CryptoLocker

(크립토락커에서 넘어옴)

1 개요

2013년에 발생한 인질형 악성코드, 랜섬웨어의 일종. 컴퓨터 내의 모든 파일(OS 파일 포함) 및 네트워크 드라이브의 파일을 RSA, AES 키로 암호를 걸어, 암호 해독 키를 대가로 돈을 요구한다. 금액은 해커별로 천차만별이지만, 비트코인을 통해 금액을 결제하라는 경향을 보인다. 예전 버전에는 300달러라고 표기되어 있었지만, 2015년부터는 비트코인으로 1비트코인 이상(한화 50만원 가량) 을 요구한다. 구매에는 1주일 정도 시간제한이 있으며 이 안에 복호화 프로그램을 구매하지 않으면 가격이 2배로 상승한다. 정말 추악한 도적질이다.

FBI 현상금 300만불의 남자, 러시아 국적의 해커 евгений михайлович богачев (Evgeniy Mikhailovich Bogachev)가 만들었으며, 만든 프로그램을 해커그룹에 팔아서 작금의 사태를 만들었다. 또한 이 악성 암호화 프로그램을 해커그룹들이 변종시켜 유포하고 있는 상황이다.

2 감염 증상

감염 과정에서 RAM을 풀가동시키기 때문에 이유 없이 갑자기 컴퓨터가 느려지기 시작하는 것이 감염의 초기 증상이다. 컴퓨터의 대부분 파일들을 해커의 서버에서 만든 RSA-2048키(!)를 사용하여 .encrypted 확장자로 암호화시켜버린다. 역시 품종(?!)별로 암호화의 범주는 제각각이다만 랜섬웨어들이 다 그렇듯 MS office에 속하는 파워포인트, 워드, 엑셀 파일들과 JPG 등의 이미지 파일들과 zip, rar 등의 압축 파일들은 표적이 된다. alz,egg는? 원래는 hwp 파일은 건드리지 않았으나 패치를 더해가며(...) 그것까지 난도질하는 종류도 발견되었다.
암호화가 끝나면 100시간의 카운트다운을 시작하는데, 비트코인이나 MoneyPak으로 300 달러를 지불하면 복호화를 시켜준다고 주장한다. 그리고 100시간 이내에 입금을 하지 않으면 그대로 하드의 데이터는 고스란히 날아간다..[1]

3 한국어버전 변종 발생

사실 원조 크립토락커는 2014년 8월 글로벌 보안전문가들이 원 제작자의 서버를 추적해서 다운 시키고[2] 복호화키를 얻으면서, 일단 세계적으로 조금 잠잠해진 상태였다. 이 때문에 2015년에는 크립토락커 보다는 크립토락커와 크립토월을 조합한 테슬라크립트가 더 주목받고 있었던 상황이었다. 그런데...

001_fynAof3.jpg
납치범 치고 쓸데없이 친절하다
2015년 4월 19일을 기준으로 왈도체 한국어로 된 크립토락커의 짝퉁 torrentlocker 가 발생하였다.[3] 특히 4월 21일 새벽 인터넷 커뮤니티인 클리앙의 광고 서버 페이지에 악성 공격 코드가 삽입되면서, 이 사이트에 접속했던 많은 컴퓨터들이 감염되었다. 이번 감염은 가짜 승인절차 창 같은것도 없이 접속만 하면 감염되는 종류로 확인되면서, 보안 업데이트를 미룬 개인과 기업 컴퓨터가 다수 감염된 것으로 보인다. Internet ExplorerFlash의 보안 약점을 파고든 것으로 밝혀졌다. 안랩에서는 광고 배너 플래시를 통해 악성 코드가 퍼진 것으로 추측했다.

랜섬웨어침해대응센터에서는 이번 크립토 락커가 발생한지 얼마 안 된 변종이라서 아직 복구책이 없다고 밝히고 있다.#

인터넷 커뮤니티 SLR클럽에서 한 용자가 요구사항대로 결제를 한 결과 데이터의 90%가 복구되었다고 한다. 다만 돈을 보내는 것은 엄청난 도박이라는 것을 명심하자.가끔씩이라니까 가끔씩!

4 감염 이후

암호화 수준이 높아서 입금을 하지 않으면 복구가 불가능하다고 여겨졌으나, 파이어아이와 폭스잇파이어 폭스?연구원들이 이 악성코드에 감염된 파일들을 풀어주는 서비스를 무료로 개시했다. 이메일주소와 감염된 파일 하나를 보내면 해당 이메일로 RSA_2048 키가 온다. 그런 다음 해당 사이트에서 제공하는 복구 프로그램을 다운로드받아 다음 명령을 시행하면 된다.: Decryptolocker.exe –key "<key>" <Lockedfile>. 사이트 주소는 [1]

그렇지만 비슷비슷하거나 구별이 어려운 변종이 20개도 더 되고, 복구 서비스가 이러한 변종의 생산을 부추길 수도 있다는 이유로 현재는 더 이상 서비스를 하지 않는다.

변종 크립토락커의 암호화 정도가 갈수록 극심해져서, 파일 복구 업체에서도 복구하기가 힘들다고 한다. 차라리 해커에게 돈을 입금하는 게 나을 수도 있는데, 앞서 언급했듯이 입금을 한 사람 모두가 데이터를 돌려받는 것은 아니라고 하니 주의. 말 그대로 복불복, 케바케지만 보안업체 등에서도 절대 결제하지는 말라고 하는 상황이다. 가끔 제 시간 내에 입금을 해서 데이터가 복구된 경우도 있다.

영어 사이트를 찾아보면 Data Recovery Pro로 해결할 수 있다고 하는 곳도 있는데, 이 프로그램은 그냥 삭제파일 복구 프로그램이다. 즉, 암호화하고 지운 파일이 남아 있으면 복구해준다는 건데, 엄청난 양의 파일을 변조하는 과정에서 지운 흔적이 남아있을 가능성은 거의 없다. 유료 프로그램이고 구입해서 사용했음에도 데이터가 복구되지 않았다는 사람도 있는 만큼 어지간하면 사용하지 않는 편이 좋을 듯 하다.

중요한 자료는 꼭 백업하자. 또, 예방을 위해서, 개인용으로 공개된 적절한 안티 랜섬웨어 프로그램을 설치하도록 하자. 최근 V3, 알약를 포함한 안티 바이러스 제품들도 대개 비슷한 기능이 추가되어 있다. 다만 치료하지 못한 크립토락커가 삭제되지 않고 검역소로 실려가 있을 때도 깽판을 계속 친다는 케이스가 있다고 하니 주의하자.

5 기타

대부분의 일반 사용자들이 랜섬웨어라는 통칭과, 크립토 락커라는 특정 악성코드를 동일시하는 경우가 있는데, 이는 건수가 몰리면 파리 떼 꼬이듯 기사를 양산하는 일부 몰지각한 기레기들이 기사를 작성하며 랜섬웨어라는 악성코드 분류를 하나의 악성코드를 지칭하는 단어로 서술했기 때문이라 카더라.
  1. 복호화(쉽게 말하자면 암호 해제) 키 파일을 서버에 딱 한개 저장해 두었다가 시간이 지나면 그것마저 없애버리는 방식을 사용한다.
  2. 해당서버가 다운되어 있으면 애초에 작동을 안 한다. 인질극을 해봤자 돈을 받을 수단이 막힌 것이기 때문.
  3. 보면 알겠지만 cryptolocker가 아닌 crypt0l0cker다.