본문 바로가기

컴퓨터/유틸리티

랜섬웨어 개발자 체포 및 복호화 툴 공개 및 다운로드

와, 최근 컴퓨터 바이러스 중에서 가장 핫했던 것이 바로 '랜섬웨어'였습니다. 랜섬웨어에 감염된 컴퓨터는 중요한 파일 (주로 문서, 텍스트 파일, 이미지 파일 등)이 암호화가 되어서 열어보지 못합니다. 열어보려면 비트코인으로 돈을 지불해야 했었죠.


전 세계적으로는 약 3억 2,500만 달러 이상의 금융 피해가 발생되었다고 보고되고 있습니다.


사실 램섬웨어 감염 경로는 기존의 악성코드와 크게 다르지 않습니다. 램섬웨어는 프로그램 업데이트 파일로 가장하기도 하며 일반 메일로 가장한 스팸메일의 첨부파일에 모습을 숨기기도 합니다.


카스퍼스키랩과 네덜란드 경찰의 공동 대응으로 CoinVault 랜섬웨어 무력화카스퍼스키랩과 네덜란드 경찰의 공동 대응으로 CoinVault 랜섬웨어 무력화


그래서 인터넷 익스플로러, 어도비 관련 프로그램, 자바 관련프로그램, 윈도우 등의 취약점을 이용하기 때문에 사용하는 프로그램을 최신 버전으로 유지하는 것이 랜섬웨어 예방을 위해서 매우 중요합니다.


그리고 출처가 불분명한 메일은 열지 않는 것이 좋습니다.


랜섬웨어에 감염이 되면 암호화된 데이터를 복구하기 위해서 비밀번호가 필요하지만 공격자가 데이터에 걸어놓은 수십 자리의 암호를 푸는 것은 사실 일반 사용자는 불그낭하죠. 그리고 공격자의 요구대로 돈을 입금한다고 해도 해독키를 보내준다는 보장은 없죠. 그리고 복구가 된다고 해도 다시 랜섬웨어에 또 감염이 될 수 있으니 예방과 백업만이 최선인 상황입니다.


랜섬웨어 감염된 PC의 바탕화면랜섬웨어 감염된 PC의 바탕화면


다행히 카스퍼스키랩과 네덜란드 경찰 공동 대응으로 CoinVault 랜섬웨어 무력화에 성공했다고 합니다. 또한 카스퍼스키랩에서 랜섬웨어 대응 센터인 noransom.kaspersky.com에 14,031개의 복호화 키를 추가적으로 업로드함으로써 CoinVault 및 Bitcryptor 랜섬웨어의 피해를 입었던 모든 사용자들이 범죄자들에게 단 한 푼의 비트코인을 지불하지 않고도 암호화된 데이터를 되찾아 올 수 있게 되었습니다.


카스퍼스키랩에서 개발한 전용 복호화 프로그램은 https://noransom.kaspersky.com 에서 무료로 다운로드 할 수 있습니다.



카스퍼스키랩과 네덜란드 경찰의 공동 대응으로 CoinVault 랜섬웨어 무력화


카스퍼스키랩에서 랜섬웨어 대응 센터인 noransom.kaspersky.com에 14,031개의 복호화 키를 추가적으로 업로드함으로써 CoinVault 및 Bitcryptor 랜섬웨어의 피해를 입었던 모든 사용자들이 범죄자들에게 단 한 푼의 비트코인을 지불하지 않고도 암호화된 데이터를 되찾아 올 수 있게 되었습니다.


카스퍼스키랩에서 개발한 전용 복호화 애플리케이션은 https://noransom.kaspersky.com에서 무료로 다운로드할 수 있습니다. 


카스퍼스키랩카스퍼스키랩


2015년 4월부터 총 14,755개의 복호화 키가 피해자들에게 제공되어, 카스퍼스키랩의 보안 전문가가 개발한 전용 복호화 애플리케이션을 통해 암호화된 파일을 찾을 수 있게 되었습니다. 네덜란드 검찰청에서 CoinVault의 C&C 서버에서 복호화 키를 입수했습니다. 그리고 9월에는 네덜란드 경찰이 랜섬웨어 공격 용의자 2명을 네덜란드에서 검거했습니다. 이렇게 용의자를 검거하고 서버에서 복호화 키를 확보함으로써 드디어 CoinVault 공격이 막을 내렸습니다. 


CoinVault 사이버 범죄자들은 전 세계 수만 대의 컴퓨터를 감염시키려고 시도했습니다. 그 결과 네덜란드, 독일, 미국, 프랑스, 영국을 중심으로 피해가 발생했고, 피해를 입은 총 국가 수는 108개에 이릅니다. 이들은 1,500대 이상의 Windows 기반 시스템을 암호화하는 데 성공했고 이를 복호화하는 대가로 비트코인을 요구했습니다.


카스퍼스키랩은 2014년 5월 CoinVault의 최초 버전을 발견한 바 있으며, 그 후에는 관련된 모든 악성 코드 샘플을 면밀하게 분석하여 네덜란드 경찰국의 NHTCU(National High Tech Crime Unit)와 네덜란드 경찰청에서 주도하는 수사에 크게 기여했습니다. 공동 조사 기간 동안 NHTCU와 네덜란드 검찰청은 CoinVault C&C 서버의 데이터베이스를 확보했습니다. 이 서버는 초기화 벡터(IV), 복호화 키, 개인 비트코인 지갑이 포함되어 있었고 카스퍼스키랩과 NHTCU의 지원으로 복호화 키를 제공하는 전용 대응 웹사이트인 noransom.kaspersky.com을 구축했습니다. 


카스퍼스키랩의 이창훈 지사장은 "CoinVault 랜섬웨어의 범죄 행각은 이제 끝이 났습니다. 남아 있는 피해자들도 곧 파일을 되찾을 수 있고 용의자들도 검거되었습니다. 이 모든 것이 네덜란드 경찰, 카스퍼스키랩, Panda Security가 힘을 합친 덕분입니다. CoinVault 수사는 모든 복호화 키를 확보할 수 있었다는 점에서 기념비적인 사건이라고 볼 수 있습니다. 모두의 노력 덕분에 사이버 범죄자의 비즈니스 모델을 붕괴시킬 수 있었습니다." 라고 말했습니다.


카스퍼스키랩 소개

카스퍼스키랩은 세계에서 가장 빠르게 성장하는 사이버 보안 회사 중 하나이며 최대의 비상장 보안 기업으로, 엔드포인트 보안 솔루션 분야에서 전세계 4대 보안 솔루션 기업으로 꼽힌다(IDC 2014). 1997년부터 카스퍼스키랩은 사이버 보안 분야에서 혁신적인 활동을 해왔으며, 대규모 엔터프라이즈, SMB 및 소비자들에게 효과적인 디지털 보안 솔루션 및 보안 위협 관련 정보를 제공한다. 카스퍼스키랩은 전세계 200개국 이상에서 활동하고 있는 국제적인 회사로써, 4억 명 이상의 사용자들에게 보안 서비스를 지원한다. 보다 자세한 정보는 www.kaspersky.co.kr에서 확인할 수 있다.



랜섬웨어를 예방하기 위해서 해야 할 것


  1. 업무 및 기밀 문서, 각종 이미지 등의 중요 파일은 주기적으로 백업합니다.
  2. 백신 소프트웨어를 설치하고 엔진을 최신 버전으로 유지해야 합니다.
  3. 운영체제 (윈도우, 맥 등), 브라이주 및 주요 앱의 최신 보안 업데이트를 항상 적용합니다.
  4. 메일을 확인할 경우 정상적인 메일인지 꼼꼼하게 확인 후 열어봅니다.