랜섬웨어 : 보호하는 방법 및 제거하는 방법

랜섬웨어는 사용자 또는 조직이 컴퓨터의 파일에 액세스하는 것을 거부하도록 설계된 맬웨어입니다. 

 

랜섬웨어

이러한 파일을 암호화하고 암호 해독 키에 대한 몸값 지불을 요구함으로써 사이버 공격자는 몸값 지불이 파일에 대한 액세스 권한을 다시 얻을 수 있는 가장 쉽고 저렴한 방법인 위치에 조직을 배치합니다. 

 

 

 

일부 변종은 데이터 도용과 같은 추가 기능을 추가하여 랜섬웨어 피해자가 몸값을 지불하도록 유도합니다.

랜섬웨어는 빠르게 가장 눈 에 띄고 눈에 잘 띄는 유형의 맬웨어가 되었습니다. 최근 랜섬웨어 공격은 중요한 서비스를 제공하는 병원의 능력에 영향을 미치고 도시의 공공 서비스를 손상시키며 다양한 조직에 심각한 피해를 입혔습니다.

 

랜섬웨어 작동 방식

랜섬웨어가 성공하려면 대상 시스템에 액세스하고 해당 시스템에서 파일을 암호화하고 피해자에게 몸값을 요구해야 합니다. 구현 세부 사항은 랜섬웨어 변종마다 다르지만 모두 동일한 핵심 3단계를 공유합니다.

 

1단계. 감염 및 배포 벡터

다른 맬웨어와 마찬가지로 랜섬웨어는 다양한 방법으로 조직의 시스템에 액세스할 수 있습니다. 그러나 랜섬웨어 운영자는 몇 가지 특정 감염 벡터를 선호하는 경향이 있습니다.

그 중 하나가 피싱 이메일입니다. 악성 이메일에는 악성 다운로드를 호스팅하는 웹사이트에 대한 링크나 다운로더 기능이 내장된 첨부 파일이 포함될 수 있습니다. 이메일 수신자가 피싱에 빠지면 랜섬웨어가 다운로드되어 컴퓨터에서 실행됩니다.

 

 

 

또 다른 인기 있는 랜섬웨어 감염 벡터는 RDP(원격 데스크톱 프로토콜)와 같은 서비스를 이용합니다. RDP를 사용하면 직원의 로그인 자격 증명을 훔치거나 추측한 공격자가 이를 사용하여 기업 네트워크 내의 컴퓨터를 인증하고 원격으로 액세스할 수 있습니다.

 

이 액세스를 통해 공격자는 악성 코드를 직접 다운로드하고 제어 하에 있는 시스템에서 실행할 수 있습니다.

다른 사람들은 WannaCry가 EternalBlue 취약점을 악용한 방법과 같이 시스템을 직접 감염시키려고 시도할 수 있습니다. 대부분의 랜섬웨어 변종에는 여러 감염 벡터가 있습니다.

 

2단계. 데이터 암호화

랜섬웨어가 시스템에 액세스한 후 파일 암호화를 시작할 수 있습니다. 암호화 기능이 운영 체제에 내장되어 있기 때문에 파일에 액세스하고, 공격자가 제어하는 ​​키로 파일을 암호화하고, 원본을 암호화된 버전으로 교체하기만 하면 됩니다.

 

대부분의 랜섬웨어 변종은 시스템 안정성을 보장하기 위해 암호화할 파일을 신중하게 선택합니다. 일부 변종은 파일의 백업 및 섀도 복사본을 삭제하는 단계를 수행하여 암호 해독 키가 없는 복구를 더 어렵게 만듭니다.

 

 

 

 

3단계. 몸값 요구

파일 암호화가 완료되면 랜섬웨어가 몸값을 요구할 준비가 됩니다. 다양한 랜섬웨어 변종은 이를 다양한 방식으로 구현하지만 표시 배경을 랜섬 노트로 변경하거나 랜섬 노트가 포함된 암호화된 각 디렉토리에 텍스트 파일을 배치하는 것은 드문 일이 아닙니다.

 

일반적으로 이러한 메모는 피해자의 파일에 액세스하는 대가로 일정량의 암호화폐를 요구합니다. 몸값이 지불되면 랜섬웨어 운영자는 대칭 암호화 키를 보호하는 데 사용되는 개인 키의 복사본이나 대칭 암호화 키 자체의 복사본을 제공합니다.

 

이 정보는 암호화를 되돌리고 사용자 파일에 대한 액세스를 복원하는 데 사용할 수 있는 암호 해독 프로그램(사이버 범죄자도 제공)에 입력할 수 있습니다.

이 세 가지 핵심 단계는 모든 랜섬웨어 변종에 존재하지만 다른 랜섬웨어에는 다른 구현 또는 추가 단계가 포함될 수 있습니다.

 

예를 들어, Maze와 같은 랜섬웨어 변종은 데이터 암호화 전에 파일 검색, 레지스트리 정보 및 데이터 도난을 수행하고 WannaCry 랜섬웨어는 감염 및 암호화할 다른 취약한 장치를 검색합니다.

 

 

 

 

랜섬웨어로부터 보호하는 방법

모범 사례 활용

적절한 준비는 랜섬웨어 공격의 비용과 영향을 크게 줄일 수 있습니다. 다음 모범 사례를 따르면 랜섬웨어에 대한 조직의 노출을 줄이고 영향을 최소화할 수 있습니다.

1) 사이버 인식 교육 및 교육

랜섬웨어는 종종 피싱 이메일을 사용하여 확산됩니다. 잠재적인 랜섬웨어 공격을 식별하고 방지하는 방법에 대해 사용자를 교육하는 것이 중요합니다.

 

현재 사이버 공격의 대부분은 맬웨어가 포함되지 않은 대상 이메일에서 시작되지만 사용자가 악성 링크를 클릭하도록 유도하는 사회 공학 메시지만 포함하므로 사용자 교육은 종종 가장 중요한 방어 수단 중 하나로 간주됩니다. 조직에서 배포할 수 있습니다.

2) 지속적인 데이터 백업

Ransomware의 정의에 따르면 몸값을 지불하는 것이 암호화된 데이터에 대한 액세스를 복원할 수 있는 유일한 방법이 되도록 설계된 맬웨어입니다.

 

 

 

 

자동화된 보호 데이터 백업을 통해 조직은 몸값을 지불하지 않고 데이터 손실을 최소화하면서 공격으로부터 복구할 수 있습니다. 정기적인 데이터 백업을 일상적인 프로세스로 유지하는 것은, 데이터 손실을 방지하고 손상 또는 디스크 하드웨어 오작동 발생 시 복구할 수 있는 매우 중요한 방법입니다.

 

기능적 백업은 또한 조직이 랜섬웨어 공격으로부터 복구하는 데 도움이 될 수 있습니다.

3) 패치

사이버 범죄자는 종종 사용 가능한 패치에서 발견되지 않은 최신 익스플로잇을 찾은 다음 아직 패치되지 않은 시스템을 대상으로 하기 때문에 패치는 랜섬웨어 공격을 방어하는 데 중요한 구성 요소입니다.

 

따라서 조직에서 모든 시스템에 최신 패치를 적용했는지 확인하는 것이 중요합니다. 이렇게 하면 공격자가 악용할 수 있는 비즈니스 내 잠재적인 취약점의 수가 줄어들기 때문입니다.

4) 사용자 인증

도난당한 사용자 자격 증명으로 RDP와 같은 서비스에 액세스하는 것은 랜섬웨어 공격자가 선호하는 기술입니다. 강력한 사용자 인증을 사용하면 공격자가 추측하거나 도난당한 암호를 사용하는 것이 더 어려워질 수 있습니다.

 

 

 

 

공격 표면 감소

랜섬웨어 감염의 잠재적 비용이 높기 때문에 예방이 최선의 랜섬웨어 완화 전략입니다. 이것은 다음을 해결하여 공격 표면을 줄임으로써 달성할 수 있습니다.

 

• 피싱 메시지
• 패치되지 않은 취약점
• 원격 액세스 솔루션
• 모바일 악성코드 

 

안티 랜섬웨어 솔루션 배포

사용자의 모든 파일을 암호화해야 한다는 것은 랜섬웨어가 시스템에서 실행될 때 고유한 지문을 가지고 있음을 의미합니다. 안티 랜섬웨어 솔루션은 이러한 지문을 식별하도록 구축되었습니다. 우수한 랜섬웨어 방지 솔루션의 일반적인 특징은 다음과 같습니다.

 

• 광범위한 변이 감지
• 빠른 감지
• 자동 복원

일반적인 내장 도구를 기반으로 하지 않는 복원 메커니즘(일부 랜섬웨어 변종의 표적이 되는 'Shadow Copy' 등)

 

랜섬웨어를 제거하는 방법?

랜섬 메시지는 랜섬웨어 감염이 성공했음을 나타내므로 누구나 자신의 컴퓨터에서 보고 싶어하는 것이 아닙니다. 이 시점에서 활성 랜섬웨어 감염에 대응하기 위한 몇 가지 조치가 취해질 수 있으며, 조직은 몸값 지불 여부를 선택해야 합니다.

 

활성 랜섬웨어 감염을 완화하는 방법

많은 성공적인 랜섬웨어 공격은 데이터 암호화가 완료되고 감염된 컴퓨터의 화면에 랜섬 노트가 표시된 후에만 탐지됩니다. 이 시점에서 암호화된 파일은 복구할 수 없지만 몇 가지 단계를 즉시 수행해야 합니다.

 

 

 

1) 시스템 검역 

일부 랜섬웨어 변종은 연결된 드라이브 및 기타 시스템으로 확산을 시도합니다. 다른 잠재적인 대상에 대한 액세스를 제거하여 맬웨어의 확산을 제한합니다.

2) 컴퓨터를 켜두십시오

파일 암호화는 컴퓨터를 불안정하게 만들 수 있으며 컴퓨터의 전원을 끄면 휘발성 메모리가 손실될 수 있습니다. 복구 가능성을 최대화하려면 컴퓨터를 켜 두십시오.

3) 백업 생성

일부 랜섬웨어 변종에 대한 파일 암호 해독은 몸값을 지불하지 않고도 가능합니다. 나중에 솔루션을 사용할 수 있게 되거나 실패한 암호 해독 작업으로 인해 파일이 손상되는 경우를 대비하여 이동식 미디어에 암호화된 파일의 복사본을 만드십시오.

4) 해독기 확인

No More Ransom Project에서 무료 해독기를 사용할 수 있는지 확인하십시오. 그렇다면 암호화된 데이터의 복사본에서 실행하여 파일을 복원할 수 있는지 확인하십시오.

 

 

 

5) 도움 요청

컴퓨터는 때때로 컴퓨터에 저장된 파일의 백업 복사본을 저장합니다. 디지털 포렌식 전문가는 맬웨어에 의해 삭제되지 않은 경우 이러한 복사본을 복구할 수 있습니다.

6) 초기화 및 복원

깨끗한 백업 또는 운영 체제 설치에서 시스템을 복원합니다. 이렇게 하면 맬웨어가 장치에서 완전히 제거됩니다.

 

업무용클라우드 : 클라우드 서비스의 주요 장점 6가지

업무용클라우드 : 클라우드 서비스의 주요 장점 6가지

 

외장하드 인기 추천 랭킹 5선 (백업기능 및 보안기능 포함)

외장하드 인기 추천 랭킹 5선 (백업기능 및 보안기능 포함)

참조