랜섬웨어

1. 개요

랜섬웨어는 컴퓨터 시스템에 대한 접근을 제한하고 금전을 요구하는 악성 소프트웨어의 일종이다. 1989년 최초의 랜섬웨어가 등장한 이후, 암호화 기술을 활용하여 파일 접근을 막고 금전을 요구하는 형태로 발전했다. 2010년대 초반 비트코인의 등장과 함께 랜섬웨어 피해가 급증했으며, 최근에는 이중 갈취 및 서비스형 랜섬웨어(RaaS) 형태로 진화하여 기업과 기관을 대상으로 한 공격이 증가하고 있다. 랜섬웨어는 트로이 목마, 피싱 이메일, 웹사이트 취약점 등을 통해 시스템에 침투하며, 파일 암호화, 시스템 잠금, 데이터 유출 등의 방식으로 피해를 발생시킨다. 감염 시 파일 확장자 변경, CPU 및 램 사용량 증가, 백신 프로그램 종료 등의 증상이 나타나며, 예방을 위해서는 백업, 보안 패치, 사이버 위생 준수 등이 중요하다.

2. 역사

컴퓨터 바이러스의 역사와 멀웨어의 역사도 참고하십시오.

최초로 알려진 랜섬웨어는 1989년 조셉 팝이 만든 "AIDS Trojan"(PC Cyborg라는 이름으로도 알려짐)이다. 이 랜섬웨어는 소프트웨어 사용 라이선스가 만료되었다고 주장하며 하드 디스크 드라이브의 파일 이름을 암호화하고, 제한 해제를 위해 "PC Cyborg Corporation"에 189USD를 지불해야 한다고 사용자에게 주장했다. 팝은 재판에서 정신 이상으로 선고받았지만, 멀웨어로 얻은 이익을 에이즈 연구 자금으로 사용하겠다고 약속했다. 1996년 아담 L. 영과 Moti Yung^영어은 공개 키 암호 방식을 사용하는 랜섬웨어 개념을 소개했다.

AIDS Trojan은 공통 키 암호만 사용하여 프로그램에서 키를 꺼낼 수 있었기 때문에 효과적이지 않았다. 이후 RSA 암호와 Tiny_Encryption_Algorithm^영어를 사용한 Macintosh SE/30용 개념 증명형 바이러스가 제작되었다. 영과 융은 이 공격을 "암호화 바이러스 갈취(cryptoviral extortion)"라고 불렀으며, "cryptovirology^영어" 분야에서 주목할 만한 공격 중 하나로 언급했다.

2005년 5월부터 랜섬웨어가 맹위를 떨치기 시작했다. 2006년 중반에는 Gpcode^영어, TROJ.RANSOM.A, Archiveus^영어, Krotten, Cryzip, MayArchive 등의 프로그램이 정교한 RSA 암호를 활용하여 키 길이를 늘렸다. 2006년 6월에 탐지된 Gpcode.AG는 660비트 RSA 공개 키로 암호화를 수행했다. 2008년 6월에는 1024비트 RSA 키를 사용하는 Gpcode.AK 변종이 탐지되었는데, 이는 분산 컴퓨팅 없이는 깰 수 없을 정도로 긴 키로 여겨진다.

2014년에는 NAS를 표적으로 한 랜섬웨어 "SynoLocker"가 확인되었으며, 구 버전 Synology NAS의 OS "Synology DSM"에 공격이 확산되고 있다고 에프시큐어사가 주의를 환기했다. 일본에서는 0Chiaki라는 인물이 개발한 TorLocker의 아종 KRSWLocker(일명 칼 랜섬웨어)가 발견되어 "신 경제 서미트 2015"에서 소개되었다.

2010년 8월, 러시아 당국은 WinLock이라는 랜섬웨어 웜과 관련된 10명을 체포했다. WinLock은 암호화를 사용하지 않고 포르노 이미지를 표시하여 시스템 접근을 제한한 후, 제한 해제 코드를 받기 위해 사용자에게 유료 SMS(약 10USD)를 보내도록 요구했다. 이 사기로 범죄 그룹은 16를 벌어들였다.

2011년에는 마이크로소프트 라이선스 인증을 모방한 랜섬웨어 웜이 발생했다. "사기의 피해자"가 되었으므로 Windows를 재활성화해야 한다고 알리며, 온라인 활성화가 불가능하므로 국제 전화를 걸어 6자리 코드를 받도록 요구했다. 이 멀웨어는 통화가 무료라고 주장했지만, 실제로는 국제 전화 요금이 높은 국가로 연결되어 막대한 장거리 전화 요금이 발생했다.

2013년 2월에는 Stamp.EK 익스플로잇 킷 기반 랜섬웨어 웜이 SourceForge와 GitHub를 통해 배포되었으며, 유명인의 "가짜 누드 사진"을 제공한다고 주장했다. 같은 해 7월에는 OS X에 특화된 랜섬웨어 웜이 발생했는데, 사용자가 포르노를 다운로드했다고 비난하는 웹 페이지를 표시하고 웹 브라우저 동작을 이용해 페이지를 닫기 어렵게 만들었다.

2013년 7월, 버지니아 출신 21세 남성이 랜섬웨어를 받은 후 경찰에 출두했다. 그는 아동 포르노 소지 혐의를 받는 가짜 FBI 경고를 받았는데, 실제 그의 컴퓨터에서 미성년 여성 사진과 부적절한 대화가 발견되어 아동 포르노 소지 및 아동 성적 학대 혐의로 기소되었다.

2.1. 암호화 랜섬웨어의 등장

최초의 랜섬웨어는 1989년 조셉 팝이 작성한 에이즈다. 이 랜섬웨어는 하드 드라이브의 파일을 숨기고 파일 이름만 암호화했으며, 특정 소프트웨어 사용 라이선스가 만료되었다는 메시지를 표시했다. 사용자는 "PC Cyborg Corporation"에 189USD를 지불하라는 요청을 받았다. 하지만, 해독 키가 트로이 목마의 코드에서 추출될 수 있었기 때문에 돈을 지불할 필요가 없었다. 팝은 그의 행위에 대해 재판을 받기에 정신적으로 부적합하다고 선고받았지만, 악성 코드에서 얻은 수익을 AIDS 연구에 기부하겠다고 약속했다.

1996년 아담 영과 모티 융은 공개키 암호화 방식을 사용하는 랜섬웨어를 고안했다. 이들은 RSA와 TEA를 사용하여 피해자의 데이터를 하이브리드 암호화하는 Macintosh SE/30에서 실험적인 랜섬웨어를 구현했다. 공개 키 암호화가 사용되므로 바이러스에는 "암호화" 키만 포함되어 있었고, 공격자는 해당 "개인" 해독 키를 비공개로 유지했다. 초기에는 복호화가 가능한 RSA 알고리즘으로 암호화했지만, 많은 복구 및 복원 업체들이 솔루션을 만들어 대항하자 단방향 암호화 방식으로 랜섬웨어를 제작하기 시작하였다.

2005년 5월, 갈취성 랜섬웨어의 예가 두각을 나타내기 시작했다. 2006년 중반까지 Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive와 같은 트로이 목마는 점점 더 큰 키 크기를 가진 더 정교한 RSA 암호화 방식을 사용하기 시작했다. 2006년 6월에 감지된 Gpcode.AG는 660비트 RSA 공개 키로 암호화되었고, 2008년 6월에는 Gpcode.AK로 알려진 변종이 1024비트 RSA 키를 사용했는데, 이는 분산 노력을 기울이지 않으면 계산상 해독이 불가능할 정도로 충분히 크다고 여겨졌다.

2013년 금품 지불을 위해 비트코인을 사용하는 CryptoLocker가 출현하고, 2014년 Synology의 NAS를 대상으로 하는 SynoLocker 등의 전파로 또다시 랜섬웨어에 의한 피해가 급증하였다. 2012년 이후 출현한 주요 랜섬웨어로는 Reveton, CryptoLocker, TorrentLocker, Cryptowall 등이 있으며, 보안 소프트웨어 기업 맥아피의 보고에 따르면 2013년 1분기에 발견된 랜섬웨어의 수는 25만 개 이상으로, 2012년 1분기에 비해 2배 이상 증가하였다.

2.2. 암호화를 사용하지 않는 랜섬웨어

2010년 8월, 러시아 당국은 WinLock이라는 랜섬웨어와 관련된 9명을 체포했다. 이전의 Gpcode 트로이 목마와 달리 WinLock은 암호화를 사용하지 않았다. 대신 WinLock은 음란물을 표시하여 시스템 접근을 제한하고, 사용자가 잠금 해제 코드를 받기 위해 프리미엄 SMS (약 10USD)를 보내도록 요청했다. 이 사기는 러시아와 인근 국가의 수많은 사용자들에게 피해를 입혔으며, 이 그룹은 16 이상을 벌어들인 것으로 알려졌다.

2011년에는 윈도우 정품 인증 알림을 모방한 랜섬웨어 트로이 목마가 나타났다. 사용자에게 시스템의 Windows 설치가 "사기의 희생자"가 되어 다시 활성화해야 한다고 알렸다. 온라인 활성화 옵션(실제 Windows 활성화 프로세스와 유사)이 제공되었지만 사용할 수 없었으며, 사용자는 6자리 코드를 입력하기 위해 6개의 국제 번호 중 하나로 전화해야 했다. 이 멀웨어는 통화가 무료라고 주장했지만, 높은 국제 전화 요금이 부과되는 국가의 불량 사업자를 통해 라우팅되어 통화를 대기 상태로 유지하여 사용자가 대규모 국제 장거리 통화 요금을 발생시켰다.

2013년 2월, Stamp.EK 익스플로잇 키트를 기반으로 한 랜섬웨어 트로이 목마가 나타났다. 이 멀웨어는 유명인의 "가짜 누드 사진"을 제공한다고 주장하는 SourceForge 및 GitHub의 프로젝트 호스팅 서비스에서 호스팅되는 사이트를 통해 배포되었다. 2013년 7월에는 사용자가 포르노를 다운로드했다고 비난하는 웹 페이지를 표시하는 OS X 관련 랜섬웨어 트로이 목마가 나타났다. Windows 기반의 다른 랜섬웨어와 달리 컴퓨터 전체를 차단하지 않고, 단순히 웹 브라우저 자체의 동작을 악용하여 일반적인 방법으로 페이지를 닫으려는 시도를 좌절시켰다.

2013년 7월, 우연히 성적 의사소통을 한 미성년 소녀의 음란 사진을 컴퓨터에 가지고 있던 버지니아 출신의 21세 남성은 FBI MoneyPak 랜섬웨어에 속아 아동 포르노 소지 혐의를 받자 경찰에 자수했다. 수사 결과 유죄 증거가 발견되었고, 이 남성은 아동 성적 학대 및 아동 포르노 소지 혐의로 기소되었다.

2.3. 이중 갈취 및 서비스형 랜섬웨어 (RaaS)

암호 바이러스학 공격은 피해자가 컴퓨터 시스템에 대한 접근을 거부하는 대신 훔친 정보를 공개하겠다고 위협하는 공격으로, 아담 L. 영(Adam L. Young)이 발명했다. 릭웨어(Leakware) 공격에서 악성코드는 민감한 호스트 데이터를 공격자에게 유출시키고, 공격자는 피해자가 몸값을 지불하지 않으면 피해자의 데이터를 공개하겠다고 위협한다.

데이터 유출의 일반적인 대상은 다음과 같다.

* 주요 피해자가 저장한 제3자 정보 (예: 고객 계정 정보 또는 건강 기록)
* 피해자에게 독점적인 정보 (예: 영업 비밀 및 제품 정보)
* 당혹스러운 정보 (예: 피해자의 건강 정보 또는 피해자의 개인적인 과거에 대한 정보)

데이터 유출 공격은 일반적으로 선별된 피해자 목록을 대상으로 하며, 잠재적인 데이터 대상과 취약점을 찾기 위해 피해자의 시스템을 예비적으로 감시하는 경우가 많다.

2019년 후반부터는 암호화와 함께 정보 공개를 협박하는 이중 갈취(영어: Double-Extortion Ransomware Attack) 방식이 나타났다. 유럽 연합 일반 데이터 보호 규정(GDPR)의 제재금보다 저렴하다는 점을 들어 개인 정보 유출에 대한 기업의 벌칙을 이용하는 모습도 보인다.

서비스형 랜섬웨어(RaaS)는 랜섬웨어 개발만을 담당하고, 공격은 기술력이 없는 의뢰인이나 공격을 원하는 사람에게 랜섬웨어를 판매하여 이익(얻은 몸값에서 분배를 포함)을 얻는 수법이다. 러시아 기반 또는 러시아어를 사용하는 REvil 그룹이 2021년 5월 브라질 기반 JBS S.A.와 2021년 7월 미국 기반 Kaseya Limited를 포함한 여러 대상을 상대로 작전을 펼친 이후 주목할 만한 방법이 되었다.

2.4. 한국에서의 랜섬웨어 피해 증가

랜섬웨어는 처음 등장했을 때 일반 사용자를 공격 대상으로 삼았다. 그러나 2015년경부터는 더 많은 몸값을 받을 수 있는 대기업을 대상으로 공격하기 시작했다. 2017년에 널리 퍼진 워너크라이는 많은 민간 기업과 공공 기관을 공격하여 국가적 위협으로까지 불리게 되었다.

3. 작동 원리

파일 암호화 랜섬웨어의 개념은 1996년 IEEE 보안 및 개인 정보 보호 컨퍼런스에서 컬럼비아 대학교의 Young과 융에 의해 처음 소개되었다. 이들은 크립토바이럴 갈취라는 개념을 제시했는데, 이는 영화 에이리언의 페이스허거에서 영감을 받은 것이다.

크립토바이럴 갈취는 공격자와 피해자 간의 3단계 프로토콜로 이루어진다.

1. 공격자는 키 쌍을 생성하고 공개 키를 멀웨어에 넣어 배포한다.
2. 피해자는 멀웨어가 생성한 무작위 대칭 키로 데이터를 암호화당한다. 멀웨어는 공개 키를 사용하여 대칭 키를 암호화하고, 하이브리드 암호화 방식으로 암호문을 생성한다. 이후 대칭 키와 원본 데이터는 제로화되어 복구가 불가능하게 된다. 피해자는 암호문과 몸값 지불 방법을 안내받고, 공격자에게 암호문과 전자 화폐를 보낸다.
3. 공격자는 지불을 확인하고 개인 키로 암호문을 해독하여 대칭 키를 피해자에게 전송한다. 피해자는 대칭 키를 이용해 데이터를 복호화한다.

이 방식에서 대칭 키는 무작위로 생성되므로 다른 피해자에게는 소용이 없으며, 공격자의 개인 키는 노출되지 않는다. 피해자는 암호화된 대칭 키만 공격자에게 보내면 된다.

랜섬웨어는 트로이 목마를 통해 시스템에 침투하며, 악성 첨부 파일, 피싱 이메일 링크, 네트워크 서비스 취약점 등이 이용된다. 시스템에 침투한 프로그램은 시스템을 잠그거나 파일을 암호화하는 페이로드를 실행한다. 스케어웨어 프로그램처럼 법 집행 기관을 사칭하여 시스템이 불법 활동에 사용되었다거나 음란물 및 "불법 복제된" 미디어가 있다는 가짜 경고를 표시하기도 한다.

일부 랜섬웨어는 시스템을 잠그거나 제한하며, Windows 셸을 변경하거나, 마스터 부트 레코드 및 파티션 테이블을 수정하여 부팅을 방해하기도 한다.

지불은 주로 계좌 이체, 프리미엄 요금 텍스트 메시지, 선불 바우처 서비스(예: paysafecard), 비트코인 암호화폐 등 추적하기 어려운 방법을 통해 이루어진다. 공격자는 피해자가 돈을 지불해도 소용없다는 인식이 퍼지면 지불을 중단할 것이므로, 합의된 대로 해독을 수행하는 것이 일반적이다.

3.1. 일반적인 작동 흐름

랜섬웨어는 일반적으로 트로이 목마 형태로 시스템에 침투한다. 예를 들어, 다운로드된 파일이나 네트워크 서비스의 취약점을 이용한다.

이후, 프로그램은 페이로드 (본체 프로그램)를 실행한다. 페이로드는 하드 디스크 드라이브의 개인 파일을 암호화하거나, 시스템 상호 작용을 제한하는 방식으로 작동한다.

파일 암호화 방식

* 하이브리드 암호화: 정교한 랜섬웨어는 임의의 대칭키와 고정된 공개 키를 이용한 하이브리드 암호 방식으로 피해자의 파일을 암호화한다. 이 경우 멀웨어 작성자만이 비밀 복호화 키를 알고 있다.
* 단순 시스템 제한: 일부 랜섬웨어는 암호화를 수행하지 않고, 윈도우 셸 설정을 변경하거나, 마스터 부트 레코드 또는 파티션 테이블을 변경하여 OS 부팅을 방해하는 방식으로 시스템 접근을 제한한다.

사용자 협박

랜섬웨어는 스케어웨어 요소를 이용하여 사용자로부터 금전을 갈취한다. 페이로드는 기업이나 경찰을 사칭하여 시스템이 불법 활동에 사용되었거나, 포르노 또는 해적판 소프트웨어 및 미디어와 같은 불법 콘텐츠가 발견되었다는 허위 주장을 표시한다.

일부 랜섬웨어는 Windows XP의 마이크로소프트 라이선스 인증 통지를 모방하여 Windows가 위조되었거나 재활성화가 필요하다는 허위 주장을 하기도 한다.

금전 요구

랜섬웨어는 파일을 복호화하는 프로그램을 제공하거나, 페이로드의 변경을 되돌리는 해제 코드를 보내는 대가로 금전을 요구한다.

지불 방법으로는 은행 송금, 비트코인, 유료 문자 메시지, 또는 온라인 결제 상품권 서비스가 사용된다.

3.2. 암호화 방식

암호화 방식에는 크게 단방향 암호화와 양방향 암호화가 있다. 단방향 암호화는 한 번 암호화하면 복호화가 불가능하며, 양방향 암호화는 암호화 후 복호화가 가능하다. 초기 랜섬웨어 제작자들은 복호화가 가능한 RSA 알고리즘을 사용했지만, 복구 업체들이 솔루션을 개발하자 단방향 암호화 방식으로 전환했다.

1996년 아담 영과 모티 융은 공개 키 암호화 방식을 사용하는 랜섬웨어를 고안했다. 이들은 RSA와 TEA를 사용하여 피해자의 데이터를 하이브리드 암호화하는 실험적인 암호 바이러스를 구현했다. 공개 키 암호화를 사용하므로 바이러스에는 "암호화" 키만 포함되며, 공격자는 해당 "개인" 해독 키를 비공개로 유지한다.

대칭 키는 무작위로 생성되어 다른 피해자에게는 도움이 되지 않는다. 공격자의 개인 키는 피해자에게 노출되지 않으며, 피해자는 매우 작은 암호문(암호화된 대칭 암호 키)만 공격자에게 보내면 된다.

정교한 랜섬웨어는 임의의 대칭키와 고정된 공개 키에 의한 하이브리드 암호로 피해자의 파일을 암호화한다. 해당 멀웨어 작성자는 비밀 복호화 키를 아는 유일한 인물이다.

3.3. 감염 경로

랜섬웨어는 다양한 경로를 통해 시스템에 침투하여 감염을 일으킨다.

* 드라이브 바이 다운로드 (Drive by Download): 사용자가 웹사이트를 방문하는 것만으로도 랜섬웨어에 감염될 수 있다. 공격자는 웹사이트의 보안 취약점을 이용해 악성코드를 숨겨놓고, 사용자가 자신도 모르게 악성코드를 다운로드하고 실행하도록 유도한다.
* 트로이 목마 (Trojan Horse): 랜섬웨어는 일반적으로 트로이 목마를 통해 전파된다. 악성 첨부 파일, 피싱 이메일에 포함된 링크, 또는 네트워크 서비스의 취약점을 통해 시스템에 침투한다.
* 이메일 첨부 파일: 초기에는 이메일 첨부 파일을 통해 감염되는 경우가 많았으며, 주로 소규모 범죄 집단이 무작위 사용자에게 이메일을 보내는 방식을 사용했다.
* 취약점 공격: 최근에는 기업의 자격 증명을 훔치거나 네트워크 취약점을 발견하여 공격하는 방식으로 발전했다.
* 기타 감염 경로:
* SourceForge 및 GitHub와 같은 프로젝트 호스팅 서비스를 통해 배포되기도 한다.
* OS X 관련 랜섬웨어는 웹 브라우저 자체의 동작을 악용하여 컴퓨터 전체를 차단하지 않고 페이지를 닫을 수 없도록 한다.
* 안드로이드 플랫폼에서는 타사 애플리케이션 설치가 가능하여 APK 파일 형태로 배포되는 경우가 많다.
* iOS 기기에서는 iCloud 계정을 악용하거나 나의 iPhone 찾기 시스템을 사용하여 기기 접근을 잠그는 방식이 사용된다.
* DSLR 카메라의 PTP 취약점을 악용하여 랜섬웨어에 감염시키는 경우도 있다.

랜섬웨어는 시스템에 침투한 후, 시스템을 잠그거나 파일을 암호화하는 등의 방식으로 사용자에게 금전을 요구한다.

4. 감염 시 증상

* 주요 시스템 파일이 열리지 않고, 파일들의 확장명이 변경된다. (예 : 한글파일의 확장자인 @@@.hwp 가 @@@.hwp.abc나, adfdw 등과 같은 확장자로 변경된다. 확장자가 변경된 경우 파일은 열리지 않는다. 예를 들어 사용자가 123.hwp.abc라는 파일에서 .abc를 지운다 하더라도 그 파일은 이미 손상되었기 때문에 사용자가 원상태로 돌릴 수 없다.)
* CPU와 램 사용량이 급격히 증가한다.
* 백신프로그램이 강제로 종료되거나, 중지 또는 오류가 지속적으로 발생한다.
* 윈도우 복원 시점을 제거한다.

5. 주요 사례

다음은 랜섬웨어의 주요 사례들이다.

* 리베톤
* 크립토락커
* 크립토락커F, 토렌토락커
* 크립토 월
* 퓨섭(퓨섭락커)
* 워너크라이
* 겐드 크랩
* 련선웨어

파일 암호화 랜섬웨어의 개념은 영(Young)과 융이 컬럼비아 대학교에서 발명하고 구현했으며, 1996년 IEEE 보안 및 개인 정보 보호 컨퍼런스에서 발표되었다. 이는 크립토바이럴 갈취라고 불리며 영화 에이리언의 허구적인 페이스허거에서 영감을 받았다.

랜섬웨어 공격은 일반적으로 트로이 목마를 사용하여 수행되며, 악성 첨부 파일, 피싱 이메일에 포함된 링크, 또는 네트워크 서비스의 취약점을 통해 시스템에 침투한다.

일부 페이로드는 지불이 이루어질 때까지 시스템을 잠그거나 제한하도록 설계된 응용 프로그램으로 구성되며, Windows 셸을 자체적으로 설정하거나, 운영 체제가 복구될 때까지 부팅을 방지하기 위해 마스터 부트 레코드 및/또는 파티션 테이블을 수정하기도 한다. 가장 정교한 페이로드는 파일을 암호화하며, 강력한 암호화를 사용하여 피해자의 파일을 암호화하여 멀웨어 제작자만이 필요한 해독 키를 갖도록 한다.

계좌 이체, 프리미엄 요금 텍스트 메시지, 선불 바우처 서비스(예: paysafecard), 및 비트코인 암호화폐를 포함한 다양한 지불 방법이 사용되었다.

1989년 조셉 팝이 제작한 최초의 악성코드 갈취 공격인 "AIDS 트로이 목마"는 설계 결함으로 인해 갈취범에게 돈을 지불할 필요가 없었다. 이 페이로드는 하드 드라이브의 파일을 숨기고 파일 이름만 암호화했으며, 특정 소프트웨어 사용 라이선스가 만료되었다는 메시지를 표시했다. 사용자는 해독 키가 트로이 목마의 코드에서 추출될 수 있었음에도 불구하고 수리 도구를 얻기 위해 "PC Cyborg Corporation"에 US$189를 지불하라는 요청을 받았다.

데이터 납치 공격에 공개 키 암호화를 사용하는 개념은 1996년 아담 L. 영과 Moti Yung에 의해 소개되었다. 영과 융은 대칭 암호화에만 의존하는 AIDS 정보 트로이 목마의 실패를 비판했는데, 치명적인 결함은 해독 키를 트로이 목마에서 추출할 수 있다는 것이었다. 그들은 RSA와 Tiny Encryption Algorithm (TEA)를 사용하여 피해자의 데이터를 하이브리드 암호화하는 Macintosh SE/30에서 실험적인 개념 증명 암호 바이러스를 구현했다.

갈취성 랜섬웨어의 예는 2005년 5월에 두각을 나타내기 시작했다. 2006년 중반까지 Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive와 같은 트로이 목마는 점점 더 큰 키 크기를 가진 더 정교한 RSA 암호화 방식을 사용하기 시작했다. 2006년 6월에 감지된 Gpcode.AG는 660비트 RSA 공개 키로 암호화되었다. 2008년 6월에는 Gpcode.AK로 알려진 변종이 감지되었다. 1024비트 RSA 키를 사용했는데, 분산 노력을 기울이지 않으면 계산상 해독이 불가능할 정도로 충분히 크다고 여겨졌다.

암호화 랜섬웨어는 Bitcoin 디지털 화폐 플랫폼을 사용하여 몸값을 징수하는 CryptoLocker의 확산과 함께 2013년 말에 다시 두각을 나타냈으며, 2013년 12월, ZDNet은 비트코인 거래 정보를 바탕으로 CryptoLocker 운영자가 10월 15일부터 12월 18일까지 감염된 사용자로부터 약 27를 조달했다고 추정했다.

2022년 코스타리카는 정부, 의료 및 산업에 영향을 미치는 광범위한 Conti 랜섬웨어 공격을 받았다. 이로 인해 로드리고 차베스 대통령은 비상사태를 선포하고 코스타리카가 랜섬웨어 해커와 "전쟁"을 벌이고 있다고 발표했다.

2016년에는 병원에 대한 랜섬웨어 공격이 크게 증가했다. 시만텍(Symantec Corp)의 2017년 인터넷 보안 위협 보고서에 따르면, 랜섬웨어는 IT 시스템뿐만 아니라 환자 관리, 임상 운영 및 청구에도 영향을 미쳤다.

2019년 말, 랜섬웨어 그룹 Maze는 회사의 민감한 파일을 잠그기 전에 다운로드하고, 몸값을 지불하지 않으면 데이터를 공개하겠다고 위협했다. 적어도 한 건의 경우 실제로 그렇게 했다. 많은 다른 조직이 이를 따랐으며, 훔친 데이터에 접근할 수 있는 "유출 사이트"가 다크 웹에 생성되었다.

랜섬웨어 공격 이후 첫 사망 사건은 2020년 10월 독일 병원에서 발생했다.

2020년 코로나19 범유행 동안 랜섬웨어 공격이 현저하게 증가했다. 이러한 공격의 대상 기관에는 정부, 금융 및 의료가 포함되었다. 연구자들은 이 기간 동안 공격이 증가한 이유를 설명할 수 있는 여러 가지 요인이 있다고 주장했다. 그러나 주요 요인은 2020년 많은 산업에서 표준이 된 원격 근무가 전통적인 작업 환경에 비해 보안이 부족하여 공격이 급증했다는 것이다.

2012년, Reveton으로 알려진 주요 랜섬웨어 트로이 목마가 확산되기 시작했다. Citadel 트로이 목마를 기반으로 하며, 페이로드는 사용자가 불법 소프트웨어 또는 불법 복제 소프트웨어를 다운로드하는 등 불법 행위에 컴퓨터를 사용했다는 법 집행 기관의 경고를 표시한다. 이러한 행동으로 인해 일반적으로 "경찰 트로이 목마"라고 불린다. 경고는 시스템 잠금을 해제하려면 Ukash 또는 paysafecard와 같은 익명의 선불 현금 서비스의 바우처를 사용하여 벌금을 지불해야 한다고 사용자에게 알린다.

Reveton은 2012년 초에 여러 유럽 국가에서 처음 확산되기 시작했다. 변종은 사용자의 국가에 따라 다른 법 집행 기관의 로고가 있는 템플릿으로 현지화되었다. 예를 들어, 영국에서 사용된 변종에는 런던 경시청 및 경찰 국가 전자 범죄 부서와 같은 기관의 브랜드가 포함되었다. 2012년 8월까지 Reveton의 새로운 변종이 미국에서 확산되기 시작하여 MoneyPak 카드를 사용하여 FBI에 $200의 벌금을 지불해야 한다고 주장했다.

2013년 9월, 트로이 목마인 크립토락커를 통해 암호화 랜섬웨어가 다시 나타났는데, 이 트로이 목마는 2048비트 RSA 키 쌍을 생성하여 이를 명령 및 제어 서버에 업로드한 다음, 특정 파일 확장자의 화이트리스트를 사용하여 파일을 암호화했다. 이 멀웨어는 비트코인이나 선불 현금 바우처를 감염 후 3일 이내에 지불하지 않으면 개인 키를 삭제하겠다고 협박했다. 매우 큰 키 크기를 사용했기 때문에, 분석가들과 이 트로이 목마의 피해자들은 크립토락커를 복구하기가 극도로 어렵다고 생각했다.

크립토락커는 미국 법무부가 2014년 6월 2일에 공식 발표한 Operation Tovar의 일환으로 Gameover ZeuS 봇넷을 압수하면서 격리되었다.

2014년 9월, 호주 사용자들을 처음으로 표적으로 삼은 일련의 랜섬웨어 트로이 목마가 나타났는데, 그 이름은 CryptoWall과 CryptoLocker였다(CryptoLocker 2.0과 마찬가지로, 기존의 CryptoLocker와는 관련이 없다). 이 트로이 목마는 호주 우체국(Australia Post)에서 발송한 실패한 소포 배송 알림을 사칭한 사기 이메일을 통해 확산되었다.

이 파동의 또 다른 트로이 목마인 TorrentLocker는 처음에는 CryptoDefense와 유사한 설계 결함을 가지고 있었다. 즉, 모든 감염된 컴퓨터에 대해 동일한 키스트림을 사용하여 암호 해독이 매우 쉬웠다. 그러나 이 결함은 나중에 수정되었다.

2016년 3월에 처음 확인된 랜섬웨어. 2016년 3월에 출현한 KeRanger는 macOS 운영 체제 상의 최초의 멀웨어이자 랜섬웨어이다.

2017년 5월 13일에 출현한 워너크라이(Wcry, 울고 싶어지는)는 세계적으로 맹위를 떨친 신종 랜섬웨어 아종이다. 이 컴퓨터 바이러스에 감염되면 자신의 개인용 컴퓨터(마이크로소프트 윈도우)나 서버에 저장된 중요한 파일이 임의로 암호화되어 사용자가 파일을 열 수 없게 된다.

2017년 6월, 우크라이나를 중심으로 세계 각지로 확산되었다. 우크라이나의 국영 전력 회사와 우크라이나 수도 키이우의 국제공항에 감염되었다.

2019년 4월에 처음 확인된 랜섬웨어를 배포하는 서비스형 RaaS(서비스형 랜섬웨어) 그룹이다.

2020년 5월에 처음 확인된 의료 기관 등을 표적으로 하는 랜섬웨어.

2020년 8월에 처음 확인된 동유럽을 거점으로 활동하는 사이버 범죄 개인 또는 그룹이다. 피해자가 사용하는 프로그램을 랜섬웨어를 사용하여 암호화하고, 금전을 요구하는 갈취 행위를 한다. 미국 남동부에 가솔린과 제트 연료를 수송하며, 동해안이 사용하는 연료의 45%를 공급하는 파이프라인 수송을 관리하는 콜로니얼 파이프라인의 시스템이 해킹된 사건(콜로니얼 파이프라인 사이버 공격)에 연루되었다.

6. 대응 및 예방

공격이 의심되거나 초기 단계에서 탐지된 경우, 암호화가 진행되는 데 시간이 걸리므로 암호화가 완료되기 전에 멀웨어를 즉시 제거하면 추가적인 데이터 피해를 막을 수 있다.

랜섬웨어로 잠긴 파일을 해독하기 위한 여러 도구가 있지만, 항상 복구가 가능한 것은 아니다. 암호화 키가 모든 파일에 동일하게 사용된 경우, 해독 도구는 손상되지 않은 백업과 암호화된 복사본이 모두 있는 파일을 사용(암호 분석 용어에서 알려진 평문 공격)하여 복구할 수 있다. 단, 공격자가 사용한 암호가 약해야 가능하다. 키를 복구하는 데 며칠이 걸릴 수도 있다. 무료 랜섬웨어 해독 도구는 AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear, Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt, XData와 같은 랜섬웨어로 암호화된 파일 해독을 도울 수 있다. 보안 연구원에 의해 해독된 랜섬웨어 암호화는 일반적으로 범죄 목적으로는 사용되지 않으므로, 대부분의 공격은 암호화를 해독하여 되돌릴 수 없다.

No More Ransom Project는 네덜란드 경찰의 국가 첨단 기술 범죄 부서, 유럽 연합의 유럽 사이버 범죄 센터, 카스퍼스키 랩, 맥아피가 랜섬웨어 피해자가 몸값을 지불하지 않고 데이터를 복구하도록 돕기 위한 이니셔티브이다. 이들은 암호화된 파일을 분석하고 해독 도구를 검색하기 위해 무료 CryptoSheriff 도구를 제공한다.

삭제된 파일의 이전 사본이 디스크에 존재할 수 있으며, 경우에 따라 해당 목적으로 설계된 소프트웨어를 사용하여 복구할 수도 있다.

2019년 ProPublica의 조사에 따르면 몸값 없는 해독 서비스를 광고한 사이버 보안 회사인 Proven Data Recovery와 Monstercloud는 일반적으로 몸값을 지불하고 피해자에게 더 높은 가격을 청구한다. SamSam 해커는 Proven Data를 너무 자주 이용하여 지불에 기술적인 어려움을 겪는 피해자에게 회사를 추천하기도 했다. Coveware와 같은 다른 회사는 해커에게 지불하고 보안이 취약한 시스템을 패치하는 서비스를 더욱 투명하게 제공했다. 많은 미국 피해자는 몸값 금액이 연방 정부의 개입 기준을 충족하기에는 너무 낮다고 판단했지만, 지역 경찰은 기술적 능력이 부족했고, 종종 그들 자신도 피해자였다.

6.1. 예방

보안 전문가들은 랜섬웨어에 대한 예방 조치를 제안했다. 알려진 페이로드가 실행되는 것을 차단하는 소프트웨어나 기타 보안 정책을 사용하면 감염을 예방하는 데 도움이 될 수 있지만, 모든 공격으로부터 보호하지는 못한다. 따라서 적절한 백업 솔루션을 갖는 것은 랜섬웨어 방어에 매우 중요한 요소이다. 많은 랜섬웨어 공격자가 피해자의 라이브 시스템을 암호화할 뿐만 아니라 로컬 또는 NAS(Network-attached storage, 네트워크 연결 스토리지)을 통해 네트워크에서 접근 가능한 핫 백업을 삭제하려고 시도하므로, "오프라인" 백업을 유지하는 것도 중요하다. 즉, 잠재적으로 감염된 컴퓨터에서 접근할 수 없는 위치에 저장된 데이터(예: 외부 저장 드라이브 또는 어떤 네트워크(인터넷 포함)에도 접근할 수 없는 장치)에 저장하면 랜섬웨어가 접근하는 것을 방지할 수 있다. 또한, NAS 또는 클라우드 스토리지를 사용하는 경우 컴퓨터는 대상 저장소에 추가 전용 권한을 가져야 하며, 이전 백업을 삭제하거나 덮어쓸 수 없어야 한다. 코모도 그룹(comodo)에 따르면, 공격 표면 감소를 운영 체제/커널 (운영 체제)에 적용하면 공격 표면이 실질적으로 감소하여 보안 상태가 향상된다.

소프트웨어 공급업체가 발행한 보안 패치 (컴퓨팅) 업데이트를 설치하면 특정 종류의 랜섬웨어가 전파하기 위해 악용하는 취약점 (컴퓨팅)을 완화할 수 있다. 다른 조치로는 사이버 위생(이메일 첨부 파일 및 링크를 열 때 주의), 네트워크 세분화(중요한 컴퓨터를 네트워크로부터 격리)가 있다. 또한 랜섬웨어 확산을 완화하기 위해 감염 관리 조치를 적용할 수 있다. 여기에는 감염된 컴퓨터를 모든 네트워크에서 분리, 교육 프로그램 제공, 효과적인 커뮤니케이션 채널 구축, 멀웨어 감시 및 집단 참여 방안 마련이 포함될 수 있다.

2021년 8월, 사이버 보안 및 인프라 보안국 법안(Cybersecurity and Infrastructure Security Agency Act)에 따라 사이버 보안 및 인프라 보안국(CISA)은 랜섬웨어 공격을 완화하는 방법에 대한 지침을 제공하는 보고서를 발표했다. 이는 최근 랜섬웨어 관련 공격이 크게 증가했기 때문이다. 이러한 공격에는 미국 파이프라인 회사와 소프트웨어 회사에 대한 공격이 포함되었으며, 이로 인해 관리형 서비스 제공업체(MSPs)의 다운스트림 고객에게 영향이 미쳤다.

추가 기록 불가 읽기 전용 (WORM) 저장소는 많은 광 디스크 형식과 같이 내용을 변경하거나 삭제할 수 없으므로 랜섬웨어에 거의 면역이다. 그러나 데이터를 어떤 식으로든 삭제할 수 없어 개인 정보 보호법 및 기타 콘텐츠 관련 법률로 인해 많은 저장 공간에 실용적이지 않다. 유일한 방법은 불필요한 파일을 제외하고 새 WORM 디스크에 복사한 다음 원본 복사본을 파기하는 것이다.
다수의 파일 시스템은 자신이 보관하는 데이터의 스냅샷을 유지하며, 랜섬웨어가 이를 비활성화하지 못할 경우, 랜섬웨어 공격 이전 시점의 파일 내용을 복구하는 데 사용할 수 있다.

* 윈도우에서는 볼륨 섀도 복사본(VSS)이 데이터 백업을 저장하는 데 자주 사용된다. 랜섬웨어는 종종 이러한 스냅샷을 공격하여 복구를 막으므로, 랜섬웨어가 과거 사본을 비활성화하거나 삭제할 위험을 줄이기 위해 사용자 도구인 VSSadmin.exe에 대한 사용자 접근을 비활성화하는 것이 좋다.
* 윈도우 10에서는, 사용자는 랜섬웨어로부터 보호하기 위해 윈도우 디펜더의 제어된 폴더 액세스에 특정 디렉토리 또는 파일을 추가할 수 있다. 백업 및 기타 중요한 디렉토리를 제어된 폴더 액세스에 추가하는 것이 권장된다.
* 악성코드가 ZFS 관리 명령을 실행하도록 코딩된 공격을 배포하여 ZFS 호스트 시스템에서 루트 권한을 얻지 않는 한, ZFS를 실행하는 파일 서버는 광범위하게 랜섬웨어에 면역된다. ZFS는 시간당 여러 번 대규모 파일 시스템의 스냅샷을 생성할 수 있으며, 이러한 스냅샷은 불변(읽기 전용)이며, 데이터 손상 시 쉽게 롤백하거나 파일을 복구할 수 있기 때문이다. 일반적으로 관리자만이 스냅샷을 삭제할 수 있다(수정은 불가능).

다른 형태의 멀웨어와 마찬가지로, 보안 소프트웨어가 랜섬웨어의 페이로드를 감지하지 못할 수 있다는 우려가 있다. 특히 페이로드가 암호화되어 있거나 신종 멀웨어의 경우, 탐지가 어렵다。또한, 네트워크를 통한 스토리지(네트워크 드라이브) 내의 데이터도 암호화될 수 있다는 우려가 있다.

랜섬웨어에 감염되더라도, 물리적으로 차단된 스토리지 장치(예: 탈착 가능한 보조 기억 장치)에 컴퓨터 데이터를 백업하고, 감염된 컴퓨터를 완전 초기화함으로써, 적어도 백업 시점의 상태로 복원할 수 있다。하지만, 침입을 위해 파악된 통신 경로 및 통신 장치의 변경이 있을 수 있으므로, 피해 정도에 따라 시스템 구축부터 다시 시작해야 할 수도 있으며, 피해를 입었을 때의 신속한 조치 및 운영 방안을 미리 마련하는 것이 필요하다.

몸값을 지불하지 않는 선택을 고수함으로써, 공격 대상에서 제외될 수 있다는 견해가 있다。

6.2. 대응

보안 전문가들은 랜섬웨어에 대한 예방 조치를 제안했다. 알려진 페이로드가 실행되는 것을 차단하는 소프트웨어나 보안 정책은 감염 예방에 도움이 될 수 있지만, 모든 공격으로부터 보호하지는 못한다. 따라서 적절한 백업 솔루션을 갖추는 것이 랜섬웨어 방어에 매우 중요하다. 많은 랜섬웨어 공격자가 피해자의 라이브 시스템뿐만 아니라 로컬 또는 NAS(Network-attached storage, 네트워크 연결 스토리지)을 통해 네트워크에서 접근 가능한 핫 백업도 삭제하려 하기 때문에, "오프라인" 백업을 유지하는 것도 중요하다. 즉, 잠재적으로 감염된 컴퓨터에서 접근할 수 없는 위치에 저장된 데이터(예: 외부 저장 드라이브 또는 어떤 네트워크(인터넷 포함)에도 접근할 수 없는 장치)는 랜섬웨어의 접근을 막을 수 있다. 또한, NAS 또는 클라우드 스토리지를 사용하는 경우 컴퓨터는 대상 저장소에 추가 전용 권한을 가져야 하며, 이전 백업을 삭제하거나 덮어쓸 수 없어야 한다. 코모도 그룹(comodo)에 따르면, 공격 표면 감소를 운영 체제/커널 (운영 체제)에 적용하면 공격 표면이 실질적으로 감소하여 보안 상태가 향상된다.

소프트웨어 공급업체가 발행한 보안 패치 (컴퓨팅) 업데이트를 설치하면 특정 종류의 랜섬웨어가 전파하기 위해 악용하는 취약점 (컴퓨팅)을 완화할 수 있다. 다른 조치로는 사이버 위생(이메일 첨부 파일 및 링크를 열 때 주의, 네트워크 세분화, 중요한 컴퓨터를 네트워크로부터 격리)이 있다. 또한 랜섬웨어 확산을 완화하기 위해 감염 관리 조치를 적용할 수 있다. 여기에는 감염된 컴퓨터를 모든 네트워크에서 분리, 교육 프로그램 제공, 효과적인 커뮤니케이션 채널 구축, 멀웨어 감시 및 집단 참여 방안 마련이 포함될 수 있다.

2021년 8월, 사이버 보안 및 인프라 보안국 법안(Cybersecurity and Infrastructure Security Agency Act)에 따라 사이버 보안 및 인프라 보안국(CISA)은 랜섬웨어 공격을 완화하는 방법에 대한 지침을 제공하는 보고서를 발표했다. 이는 최근 랜섬웨어 관련 공격이 크게 증가했기 때문이다. 이러한 공격에는 미국 파이프라인 회사와 소프트웨어 회사에 대한 공격이 포함되었으며, 이로 인해 관리형 서비스 제공업체(MSPs)의 다운스트림 고객에게 영향이 미쳤다.

추가 기록 불가 읽기 전용(WORM) 저장소는 많은 광 디스크 형식과 같이 내용을 변경하거나 삭제할 수 없으므로 랜섬웨어에 거의 면역이다. 그러나 데이터를 어떤 식으로든 삭제할 수 없어 개인 정보 보호법 및 기타 콘텐츠 관련 법률로 인해 많은 저장 공간에 실용적이지 않다. 유일한 방법은 불필요한 파일을 제외하고 새 WORM 디스크에 복사한 다음 원본 복사본을 파기하는 것이다.
다수의 파일 시스템은 자신이 보관하는 데이터의 스냅샷을 유지하며, 랜섬웨어가 이를 비활성화하지 못할 경우, 랜섬웨어 공격 이전 시점의 파일 내용을 복구하는 데 사용할 수 있다.

* 윈도우에서는 볼륨 섀도 복사본(VSS)이 데이터 백업을 저장하는 데 자주 사용된다. 랜섬웨어는 종종 이러한 스냅샷을 공격하여 복구를 막으므로, 랜섬웨어가 과거 사본을 비활성화하거나 삭제할 위험을 줄이기 위해 사용자 도구인 VSSadmin.exe에 대한 사용자 접근을 비활성화하는 것이 좋다.
* 윈도우 10에서는, 사용자는 랜섬웨어로부터 보호하기 위해 윈도우 디펜더의 제어된 폴더 액세스에 특정 디렉토리 또는 파일을 추가할 수 있다. 백업 및 기타 중요한 디렉토리를 제어된 폴더 액세스에 추가하는 것이 권장된다.
* 악성코드가 ZFS 관리 명령을 실행하도록 코딩된 공격을 배포하여 ZFS 호스트 시스템에서 루트 권한을 얻지 않는 한, ZFS를 실행하는 파일 서버는 광범위하게 랜섬웨어에 면역된다. ZFS는 시간당 여러 번 대규모 파일 시스템의 스냅샷을 생성할 수 있으며, 이러한 스냅샷은 불변(읽기 전용)이며, 데이터 손상 시 쉽게 롤백하거나 파일을 복구할 수 있기 때문이다. 일반적으로 관리자만이 스냅샷을 삭제할 수 있다(수정은 불가능).

랜섬웨어로 잠긴 파일을 해독하기 위한 여러 도구가 있지만, 성공적인 복구가 항상 가능한 것은 아니다. 동일한 암호화 키가 모든 파일에 사용된 경우, 해독 도구는 손상되지 않은 백업과 암호화된 복사본이 모두 있는 파일을 사용한다 (암호 분석 용어에서 알려진 평문 공격). 하지만 공격자가 사용한 암호가 약해서 알려진 평문 공격에 취약한 경우에만 작동한다); 키를 복구하는 데 며칠이 걸릴 수 있다. 무료 랜섬웨어 해독 도구는 다음과 같은 형태의 랜섬웨어로 암호화된 파일의 해독을 도울 수 있다: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear, Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt, XData. 보안 연구원에 의해 해독된 랜섬웨어 암호화는 일반적으로 범죄 목적으로는 버려진다. 따라서 실제로 대부분의 공격은 암호화를 깨뜨려 되돌릴 수 없다.

No More Ransom Project는 네덜란드 경찰의 국가 첨단 기술 범죄 부서, 유럽 연합의 유럽 사이버 범죄 센터, 카스퍼스키 랩 및 맥아피가 랜섬웨어 피해자가 몸값을 지불하지 않고 데이터를 복구하도록 돕기 위한 이니셔티브이다. 그들은 암호화된 파일을 분석하고 해독 도구를 검색하기 위해 무료 CryptoSheriff 도구를 제공한다.

또한, 이전에 삭제된 파일의 이전 사본이 디스크에 존재할 수 있다. 경우에 따라 이러한 삭제된 버전은 해당 목적으로 설계된 소프트웨어를 사용하여 여전히 복구할 수 있다.

2019년 ProPublica의 조사에 따르면 몸값 없는 해독 서비스를 광고한 사이버 보안 회사인 Proven Data Recovery와 Monstercloud는 일반적으로 몸값을 지불하고 피해자에게 더 높은 가격을 청구한다. SamSam 해커는 Proven Data를 너무 자주 처리하여 지불에 기술적인 어려움을 겪는 피해자에게 회사를 추천할 정도였다. Coveware와 같은 다른 회사는 해커에게 지불하고 보안이 취약한 시스템을 패치하는 서비스를 더욱 투명하게 제공했다. 많은 미국 피해자는 몸값 금액이 연방 정부의 개입 기준을 충족하기에는 너무 낮다고 판단했지만, 지역 경찰은 이를 도울 기술적 능력이 부족했고, 종종 그들 자신도 피해자였다.

다른 형태의 멀웨어와 마찬가지로, 보안 소프트웨어가 랜섬웨어의 페이로드를 감지하지 못할 수 있다는 우려가 있다. 특히 페이로드가 암호화되어 있거나 신종 멀웨어의 경우, 탐지가 어렵다. 또한, 네트워크를 통한 스토리지(네트워크 드라이브) 내의 데이터도 암호화될 수 있다는 우려가 있다.

랜섬웨어에 감염되더라도, 물리적으로 차단된 스토리지 장치(예: 탈착 가능한 보조 기억 장치)에 컴퓨터 데이터를 백업하고, 감염된 컴퓨터를 완전 초기화함으로써, 적어도 백업 시점의 상태로 복원할 수 있다. 하지만, 침입을 위해 파악된 통신 경로 및 통신 장치의 변경이 있을 수 있으므로, 피해 정도에 따라 시스템 구축부터 다시 시작해야 할 수도 있으며, 피해를 입었을 때의 신속한 조치 및 운영 방안을 미리 마련하는 것이 필요하다.

몸값을 지불하지 않는 선택을 고수함으로써, 공격 대상에서 제외될 수 있다는 견해가 있다.

6.3. 법적 측면

랜섬웨어 공격자들은 주로 금전적인 이익을 목적으로 하지만, 경우에 따라서는 사회 혼란을 야기하거나 특정 국가를 공격하기도 한다.

일본 해커 협회의 스기우라 타카유키는 "해커는 반사회 세력이나 테러리스트가 아니므로, 몸값을 지불하는 것 자체는 불법 행위가 아니다"라고 언급하며, 세계적으로도 지불하는 사례가 많다고 한다. 일본의 테러 자금 제공 처벌법은 해커 집단을 대상으로 하지 않기 때문에 일본 내에서는 불법으로 간주되지 않는다. 그러나 미국에는 해커 집단을 대상으로 하는 처벌법이 있어, 일본 기업도 제재 대상이 될 수 있다.

위저드 스파이더 등 각국의 경찰 당국으로부터 범죄 그룹으로 인식되고 있는 집단도 있으며, 이러한 상대에게 몸값을 지불한 사실이 공개되면 사회적 신용을 잃을 수 있다는 위험도 존재한다.