내 컴퓨터를 지키기 위한 상식, 랜섬웨어 종류 알아보기

 

 

안녕하세요. 오늘은 내 컴퓨터를 지키기 위한 상식, 랜섬웨어 종류 알아보도록 하겠습니다.

 

 

랜섬웨어란?

 

시스템에 침투하여 내 모든 시스템 화면과 파일을 암호화해서 사용자가 그 시스템 화면과 파일을 접근하지 못하게 제한하고 복구를 원하면 돈을 달라고 협박하는 일종의 멀웨어 입니다.

 

최근에는 워너크라이의 유행으로 이슈를 샀었죠.

 

그리고 이들은 암호 해독키를 교환하기 위해 사용자들에게 특정 온라인 결제, 주로 암호화가 잘된 전자지갑인 비트코인을 통해 파일 몸값을 달라고 합니다.

 

 

보통은 Cryptocurrencies가 제공한 익명의 비트코인 지갑 정보에 기반해서 랜섬웨어 해커들은 파일의 몸값을 요구합니다.

 

어떤 이들은 아이튬즈 및 아마존 기프트 카드 형식으로 대체 결제를 요구하기도 합니다.

 

하지만 확실한 것은 몸값? 을 지불한다고 해서 감염된 시스템들의 복구가 100% 이뤄진다고 보장은 못한다는 점입니다. 그들은 범죄자니까요

 

 

그렇다면 오늘날 어떤 랜섬웨어가 있는지 그 종류를 알아 볼까요?

 

 

<랜섬웨어 종류>

 

 

 

LOCKY        

Locky   암호화된 파일의 이름을 16 진수로 변경; .locky를 암호화된 파일에 추가; DRIDEX 악성 코드의 도착과 유사하게 매크로가 내장 된 .DOC 첨부 파일을 사용하여 스팸 메일을 통해 도착

 

CERBERCerber     

.cerber을 암호화한 파일에 추가;.VBS 파일을 이용해 음성 기능 지원

 

CRYPSAM   SAMSAM    

익스플로잇을 JexBoss 오픈 서버 어플리케이션에 사용 하거나 다른 자바 기반의 어플리케이션 플랫폼을 사용해 피해 웹 어플리케이션 서버에 설치가 됨

 

PETYA          

Petya    프로그램 시작 시 블루 스크린과 랜섬 메시지 표시

 

WALTRIX   

CRYPTXXX, WALTRIX, Exxroute        .DLL 파일 형태로 도착; Angler 익스플로잇 키트를 통해 확산; 스크린 화면을 잠그고 모든 파일 암호화; 확장자 .crypt 추가

 

CRYPSALAM           

Salam파일 암호화 후 {month}-{day}-{year}-INFECTION.TXT 형식의 랜섬 메시지 표시; 파일 해독을 위해 이메일로 연락할 것을 요구

 

JIGSAWJigsaw        

파일을 삭제하고 매 시간 요구하는 금액을 증가시킴; 몇몇 변종은 라이브 채팅 기능 지원; 일부는 포르노 관련 랜섬 메시지 사용

 

MIRCOPMircop      

Windows PowerShell 을 악용해 첨부된 매크로 파일을 스팸메일로 전송하여 실행; 랜섬 메시지에 후드를 쓰고 Guy Fawkes 마스크를 쓴 남자 이미지 표시

 

JSRAA        

RAA     인터넷 익스플로러의 Windows Scripting Host 엔진 용으로 설계된 Jscript 로 작성; Microsoft Edge 브라우저에서는 실행되지 않음

 

GOOPICGoopic     

익스플로잇 키트를 통해 도착; 전문적으로 디자인된 인터페이스 사용

 

APOCALYPSE         

Apocalypse        암호화된 파일 확장자에 .encrypted 추가; 지불 방식 설명을 알려면 해커에게 이메일을 보내도록 요구

 

JOKOZY     

KozyJozy           .31392E30362E32303136_(0-20)_LSBJ1 패턴을 사용하여 배열에서 임의로 선택된 확장명을 암호화 된 파일에 추가

 

CRYPMIC                

WALTRIX 와 유사한 패턴을 가지고 있음

 

 

REVETON   Police Ransom       

사용자에게 연방법을 위반했다는 가짜 경고를 띄우고 화면을 잠금; 메시지를 통해 사용자의 IP 주소가 FBI에 의해 불법 콘텐츠가 있는 웹 사이트를 방문한 것으로 확인되었다고 알림

 

VBUZKY                

64 비트 랜섬웨어; Shell_TrayWnd 사용 시도; Windows 7의 TESTSIGNING 옵션 사용 가능

 

CRYPTOP    Ransomware archiver        

GULCRYPT 와 구성요소를 다운로드

 

GULCRYPT Ransomware archiver        

특정 확장명의 파일을 보관; 유저의 파일이 들어있는 아카이브를 풀기 위해 누구에게 어떻게 연락 해야 하는지 랜섬 메시지를 통해 전달

 

CRYPWEB   PHP ransomware   

웹 서버의 데이터베이스를 암호화 하여 웹 사이트를 이용 불가능 하게 함; C&C 서버와 통신하기 위해 HTTPS 사용; 해독 키는 오직 C&C server 에서 사용 가능

 

CRYPDIRT  Dirty Decrypt

Cryptolocker 출현 전인 2013년 처음 나타남

 

CRYPTORBIT                       

손상 지표인 몸값을 포함하는 이미지, 텍스트 및 HTML 파일 탐지

 

CRYPTLOCKTorrentLocker          

CryptoLocker 처럼 행동; 최신 버전은 해당 컴퓨터에서crypt0l0cker를 표시; 암호화를 피할 수 있는 파일 확장명 목록 사용, 암호화 확장명 목록을 사용하는 일반적인 랜섬웨어와 비교하면 CRYPTLOCK이 더 많은 파일을 암호화하고 감염된 컴퓨터가 계속 실행되도록 하여 사용자가 파일이 암호화 되었음을 인지 할 수 있도록 함. 몸값 지불을 위해 인터넷 접속은 가능

 

CRYPFORT CryptoFortress          

TorrentLocker/CRYPTLOCK 의 유저인터페이스 모방; 와일드 카드를 사용하여 파일 확장명 검색. 공유 폴더의 파일을 암호화

 

CRYPTESLA TeslaCrypt   

CryptoLocker와 비슷한 유저인터페이스 사용; 게임 관련 파일 암호화; Versions 2.1 와 2.2는 .vvv 및 .ccc와 함께 암호화; Version 3.0 향상된 암호화 알고리즘이 있으며, .xxx, .ttt 및 .mp3이 암호화 된 파일에 추가됨

 

CRYPVAULTVaultCrypt  

GnuPG 암호화 도구 사용; 해킹 도구를 다운로드해 웹 브라우저에 저장된 증명서 도용; sDelete 16 번 사용해 파일의 복구를 방지 및 방해; 고객 지원 포털 운영; 배치 스크립트 크립토 랜섬웨어

 

CRYPSHED Troldesh      

러시아에서 처음 발견; 다른 나라를 노리기 위해 영어 버전의 랜섬 메시지 지원; 암호화된 파일에 .xtbl 추가하는 것 외에도 파일 이름을 인코딩하여 사용자가 손실된 파일을 추적하지 못하게 함

 

SYNOLOCK SynoLocker 

Synology NAS 장치의 운영 체제(DSM 4.3-3810 또는 이전버전) 을 사용하여 해당 장치에 저장된 파일을 암호화; 고객 지원 포털 운영

 

ACCDFISA  Anti Cyber Crime Department of Federal Internet Security Agency Ransom

2012년 발견. 파일 암호화; 파일 복원과 스크린 잠금 해제를 위해 Moneypak, Paysafe, or Ukash 을 통해 결제 유도; SFX (자동 압축 풀기) 아카이브로 패키지 된 다중 구성 요서 멀웨어로 알려짐; Sdelete and WinRAR 과 같은 서드파티 어플리케이션에 묶여 올 수 있음

 

 

ANDROIDOS_LOCKER  

첫 모바일 랜섬웨어; Tor 사용(익명 서버 연결이 가능한 합법적 서비스); 감염된 모바일의 사용자들은 파일을 사용할 수 없거나 몸값으로 잡혀있는 상태로 발견

 

CRIBITBit

CryptCRILOCK 와 유사하게 RSA-AES 를 사용해 타겟 파일을 암호화Version 1 은 RSA-426 사용; Version 2 는 RSA-1024 사용; 암호화 시킨 파일 문자열에 bitcryp1 (for version 1) , bitcrypt2 (for version 2) 추가

 

CRILOCK    CryptoLocker

C&C 서버 연결을 위해 DGA (Domain Generation Algorithm) 사용; 2013년 10월 – 스팸메일의 부분으로 UPATRE (ZBOT과 추가 CRILOCK 다운로드) 가 발견

 

CRITOLOCK          Cryptographic locker           

고급 표준 암호화 시스템 사용 (AES-128); ‘Cryptolocker’ 라는 단어가 컴퓨터 배경에 깔림

 

CRYPAURA PayCrypt      

파일을 암호화 한 후 암호 해독을 위해 연락할 이메일 주소를 남김; PayCrypt 버전은 .id-{victim ID}-paycrypt@aol.com 을 암호화된 파일에 추가

 

CRYPCTB    Critroni, CTB Locker, Curve-Tor-Bitcoin Locker        

데이터 파일 암호화; 쉐도우 복사본을 삭제해 복구를 불가능하게 함; 랜섬웨어를 다운로드 하는 첨부파일이 담긴 스팸 메일로 도착; 소셜엔지니어링을 사용해 사용자가 첨부파일을 열도록 유도; Tor 사용해 C&C Communication 마스킹

 

CRYPDEF    CryptoDefense          

파일 해독을 위해 비트코인 몸값 요구

 

CRYPTCOINCoinVault    

파일 해독을 위해 몸값을 비트코인으로 결제하도록 요구; 하나의 파일을 해독하는 일회성 무료 테스트 제공

 

CRYPTFILE             

RSA-2048 에서 생성된 고유의 공용 키를 사용하여 파일을 암호화 하고 사용자에게 1 비트코인을 요구

 

CRYPWALL CryptoWall, CryptWall, CryptoWall 3.0, Cryptowall 4.0

CRYPTODEFENSE 의 업데이트 버전; 비트코인 결제 방식 요구; 익명 목적으로 Tor 네트워크 사용; UPATRE-ZBOT-RANSOM 감염 경로를 따라 스팸 메일을 통해 도착; CryptoWall 3.0 에는 FAREIT 스파이웨어가 번들로 제공; Cryptowall 4.0은 암호화된 파일의 이름을 암호화 하고 업데이트된 랜섬 메시지 사용, 자바 스크립트 형태의 첨부파일과 함께 스팸 메일로 도착한 것으로 TROJ_KASIDET 변종에 의해 다운로드 될 수 있음

 

CRYPTROLF                   

파일 암호화 후 트롤 얼굴 이미지 표시

 

CRYPTTOR              

배경화면을 벽 그림으로 변경하고 결제 요구

 

CRYPTOR   

batch file ransomware     DOWNCRYPT 을 통해 도착; GNU Privacy Guard 응용프로그램을 사용해 사용자 파일을 암호화 할 수 있는 배치 파일 랜섬웨어

 

DOWNCRYPT       

batch file ransomware     스팸메일을 통해 도착; 미끼 문서와 같은 BAT_CRYPTOR 와 구성 요소를 다운로드

 

VIRLOCK    VirLock, VirRansom           

문서 파일, 아카이브 및 이미지와 같은 미디어 파일 감염

 

PGPCODER          

2005년에 발견. 최초로 발견된 랜섬웨어

 

KOLLAH                  

특정 확장명을 사용하여 파일을 암호화 하는 최초의 랜섬웨어 중 하나; MS Office 문서, PDF 파일 및 기타 사용자 정보가 많거나 관련이 있는 파일들이 타겟; 암호화 된 파일에 GLAMOUR 라는 문자열 추가

 

KOVTER                    

유튜브 등의 광고를 Sweet Orange exploit kit 로 연결

 

MATSNU                 

화면 잠금 기능을 가진 백도어; 몸값 요청

 

RANSOM    

응용프로그램 일반적 탐지를 통해 유저의 시스템 접근 제한혹은 일부 파일을 암호화 하고 해독을 위해 몸값 요구

 

KRYPTOVOR        

Kriptovor           다중 구성 요소 감염의 한 부분; 크립토 랜섬웨어의 구성요소 뿐만 아니라, 데스크톱 스크린샷, 프로세스 목록, 특정 파일을 훔치는 정보 도용 구성 요소 또한 가지고 있다; LockBox 3 라는 오픈 소스 Delphi library를 사용해 파일을 암호화

 

CRYPFINI   CryptInfinite, DecryptorMax          

매크로 첨부 파일이 있는 스팸 메일을 통해 도착, Craigslist 게시물과 연결된 취업 어플리케이션으로 가장.crinf 파일을 추가

 

CRYPFIRAGO                      

Bitmessage 를 사용해 제작자와 소통;.1999 또는 .bleep 를 암호화된 파일에 추가

 

CRYPRADAM          

Radamant          익스플로잇 키트를 통해 도착 할 수 있음; .rdm 을 암호화된 파일에 추가

 

CRYPTRITU Ransom32   

자바 스크립트 랜섬웨어로 알려짐

 

CRYPBOSS  CrypBoss       

.crypt 를 암호화된 파일에 추가

 

CRYPZUQUIT       

Zuquitache, Fakben ransomware-as-a-service (RaaS) 멀웨어로 알려짐

 

CRYPDAPPadCrypt

라이브 채팅 지원; 스팸 메일을 통해 도착

 

CRYPHYDRA          

HydraCrypt       누출된 CrypBoss 소스 코드 기반; 스팸 메일을 통해 도착

 

 

 

이상으로 랜섬웨어의 종류를 안내했습니다. 랜섬웨어에 대한 분명한 대책이 나오기 전까지는 파일에 대한 백업을 일상화 해두는 것이 좋습니다.

소중한 파일을 잃을 수 없으니까요