이로 인해 관리형 서비스 제공업체(MSPs)의 다운스트림 고객에게 영향이 미쳤다.[150]

추가 기록 불가 읽기 전용(WORM) 저장소는 많은 광 디스크 형식과 같이 내용을 변경하거나 삭제할 수 없으므로 랜섬웨어에 거의 면역이다. 그러나 데이터를 어떤 식으로든 삭제할 수 없어 개인 정보 보호법 및 기타 콘텐츠 관련 법률로 인해 많은 저장 공간에 실용적이지 않다. 유일한 방법은 불필요한 파일을 제외하고 새 WORM 디스크에 복사한 다음 원본 복사본을 파기하는 것이다.

다수의 파일 시스템은 자신이 보관하는 데이터의 스냅샷을 유지하며, 랜섬웨어가 이를 비활성화하지 못할 경우, 랜섬웨어 공격 이전 시점의 파일 내용을 복구하는 데 사용할 수 있다.

  • 윈도우에서는 볼륨 섀도 복사본(VSS)이 데이터 백업을 저장하는 데 자주 사용된다. 랜섬웨어는 종종 이러한 스냅샷을 공격하여 복구를 막으므로, 랜섬웨어가 과거 사본을 비활성화하거나 삭제할 위험을 줄이기 위해 사용자 도구인 ''VSSadmin.exe''에 대한 사용자 접근을 비활성화하는 것이 좋다.
  • 윈도우 10에서는, 사용자는 랜섬웨어로부터 보호하기 위해 윈도우 디펜더의 제어된 폴더 액세스에 특정 디렉토리 또는 파일을 추가할 수 있다.[151] 백업 및 기타 중요한 디렉토리를 제어된 폴더 액세스에 추가하는 것이 권장된다.
  • 악성코드가 ZFS 관리 명령을 실행하도록 코딩된 공격을 배포하여 ZFS 호스트 시스템에서 루트 권한을 얻지 않는 한, ZFS를 실행하는 파일 서버는 광범위하게 랜섬웨어에 면역된다. ZFS는 시간당 여러 번 대규모 파일 시스템의 스냅샷을 생성할 수 있으며, 이러한 스냅샷은 불변(읽기 전용)이며, 데이터 손상 시 쉽게 롤백하거나 파일을 복구할 수 있기 때문이다.[152] 일반적으로 관리자만이 스냅샷을 삭제할 수 있다(수정은 불가능).


랜섬웨어로 잠긴 파일을 해독하기 위한 여러 도구가 있지만, 성공적인 복구가 항상 가능한 것은 아니다.[153][154] 동일한 암호화 키가 모든 파일에 사용된 경우, 해독 도구는 손상되지 않은 백업과 암호화된 복사본이 모두 있는 파일을 사용한다 (암호 분석 용어에서 알려진 평문 공격). 하지만 공격자가 사용한 암호가 약해서 알려진 평문 공격에 취약한 경우에만 작동한다); 키를 복구하는 데 며칠이 걸릴 수 있다.[155] 무료 랜섬웨어 해독 도구는 다음과 같은 형태의 랜섬웨어로 암호화된 파일의 해독을 도울 수 있다: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear, Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt, XData.[156] 보안 연구원에 의해 해독된 랜섬웨어 암호화는 일반적으로 범죄 목적으로는 버려진다. 따라서 실제로 대부분의 공격은 암호화를 깨뜨려 되돌릴 수 없다.[159]

No More Ransom Project는 네덜란드 경찰의 국가 첨단 기술 범죄 부서, 유럽 연합의 유럽 사이버 범죄 센터, 카스퍼스키 랩맥아피가 랜섬웨어 피해자가 몸값을 지불하지 않고 데이터를 복구하도록 돕기 위한 이니셔티브이다.[157] 그들은 암호화된 파일을 분석하고 해독 도구를 검색하기 위해 무료 CryptoSheriff 도구를 제공한다.[158]

또한, 이전에 삭제된 파일의 이전 사본이 디스크에 존재할 수 있다. 경우에 따라 이러한 삭제된 버전은 해당 목적으로 설계된 소프트웨어를 사용하여 여전히 복구할 수 있다.

2019년 ProPublica의 조사에 따르면 몸값 없는 해독 서비스를 광고한 사이버 보안 회사인 Proven Data Recovery와 Monstercloud는 일반적으로 몸값을 지불하고 피해자에게 더 높은 가격을 청구한다.[159] SamSam 해커는 Proven Data를 너무 자주 처리하여 지불에 기술적인 어려움을 겪는 피해자에게 회사를 추천할 정도였다.[159] Coveware와 같은 다른 회사는 해커에게 지불하고 보안이 취약한 시스템을 패치하는 서비스를 더욱 투명하게 제공했다.[159] 많은 미국 피해자는 몸값 금액이 연방 정부의 개입 기준을 충족하기에는 너무 낮다고 판단했지만, 지역 경찰은 이를 도울 기술적 능력이 부족했고, 종종 그들 자신도 피해자였다.[159]

다른 형태의 멀웨어와 마찬가지로, 보안 소프트웨어가 랜섬웨어의 페이로드를 감지하지 못할 수 있다는 우려가 있다. 특히 페이로드가 암호화되어 있거나 신종 멀웨어의 경우, 탐지가 어렵다.[225] 또한, 네트워크를 통한 스토리지(네트워크 드라이브) 내의 데이터도 암호화될 수 있다는 우려가 있다.

랜섬웨어에 감염되더라도, 물리적으로 차단된 스토리지 장치(예: 탈착 가능한 보조 기억 장치)에 컴퓨터 데이터를 백업하고, 감염된 컴퓨터를 완전 초기화함으로써, 적어도 백업 시점의 상태로 복원할 수 있다.[226] 하지만, 침입을 위해 파악된 통신 경로 및 통신 장치의 변경이 있을 수 있으므로, 피해 정도에 따라 시스템 구축부터 다시 시작해야 할 수도 있으며, 피해를 입었을 때의 신속한 조치 및 운영 방안을 미리 마련하는 것이 필요하다.

몸값을 지불하지 않는 선택을 고수함으로써, 공격 대상에서 제외될 수 있다는 견해가 있다.[203]

6. 3. 법적 측면

랜섬웨어 공격자들은 주로 금전적인 이익을 목적으로 하지만, 경우에 따라서는 사회 혼란을 야기하거나 특정 국가를 공격하기도 한다.

일본 해커 협회의 스기우라 타카유키는 "해커는 반사회 세력이나 테러리스트가 아니므로, 몸값을 지불하는 것 자체는 불법 행위가 아니다"라고 언급하며, 세계적으로도 지불하는 사례가 많다고 한다. 일본의 테러 자금 제공 처벌법은 해커 집단을 대상으로 하지 않기 때문에 일본 내에서는 불법으로 간주되지 않는다.[199] 그러나 미국에는 해커 집단을 대상으로 하는 처벌법이 있어, 일본 기업도 제재 대상이 될 수 있다.[199]

위저드 스파이더 등 각국의 경찰 당국으로부터 범죄 그룹으로 인식되고 있는 집단도 있으며, 이러한 상대에게 몸값을 지불한 사실이 공개되면 사회적 신용을 잃을 수 있다는 위험도 존재한다.[199]

참조

[1] 웹사이트 Petya Ransomware Master File Table Encryption https://threatpost.c[...] 2016-03-28
[2] 웹사이트 Mamba ransomware encrypts your hard drive, manipulates the boot process https://www.neowin.n[...] 2016-09-21
[3] 논문 A Content-Based Ransomware Detection and Backup Solid-State Drive for Ransomware Defense https://ieeexplore.i[...] 2022-07-01
[4] 웹사이트 Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It https://www.gizmodo.[...] 2017-05-13
[5] 웹사이트 New Internet scam: Ransomware... https://www.fbi.gov/[...] FBI 2012-08-09
[6] 웹사이트 Citadel malware continues to deliver Reveton ransomware... http://www.ic3.gov/m[...] Internet Crime Complaint Center (IC3) 2012-11-30
[7] 뉴스 Ransomware back in big way, 181.5 million attacks since January https://www.helpnets[...] 2018-07-11
[8] 웹사이트 Update: McAfee: Cyber criminals using Android malware and ransomware the most http://www.infoworld[...] 2013-06-03
[9] 뉴스 Cryptolocker victims to get files back for free https://www.bbc.co.u[...] 2014-08-06
[10] 웹사이트 Internet Crime Report 2020 https://www.ic3.gov/[...]
[11] 웹사이트 Number of ransomware attacks per year 2022 https://www.statista[...]
[12] 뉴스 Police warn of extortion messages sent in their name http://www.hs.fi/eng[...]
[13] 잡지 Alleged Ransomware Gang Investigated by Moscow Police https://www.pcworld.[...] 2010-08-31
[14] 웹사이트 Ransomware: Fake Federal German Police (BKA) notice http://www.securelis[...] SecureList (Kaspersky Lab)
[15] 웹사이트 And Now, an MBR Ransomware http://www.securelis[...] SecureList (Kaspersky Lab)
[16] 컨퍼런스 Cryptovirology: extortion-based security threats and countermeasures
[17] 논문 Building a Cryptovirus Using Microsoft's Cryptographic API Springer-Verlag
[18] 논문 Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?
[19] 뉴스 New ransomware locks PCs, demands premium SMS for removal http://blogs.zdnet.c[...] 2009-04-22
[20] 잡지 Ransomware plays pirated Windows card, demands $143 http://www.computerw[...] 2011-09-06
[21] 웹사이트 New Trojans: give us $300, or the data gets it! https://arstechnica.[...] 2007-07-18
[22] 웹사이트 CryptoDefense ransomware leaves decryption key accessible http://www.computerw[...] IDG 2014-04-01
[23] 웹사이트 What to do if Ransomware Attacks on your Windows Computer? https://www.techiemo[...]
[24] 웹사이트 The state of ransomware 2020 https://news.sophos.[...] 2020-05-12
[25] 잡지 Ransomware: Extortion via the Internet http://www.techrepub[...]
[26] 논문 On Blind 'Signatures and Perfect Crimes https://pdfs.semanti[...]
[27] 논문 Cryptovirology: The Birth, Neglect, and Explosion of Ransomware https://cacm.acm.org[...]
[28] 웹사이트 Files for ransom http://www.networkwo[...] Network World 2005-09-26
[29] 웹사이트 Ransomware getting harder to break http://theregister.c[...] 2006-07-24
[30] 뉴스 Blackmail ransomware returns with 1024-bit encryption key http://blogs.zdnet.c[...] 2008-06-06
[31] 웹사이트 Ransomware resisting crypto cracking efforts http://www.securityf[...] SecurityFocus 2008-06-13
[32] 뉴스 Ransomware Encrypts Victim Files with 1,024-Bit Key http://voices.washin[...] 2008-06-09
[33] 웹사이트 Kaspersky Lab reports a new and dangerous blackmailing virus http://www.kaspersky[...] Kaspersky Lab 2008-06-05
[34] 뉴스 CryptoLocker's crimewave: A trail of millions in laundered Bitcoin https://www.zdnet.co[...] 2013-12-22
[35] 웹사이트 Cryptolocker 2.0 – new version, or copycat? http://www.welivesec[...] ESET 2013-12-19
[36] 웹사이트 New CryptoLocker Spreads via Removable Drives http://blog.trendmic[...] Trend Micro 2014-01-18
[37] 뉴스 Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files http://www.extremete[...] Ziff Davis Media 2014-08-18
[38] 웹사이트 File-encrypting ransomware starts targeting Linux web servers http://www.pcworld.c[...] IDG 2016-05-31
[39] 웹사이트 Cybercriminals Encrypt Website Databases in "RansomWeb" Attacks http://www.securityw[...] 2016-05-31
[40] 뉴스 Hackers holding websites to ransom by switching their encryption keys https://www.theguard[...] 2016-05-31
[41] 잡지 Conti's Attack Against Costa Rica Sparks a New Ransomware Era https://www.wired.co[...] 2024-07-11
[42] 뉴스 President Rodrigo Chaves says Costa Rica is at war with Conti hackers https://www.bbc.com/[...] 2024-07-11
[43] 웹사이트 The new .LNK between spam and Locky infection https://blogs.techne[...] 2017-10-25
[44] 웹사이트 PowerShell Exploits Spotted in Over a Third of Attacks https://www.infosecu[...]
[45] 뉴스 New ransomware employs Tor to stay hidden from security https://www.theguard[...] 2016-05-31
[46] 웹사이트 The current state of ransomware: CTB-Locker https://blogs.sophos[...] Sophos 2016-05-31
[47] 뉴스 Author Behind Ransomware Tox Calls it Quits, Sells Platform https://threatpost.c[...] 2015-08-06
[48] 웹사이트 Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block http://blog.fortinet[...] 2015-08-06
[49] 웹사이트 Symantec classifies ransomware as the most dangerous cyber threat – Tech2 http://tech.firstpos[...] 2016-09-22
[50] 웹사이트 Russian cops cuff 10 ransomware Trojan suspects https://www.theregis[...] 2012-03-10
[51] 잡지 Ransomware squeezes users with bogus Windows activation demand http://www.computerw[...] 2012-03-09
[52] 보고서 Ransonmware: A Growing Menace https://www.01net.it[...] Symantec Corporation 2019-10-05
[53] 웹사이트 Criminals push ransomware hosted on GitHub and SourceForge pages by spamming 'fake nude pics' of celebrities https://thenextweb.c[...] 2013-07-17
[54] 웹사이트 New OS X malware holds Macs for ransom, demands $300 fine to the FBI for 'viewing or distributing' porn https://thenextweb.c[...] 2013-07-17
[55] 웹사이트 Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges https://arstechnica.[...] 2013-07-31
[56] 학회발표 Non-Zero Sum Games and Survivable Malware
[57] 서적 Malicious Cryptography: Exposing Cryptovirology Wiley
[58] 웹사이트 Threat spotlight: WastedLocker, customized ransomware https://blog.malware[...] 2020-07-27
[59] 웹사이트 Garmin confirms cyber attack as fitness tracking systems come back online https://www.theverge[...] 2020-07-27
[60] 웹사이트 Ransomware on mobile devices: knock-knock-block https://blog.kaspers[...] 2016-12-06
[61] 웹사이트 Your Android phone viewed illegal porn. To unlock it, pay a $300 fine https://arstechnica.[...] 2017-04-09
[62] 웹사이트 New Android ransomware uses clickjacking to gain admin privileges http://www.pcworld.c[...] 2017-04-09
[63] 웹사이트 Here's How to Overcome Newly Discovered iPhone Ransomware http://fortune.com/2[...] 2017-04-09
[64] 웹사이트 Ransomware scammers exploited Safari bug to extort porn-viewing iOS users https://arstechnica.[...] 2017-04-09
[65] 학술지 Targeted Ransomware: A New Cyber Threat to Edge System of Brownfield Industrial Internet of Things 2019
[66] 웹사이트 This is how ransomware could infect your digital camera https://www.zdnet.co[...] 2019-08-13
[67] 뉴스 Ransomware Turning Healthcare Cybersecurity Into a Patient Care Issue https://www.hfma.org[...] Healthcare Financial Management Association 2017-06-16
[68] 보고서 The Growing Threat of Ransomware http://www.cdsystems[...] 2019-10-05
[69] 보고서 Activity begins to drop, but remains a challenge for organizations https://www.broadcom[...] Symantec Corporation 2019-10-05
[70] 뉴스 Who are the ransomware gangs wreaking havoc on the world's biggest companies? https://www.theguard[...] 2023-07-17
[71] 뉴스 First death reported following a ransomware attack on a German hospital https://www.zdnet.co[...] ZDNet 2020-10-05
[72] 논문 Ransomware: Recent advances, analysis, challenges and future research directions 2021-12-01
[73] 웹사이트 Gardaí warn of 'Police Trojan' computer locking virus http://www.thejourna[...] 2012-06-15
[74] 웹사이트 Barrie computer expert seeing an increase in the effects of the new ransomware http://www.thebarrie[...] Postmedia Network 2016-05-31
[75] 웹사이트 Fake cop Trojan 'detects offensive materials' on PCs, demands money https://www.theregis[...] 2012-08-15
[76] 웹사이트 Police alert after ransom Trojan locks up 1,100 PCs http://news.techworl[...] TechWorld 2012-08-16
[77] 웹사이트 Ransom Trojans spreading beyond Russian heartland http://news.techworl[...] TechWorld 2012-03-10
[78] 간행물 Police-themed Ransomware Starts Targeting US and Canadian Users https://www.pcworld.[...] 2012-05-09
[79] 간행물 Reveton Malware Freezes PCs, Demands Payment http://www.informati[...] 2012-08-16
[80] 웹사이트 Reveton 'police ransom' malware gang head arrested in Dubai http://news.techworl[...] 2014-10-18
[81] 웹사이트 'Reveton' ransomware upgraded with powerful password stealer http://www.pcworld.c[...] 2014-10-18
[82] 웹사이트 You're infected—if you want to see your data again, pay us $300 in Bitcoins https://arstechnica.[...] 2013-10-23
[83] 웹사이트 Disk encrypting Cryptolocker malware demands $300 to decrypt your files http://www.geek.com/[...] 2013-09-12
[84] 뉴스 CryptoLocker attacks that hold your computer to ransom https://www.theguard[...] 2013-10-23
[85] 웹사이트 Destructive malware "CryptoLocker" on the loose – here's what to do http://nakedsecurity[...] Sophos 2013-10-23
[86] 웹사이트 CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service http://www.networkwo[...] 2013-11-05
[87] 웹사이트 CryptoLocker creators try to extort even more money from victims with new service http://www.pcworld.c[...] 2013-11-05
[88] 뉴스 Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet http://blogs.compute[...] 2014-08-18
[89] 웹사이트 U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator https://www.justice.[...] 2014-08-18
[90] 웹사이트 Australians increasingly hit by global tide of cryptomalware https://community.br[...] Symantec 2014-10-15
[91] 뉴스 Hackers lock up thousands of Australian computers, demand ransom https://www.smh.com.[...] 2014-10-15
[92] 뉴스 Australia specifically targeted by Cryptolocker: Symantec http://www.arnnet.co[...] 2014-10-15
[93] 뉴스 Scammers use Australia Post to mask email attacks https://www.smh.com.[...] 2014-10-15
[94] 웹사이트 Ransomware attack knocks TV station off air http://www.csoonline[...] 2014-10-15
[95] 웹사이트 Encryption goof fixed in TorrentLocker file-locking malware http://www.pcworld.c[...] 2014-10-15
[96] 웹사이트 Over 9,000 PCs in Australia infected by TorrentLocker ransomware http://www.cso.com.a[...] 2014-12-18
[97] 웹사이트 Malvertising campaign delivers digitally signed CryptoWall ransomware http://www.pcworld.c[...] 2015-06-25
[98] 웹사이트 CryptoWall 3.0 Ransomware Partners With FAREIT Spyware http://blog.trendmic[...] Trend Micro 2015-06-25
[99] 웹사이트 FBI says crypto ransomware has raked in >$18 million for cybercriminals https://arstechnica.[...] 2015-06-25
[100] 웹사이트 Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect https://heimdalsecur[...] 2016-01-05
[101] 웹사이트 Ransomware on mobile devices: knock-knock-block https://blog.kaspers[...] 2016-12-04
[102] 웹사이트 The evolution of mobile ransomware https://blog.avast.c[...] 2016-12-04
[103] 웹사이트 Mobile ransomware use jumps, blocking access to phones http://www.pcworld.c[...] IDG Consumer & SMB 2016-12-04
[104] 뉴스 Cyber-attack: Europol says it was unprecedented in scale https://www.bbc.com/[...] 2017-05-13
[105] 웹사이트 'Unprecedented' cyberattack hits 200,000 in at least 150 countries, and the threat is escalating https://www.cnbc.com[...] CNBC 2017-05-16
[106] 뉴스 The real victim of ransomware: Your local corner store https://www.cnet.com[...] 2017-05-22
[107] 뉴스 The NHS trusts hit by malware – full list https://www.theguard[...] 2017-05-12
[108] 뉴스 Honda halts Japan car plant after WannaCry virus hits computer network https://www.reuters.[...] 2017-06-21
[109] 뉴스 The Latest: Russian Interior Ministry is hit by cyberattack https://www.wthr.com[...]
[110] 뉴스 Victims Call Hackers' Bluff as Ransomware Deadline Nears https://www.nytimes.[...] 2017-05-19
[111] 뉴스 Petya ransomware is now double the trouble http://www.networkwo[...] 2017-06-27
[112] 웹사이트 Ransomware Statistics for 2018 {{!}} Safety Detective https://www.safetyde[...] 2018-11-20
[113] 웹사이트 Tuesday's massive ransomware outbreak was, in fact, something much worse https://arstechnica.[...] 2017-06-28
[114] 뉴스 Cyber-attack was about data and not money, say experts https://www.bbc.com/[...] 2017-06-29
[115] 웹사이트 'Bad Rabbit' ransomware strikes Ukraine and Russia https://www.bbc.com/[...] 2017-10-24
[116] 웹사이트 Bad Rabbit: Game of Thrones-referencing ransomware hits Europe https://www.theguard[...] 2017-10-25
[117] 웹사이트 BadRabbit: a closer look at the new version of Petya/NotPetya https://blog.malware[...] 2017-10-24
[118] 웹사이트 Bad Rabbit: Ten things you need to know about the latest ransomware outbreak https://www.zdnet.co[...]
[119] 웹사이트 'Bad Rabbit' Ransomware Strikes Russia and Ukraine https://gizmodo.com/[...] 2017-10-24
[120] 웹사이트 Bad Rabbit ransomware: A new variant of Petya is spreading, warn researchers https://www.zdnet.co[...] 2017-10-24
[121] 웹사이트 New ransomware attack hits Russia and spreads around globe https://money.cnn.co[...] 2017-10-25
[122] 웹사이트 Patch JBoss now to prevent SamSam ransomware attacks https://www.infoworl[...] IDG 2016-04-19
[123] 웹사이트 City of Atlanta Hit with SamSam Ransomware: 5 Key Things to Know https://blog.barkly.[...] Barkley Protects, Inc. 2018-03-00
[124] 문서 Wanted by the FBI: SamSam Subjects https://www.fbi.gov/[...] U.S. Department of Justice
[125] 보도자료 Two Iranian Men Indicted for Deploying Ransomware to Extort Hospitals, Municipalities, and Public Institutions, Causing Over $30 Million in Losses https://www.justice.[...] United States Department of Justice 2018-11-28
[126] 웹사이트 We talked to Windows tech support scammers. Here's why you shouldn't https://www.zdnet.co[...]
[127] 웹사이트 Windows 10 Fall Creators Update: syskey.exe support dropped https://www.ghacks.n[...] 2017-06-26
[128] 웹사이트 Syskey.exe utility is no longer supported in Windows 10, Windows Server 2016 and Windows Server 2019 https://support.micr[...] Microsoft
[129] 웹사이트 Russian-based ransomware group 'REvil' disappears after hitting US businesses https://www.independ[...] 2021-07-13
[130] 웹사이트 Prolific ransomware gang suddenly disappears from internet. The timing is noteworthy. https://www.nbcnews.[...] 2021-07-14
[131] 웹사이트 McAfee ATR Analyzes Sodinokibi aka REvil Ransomware-as-a-Service - The All-Stars https://www.mcafee.c[...] 2019-10-02
[132] 웹사이트 Biden tells Putin Russia must crack down on cybercriminals https://apnews.com/a[...] 2021-07-09
[133] 뉴스 Russia's most aggressive ransomware group disappeared. It's unclear who disabled them. https://www.nytimes.[...] 2021-07-13
[134] 웹사이트 Ransomware gang that hit meat supplier mysteriously vanishes from the internet https://www.cnn.com/[...] 2021-07-13
[135] 웹사이트 Cryptolocker Ransomware: What You Need To Know, last updated 06/02/2014 https://blog.malware[...] 2013-10-08
[136] 웹사이트 Fiendish CryptoLocker ransomware: Whatever you do, don't PAY https://www.theregis[...] 2013-10-18
[137] 웹사이트 Cryptolocker Infections on the Rise; US-CERT Issues Warning https://www.security[...] 2013-11-19
[138] 웹사이트 Applying attack surface reduction https://techtalk.com[...] Comodo Cybersecurity
[139] 웹사이트 Overview of attack surface reduction capabilities https://docs.microso[...] Microsoft
[140] 웹사이트 Comodo's patented "Kernel API Virtualization" – Under the Hood https://techtalk.com[...] Comodo Cybersecurity
[141] 웹사이트 'Petya' Ransomware Outbreak Goes Global https://krebsonsecur[...] Krebs on Security 2017-06-28
[142] 웹사이트 How to protect yourself from Petya malware https://www.cnet.com[...]
[143] 뉴스 Petya ransomware attack: What you should do so that your security is not compromised http://economictimes[...] 2017-06-29
[144] 웹사이트 New 'Petya' Ransomware Attack Spreads: What to Do https://www.tomsguid[...] Tom's Guide 2017-06-27
[145] 뉴스 India worst hit by Petya in APAC, 7th globally: Symantec http://economictimes[...] 2017-06-29
[146] 웹사이트 TRA issues advice to protect against latest ransomware Petya http://www.thenation[...] 2017-06-29
[147] 웹사이트 Petya Ransomware Spreading Via EternalBlue Exploit « Threat Research Blog https://www.fireeye.[...] FireEye
[148] 서적 Cybercrime in the Greater China Region: Regulatory Responses and Crime Prevention Across the Taiwan Strait https://books.google[...] Edward Elgar Publishing 2012
[149] 웹사이트 Infection control for your computers: Protecting against cyber crime - GP Practice Management Blog https://practiceinde[...] 2017-05-18
[150] 논문 Cybersecurity and Infrastructure Security Agency Releases Guidance Regarding Ransomware https://csu-sfsu.pri[...] 2021
[151] 웹사이트 How to Turn On Ransomware Protection in Windows 10 https://windowsloop.[...] 2018-05-08
[152] 웹사이트 Defeating CryptoLocker Attacks with ZFS https://www.ixsystem[...] 2015-08-27
[153] 뉴스 How can I remove a ransomware infection? https://www.theguard[...] 2016-07-28
[154] 웹사이트 List of free Ransomware Decryptor Tools to unlock files http://www.thewindow[...]
[155] 웹사이트 Emsisoft Decrypter for HydraCrypt and UmbreCrypt Ransomware http://www.thewindow[...] 2016-02-17
[156] 웹사이트 Ransomware removal tools https://www.avast.co[...]
[157] 뉴스 About the Project - The No More Ransom Project https://www.nomorera[...]
[158] 뉴스 Crypto Sheriff - The No More Ransom Project https://www.nomorera[...]
[159] 웹사이트 The Trade Secret Firms That Promised High-Tech Ransomware Solutions Almost Always Just Pay the Hackers https://features.pro[...] 2019-05-15
[160] 뉴스 Zain Qaiser: Student jailed for blackmailing porn users worldwide https://www.bbc.com/[...] 2019-04-09
[161] 웹사이트 British hacker Zain Qaiser sentenced for blackmailing millions https://www.teiss.co[...] 2019-04-09
[162] 웹사이트 Reveton ransomware distributor sentenced to six years in prison in the UK https://www.zdnet.co[...]
[163] 웹사이트 How police caught the UK's most notorious porn ransomware baron https://www.wired.co[...] Wired 2019-04-12
[164] 웹사이트 Angler by Lurk: Why the infamous cybercriminal group that stole millions was renting out its most powerful tool https://usa.kaspersk[...] 2021-05-26
[165] 웹사이트 Florida Man laundered money for Reveton ransomware. Then Microsoft hired him in San Francisco https://www.theregis[...] 2018-08-15
[166] 웹사이트 The Minority Report – Week 7 – The Half-Way Point http://www.d-worldne[...] World News 2017-02-25
[167] 웹사이트 14-Year-Old Japanese Boy Arrested for Creating Ransomware http://thehackernews[...] The Hacker News 2017-06-06
[168] 웹사이트 New Internet scam: Ransomware... http://www.fbi.gov/n[...] FBI 2012-08-09
[169] 웹사이트 Citadel malware continues to deliver Reveton ransomware... http://www.ic3.gov/m[...] Internet Crime Complaint Center (IC3) 2012-11-30
[170] 웹사이트 Update: McAfee: Cyber criminals using Android malware and ransomware the most http://www.infoworld[...]
[171] 웹사이트 カドカワへ再びサイバー攻撃の予告か…身代金11億円の支払いを拒否していた https://biz-journal.[...]
[172] 웹사이트 Ransomware Challenges Posed by Cyber Criminals http://cybersecurity[...]
[173] 학회발표 Cryptovirology: extortion-based security threats and countermeasures
[174] 논문 Building a Cryptovirus Using Microsoft's Cryptographic API Springer-Verlag
[175] 논문 Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy? Springer-Verlag
[176] 웹사이트 Ransomware: Fake Federal German Police (BKA) notice http://www.securelis[...] SecureList (Kaspersky Lab) 2012-03-10
[177] 웹사이트 And Now, an MBR Ransomware http://www.securelis[...] SecureList (Kaspersky Lab) 2012-03-10
[178] 웹사이트 Police warn of extortion messages sent in their name http://www.hs.fi/eng[...] Helsingin Sanomat 2012-03-09
[179] 웹사이트 Alleged Ransomware Gang Investigated by Moscow Police http://www.pcworld.c[...] PC World 2012-03-10
[180] 웹사이트 New ransomware locks PCs, demands premium SMS for removal http://blogs.zdnet.c[...] ZDNet 2009-04-22
[181] 웹사이트 Ransomware plays pirated Windows card, demands $143 http://www.computerw[...] Computerworld 2012-03-09
[182] 웹사이트 New Trojans: give us $300, or the data gets it! http://arstechnica.c[...] Ars Technica 2007-07-18
[183] 웹사이트 Ransomware: Extortion via the Internet http://www.techrepub[...] TechRepublic 2012-03-10
[184] 웹사이트 Files for ransom http://www.networkwo[...] Network World 2005-09-26
[185] 웹사이트 Ransomware getting harder to break http://theregister.c[...] The Register 2006-07-24
[186] 웹사이트 Blackmail ransomware returns with 1024-bit encryption key http://blogs.zdnet.c[...] ZDnet 2008-06-06
[187] 웹사이트 Ransomware resisting crypto cracking efforts http://www.securityf[...] SecurityFocus 2008-06-13
[188] 웹사이트 Ransomware Encrypts Victim Files With 1,024-Bit Key http://voices.washin[...] Washington Post 2008-06-09
[189] 웹사이트 Kaspersky Lab reports a new and dangerous blackmailing virus http://www.kaspersky[...] Kaspersky Lab 2008-06-05
[190] 뉴스 NASを人質に身代金0.6BTCを要求、ランサムウェア「SynoLocker」の攻撃広がる https://internet.wat[...] 株式会社インプレス「INTERNET Watch」 2014-08-13
[191] 웹사이트 プライバシーを換金する無料サービス、政府が作るウイルス--オンライン「負の問題」 - CNET Japan https://japan.cnet.c[...]
[192] 웹사이트 日本語ランサムウェア「犯人」インタビュー : IT&メディア : 読売新聞(YOMIURI ONLINE) https://web.archive.[...]
[193] 웹사이트 Russian cops cuff 10 ransomware Trojan suspects http://www.theregist[...] The Register 2012-03-10
[194] 웹사이트 Ransomware squeezes users with bogus Windows activation demand http://www.computerw[...] Computerworld 2012-03-09
[195] 웹사이트 Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities http://thenextweb.co[...] 2013-07-17
[196] 웹사이트 New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn http://thenextweb.co[...] 2013-07-17
[197] 웹사이트 Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges http://arstechnica.c[...] 2013-07-31
[198] 간행물 Deloitte Cyber Trend & Intelligence Report 2020 데로이트 トウシュ トーマツ
[199] 웹사이트 「炎上する」「顧客や株主守れ」 KADOKAWA被害の身代金要求ウイルス、支払い是非は https://www.itmedia.[...] 2024-08-01
[200] 간행물 情報セキュリティ10大脅威 2021 https://www.ipa.go.j[...] 独立行政法人情報処理推進機構(IPA)
[201] 웹사이트 CrowdStrike、2020年度版グローバルセキュリティ意識調査結果を発表 https://www.crowdstr[...] CrowdStrike
[202] 웹사이트 ランサムウェアはいかに世界的な脅威へと深刻化したか https://japan.zdnet.[...] ZDNet 2017-05-19
[203] 웹사이트 KADOKAWA襲った身代金要求ウイルス、日本企業の感染被害率は突出して低く https://www.sankei.c[...] 2024-06-19
[204] 웹사이트 Fake cop Trojan 'detects offensive materials' on PCs, demands money http://www.theregist[...] The Register 2012-08-15
[205] 웹사이트 Police alert after ransom Trojan locks up 1,100 PCs http://news.techworl[...] TechWorld 2012-08-16
[206] 웹사이트 Ransom Trojans spreading beyond Russian heartland http://news.techworl[...] TechWorld 2012-03-10
[207] 웹사이트 Police-themed Ransomware Starts Targeting US and Canadian Users http://www.pcworld.c[...] PC World 2012-05-11
[208] 웹사이트 Reveton Malware Freezes PCs, Demands Payment http://www.informati[...] InformationWeek 2012-08-16
[209] 웹사이트 Disk encrypting Cryptolocker malware demands $300 to decrypt your files http://www.geek.com/[...] 2013-09-12
[210] 웹사이트 CryptoLocker attacks that hold your computer to ransom http://www.theguardi[...] 2013-10-23
[211] 웹사이트 You’re infected?if you want to see your data again, pay us $300 in Bitcoins http://arstechnica.c[...] 2013-10-23
[212] 웹사이트 Destructive malware "CryptoLocker" on the loose - here's what to do http://nakedsecurity[...] Sophos 2013-10-23
[213] 뉴스 Australia specifically targeted by Cryptolocker: Symantec http://www.arnnet.co[...] 2014-10-03
[214] 웹사이트 Encryption goof fixed in TorrentLocker file-locking malware http://www.pcworld.c[...] 2016-01-04
[215] 웹사이트 Malvertising campaign delivers digitally signed CryptoWall ransomware http://www.pcworld.c[...] 2016-01-03
[216] 웹사이트 Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect https://heimdalsecur[...] 2016-01-05
[217] 웹사이트 ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散 https://www.itmedia.[...] 2016-01-05
[218] 웹사이트 日本を狙ったランサムウェアを確認 TorLockerをカスタマイズ:シマンテック http://japan.zdnet.c[...] ZDNet Japan 2014-12-17
[219] 웹사이트 日本語ランサムウェア「犯人」インタビュー https://web.archive.[...] 読売ONLINE IT&MEDIA 2014-12-19
[220] 웹사이트 新しいmacOSランサムウェア「KERANGER」が BITTORRENTクライアントTRANSMISSIONインストーラーを侵害 https://www.paloalto[...] paloalto 2016-03-14
[221] 뉴스 ランサムウエア「WannaCry」関連記事 https://xtech.nikkei[...] 日経BP 2017-05-17
[222] 웹사이트 新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染 - Impress https://internet.wat[...]
[223] 웹사이트 Major US pipeline halts operations after ransomware attack https://apnews.com/a[...] 2021-05-08
[224] 웹사이트 Top US pipeline operator shuts major fuel line after cyber attack https://www.jpost.co[...] 2021-05-08
[225] 뉴스 Yuma Sun weathers malware attack http://www.yumasun.c[...] 2013-11-16
[226] 웹사이트 「身代金」「初動対応」、"KADOKAWA事件"の教訓 https://toyokeizai.n[...] 2024-07-31
[227] 웹인용 New Internet scam: Ransomware... http://www.fbi.gov/n[...] 연방수사국 2012-08-09
[228] 웹인용 Citadel malware continues to deliver Reveton ransomware... http://www.ic3.gov/m[...] 인터넷범죄신고센터 (IC3) 2012-11-30
[229] 웹인용 Update: McAfee: Cyber criminals using Android malware and ransomware the most http://www.infoworld[...] 2013-09-16
[230] 뉴스인용 Cryptolocker victims to get files back for free http://www.bbc.co.uk[...] 2014-08-18
[231] 웹인용 FBI says crypto ransomware has raked in >$18 million for cybercriminals http://arstechnica.c[...] 2015-06-25
[232] 웹인용 Ransomware: Extortion via the Internet http://www.techrepub[...] 테크리퍼블릭 2017-03-08


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com