랜섬웨어 : 랜섬웨어로부터 PC를 보호하는 방법

어제 백신 프로그램 알약에서 랜섬웨어 탐지 오류 관련하여 이슈였습니다. 뉴스 기사를 보다가 알았는데, 윈도우에 설치된 기본 프로세스를 랜섬웨어로 잘못 인식해서 벌어진 일이라고 언급되고 있었습니다.

 

랜섬웨어 관련 뉴스 기사 : 2022.08.30

랜섬웨어란? 랜섬웨어는 몸값에 대한 대가로 데이터를 인질로 잡고 있는 특정 유형의 맬웨어  또는 악성 소프트웨어 입니다. 데이터를 게시, 차단 또는 손상시키거나 공격자의 요구를 충족하지 않는 한 사용자가 작업하거나 컴퓨터에 액세스하지 못하도록 위협합니다. 

 

 

 

이러한 랜섬웨어의 의미는 공격의 위력을 강조하지만 이러한 공격의 빈도도 증가하고 있습니다. 

 

랜섬웨어 의미 : 랜섬웨어의 진화

랜섬웨어 기술은 Joseph L. Popp라는 하버드 교육을 받은 진화생물학자가 처음 개발했습니다. 

그는 스웨덴 스톡홀름에서 세계보건기구(WHO)가 주최한 국제 AIDS 회의 참석자들에게 랜섬웨어에 감염된 디스켓을 제공하여 AIDS 트로이 목마를 시작했습니다. 

이 코드는 컴퓨터의 파일 디렉토리를 숨기고 컴퓨터를 확보하기 위해 파나마에 189달러를 보낼 것을 요구했습니다.

그 이후로 랜섬웨어의 위험이 크게 증가했지만 그 주요 임무는 순진한 사용자로부터 돈을 갈취하거나 사기를 당하는 것과 같습니다. 그것은 디스켓에 있던 것에서 이메일, 사운드, 비디오 다운로드, 심지어 내부 이미지를 통해 인터넷을 통해 여행하는 것으로 진화했습니다. 

최근 몇 년 동안 암호화폐를 생성하기 위해 컴퓨팅 성능이 필요한 암호화폐 채굴자들을 위한 도구였습니다. 

디지털 자산을 채굴하려면 값비싼 전력이 많이 필요하기 때문에, 수백 또는 수천 마일 떨어진 곳에 있는 크립토마이너의 이익을 위해 사용자의 컴퓨터가 크립토를 채굴하도록 하는 랜섬웨어가 개발되었습니다.

 

 

 

 

랜섬웨어 정의 : 랜섬웨어는 어떻게 작동합니까?

펌웨어 업데이트를 통해 하드웨어 장치가 계속해서 효율적이고 안전하게 작동할 수 있습니다. 이러한 업데이트에는 일반적으로 알려진 버그나 특정 취약점에 대한 패치를 수정하는 프로그램 변경이 포함됩니다. 

랜섬웨어는 어떻게 작동합니까? 랜섬웨어의 정의에 관계없이 컴퓨터에 침투하면 비밀리에 감염됩니다. 그런 다음 소프트웨어는 파일을 공격하고 사용자가 알 수 없는 상태에서 자격 증명에 액세스하고 변경합니다. 그 결과 악성코드를 제어하는 ​​사람이 컴퓨터 인프라를 사실상 인질로 잡고 있습니다.

 

파일 암호화

크립토웨어로 알려진 랜섬웨어는 피해자의 작업이나 개인 컴퓨터의 파일을 암호화합니다. 이렇게 하면 컴퓨터 소유자가 공격자에게 몸값을 지불하지 않는 한 컴퓨터 소유자가 이러한 파일을 검색하거나 액세스할 수 없습니다. 

공격자는 암호화 암호 뒤에 숨겨져 있기 때문에 파일에 액세스할 수 있는 유일한 사람입니다. 때때로 공격자는 전체 컴퓨터를 잠근 다음 새 암호를 공개하기 전에 몸값을 요구합니다.

리크웨어와 독스웨어를 통해 공격자는 몸값을 지불하지 않으면 피해자의 하드 드라이브에 민감한 정보를 공개하겠다고 위협합니다. 특허 및 민감한 회로도와 같은 개인 소유 정보가 있는 회사는 누출웨어 및 독스웨어의 주요 대상이 될 수 있습니다.

 

몸값과 요구

해커는 Western Union과 같은 방법을 사용하거나 문자 메시지를 통해 결제 정산 을 요청하는 경향이 있습니다. 이것은 그들이 자신의 신분을 숨기는 데 도움이 됩니다. 돈이 생기면 파일을 해독하고 시스템을 해제합니다. 일부 는 익명성과 중개인의 부재로 인해 비트코인 ​​랜섬웨어 결제 를 요구합니다.

 

 

 

 

랜섬웨어 공격

오늘날 랜섬웨어는 종종 피싱 이메일을 통해 전송됩니다. 이러한 악성 첨부 파일은 열리면 사용자의 컴퓨터를 감염시킵니다. CryptoLocker와 같은 일부는 트로이 목마 처럼 작동 하여 컴퓨터를 감염시킨 다음 암호화할 파일을 찾습니다. 랜섬웨어는 사용자가 감염된 웹사이트를 방문하는 드라이브 바이 다운로드를 통해서도 확산될 수 있습니다. 

그런 다음 해당 사이트의 맬웨어가 다운로드되어 사용자가 알지 못하는 사이에 설치됩니다.

소셜 엔지니어링 은 랜섬웨어 공격 에서도 큰 역할 을 합니다. 이것은 사람들이 다른 사람을 조종하여 개인 정보나 기밀 정보를 누설하려는 경우입니다. 일반적인 사회 공학 전술 중 하나는 이메일이나 문자를 사용하여 대상이 민감한 정보를 공유하거나, 악성 파일을 열거나, 악성 링크를 클릭하도록 겁주는 것입니다.

 

말스팸

Malspam은 "malware spam"의 줄임말로, 대상의 받은 편지함으로 악성 코드를 전달하는 이메일입니다. 이메일의 첨부 파일 또는 URL(웹 주소)에는 멀웨어 가 포함되거나 이에 링크될 수 있으며 , 그 안에 피싱 메시지가 포함되어 있을 수 있습니다.

 

악성 광고

맬버타이징 은 맬웨어에 감염된 그래픽 또는 텍스트 광고의 배포를 포함합니다. 일반 광고와 구별할 수 없는 경우가 많으며 무해한 일반 광고와 함께 표시될 수 있습니다.

 

 

 

 

일반적인 랜섬웨어 공격 대상

사이버 범죄자들은 ​​적절한 보안 조치가 마련되어 있지 않기 때문에 중소기업(SMB)을 포함하는 경우가 많습니다. 또한 SMB는 랜섬웨어 공격이 무엇인지 이해하는 대규모 IT 전문가 팀을 보유할 가능성이 적습니다.

랜섬웨어 공격은 또한 일상적인 비즈니스를 실행하기 위해 마케팅 자료 또는 애플리케이션의 데이터베이스와 창고에 의존하는 조직과 같이 파일에 긴급히 액세스해야 하는 회사를 대상으로 합니다. 

기업은 공격자가 수천 달러를 요구하더라도 비즈니스 중단이 계속되면 훨씬 더 많은 손실을 입을 것이라고 생각할 수 있습니다.

비공개로 유지하고 싶은 정보가 있는 사람은 누구나 자신이 표적이 될 수 있습니다. 공격자는 개인 정보가 대상에게 얼마나 중요한지 알 수 있으며 데이터를 게시하지 않는 대가로 막대한 비용을 청구할 것입니다.

불행히도, 누구나 대상이 될 수 있습니다. 사실, 맬웨어는 공격자가 직접 피해자의 컴퓨터로 보낼 필요조차 없습니다. 자체적으로 퍼질 수 있습니다. 악성 코드는 정상적인 광고에 포함될 수 있습니다. 누구든지 그것을 클릭하고 희생자가 될 수 있습니다.

공격은 사람들의 데스크톱과 랩톱에서 가장 일반적이지만 운영 체제가 있는 모든 장치가 피해를 입을 수 있습니다. 

여기에는 휴대폰, 태블릿 및 기타 모바일 장치가 포함됩니다. 모든 장치가 안전한지 확인하려면 포괄적인 엔드포인트 감지 및 대응(EDR) 솔루션 이 필요할 수 있습니다. EDR을 사용하면 위협을 실시간으로 식별하고 네트워크의 장치를 준비 및 보호하여 공격에 덜 취약하도록 할 수 있습니다.

 

 

 

 

랜섬웨어의 유형

안타깝게도 사이버 범죄자가 이러한 공격을 시작하는 것은 저렴하고 쉽습니다. 소프트웨어 솔루션은 저렴하고 다크 웹에서 쉽게 사용할 수 있으며 최근 랜섬웨어 공격 중 일부는 저렴하고 찾기 쉬운 맬웨어를 사용하여 실행되었습니다. 랜섬웨어에는 여러 유형이 있으며 가장 인기 있는 랜섬웨어의 예는 다음과 같습니다.

 

스케어웨어

Scareware 는 사회 공학을 사용하여 겁을 주거나 충격을 주거나 피해자를 불안하게 만드는 맬웨어 유형입니다. 그런 다음 필요하지 않은 소프트웨어를 구매하도록 조작됩니다. Scareware는 종종 피해자에게 가짜 바이러스 또는 다른 유형의 맬웨어에 노출되었음을 알려줍니다.

 

스케어웨어를 피하는 가장 좋은 방법은 유명하고 신뢰할 수 있는 바이러스 보호 서비스에서 제공하지 않는 한 컴퓨터가 감염되었다는 주장을 다시 추측하는 것입니다.

 

화면 잠금

화면 로커는 컴퓨터 화면을 잠가 액세스할 수 없는 것처럼 보이게 합니다. 일반 화면 대신 화면에 다시 액세스하기 전에 결제를 요구하는 메시지가 표시될 수 있습니다. 가짜 법 집행 기관에서 온라인 결제 서비스를 사용하여 누군가에게 돈을 보내달라고 요청할 수 있습니다.

 

화면 잠금 장치에 감염된 경우 당국은 몸값을 지불하지 않을 것을 권고합니다. 시스템을 지운 후 최근 백업을 사용하여 컴퓨터를 복원할 수 있습니다.

 

랜섬웨어 암호화

암호화 랜섬웨어는 고급 암호화 알고리즘을 사용하여 장치의 데이터를 암호화합니다. 지불해야 하는 금액과 파일에 다시 액세스하기 위해 취해야 하는 단계를 설명하는 메모가 제공됩니다. 화면 보관함과 마찬가지로 공격자의 요구에 굴복하지 않고 컴퓨터를 다시 작동시키려면 최근 백업에 의존해야 할 수 있습니다.

 

 

 

 

일부 새로운 위협

랜섬웨어 위협은 지속적으로 진화하고 더욱 심각해지고 있습니다. 새로운 보안 조치가 등장함에 따라 해커는 개인과 기업의 컴퓨터를 침범하기 위해 점점 더 많은 방법을 고안하고 있습니다.

 

RaaS(Ransomware-as-a-Service) 와 같은 위협 이 점점 더 보편화되고 있습니다. RaaS를 사용하면 누군가가 원하는 누구에게나 공개할 수 있는 전체 랜섬웨어 패키지를 구매하거나 임대할 수 있습니다. 때때로 그들은 RaaS 제공자와 이익을 나눕니다.

 

랜섬웨어 공격에 대처하는 방법?

랜섬웨어 공격 후 작업 피해를 최소화하기 위해 취할 수 있는 조치가 있습니다. 상황에 관계없이 당국은 몸값을 지불하지 말 것을 권고합니다. 몸값을 지불하는 것은 다른 사이버 범죄자가 성공적인 공격을 듣게 되면서 추가 공격을 조장할 뿐입니다.

 

스케어웨어 확인

스케어웨어는 종종 컴퓨터에서 쉽게 찾을 수 있습니다. 인터넷을 방문할 때 탭에 표시될 것으로 예상되는 내용을 대체하는 팝업이 표시될 수 있습니다. 화면에서 클릭하거나 탭하는 위치에 관계없이 클릭하면 탭이 자동으로 열리는 경우가 있습니다.

스케어웨어는 인터넷에 연결되어 있지 않은 경우에도 감염된 컴퓨터에 나타납니다. 장치가 감염되어 치료가 필요하다는 메시지의 형태로 나타날 수 있습니다. 바이러스 백신 소프트웨어를 설치하라는 제안으로 나타날 수도 있습니다.

때때로 컴퓨터 제조업체의 고객 서비스 담당자가 지시하는 단계에 따라 스케어웨어를 청소할 수 있습니다. 이러한 유형의 랜섬웨어는 매우 흔하기 때문에 일부 회사에서는 사용자가 제거할 수 있도록 훈련된 전문가를 보유하고 있습니다. 

 

 

 

 

전문가와 상담

IT 전문가는 랜섬웨어를 식별하고 찾아 제거할 수 있습니다. 컴퓨터에서 제거할 수 있다는 보장은 없지만 일부 랜섬웨어는 여러 번 사용되었습니다. 그 결과 IT 전문가들 사이에 이미 복호화 키가 유통되고 있습니다.

전문가와 상담하는 것도 단점이 있습니다. 전문가를 고용하는 데는 상당한 비용이 드는 경우가 많습니다. 또한 초기 비용 지불에 동의하기 전에 전문가가 컴퓨터에서 랜섬웨어를 성공적으로 제거할지 여부를 알 수 있는 방법이 없습니다. 

 

랜섬웨어 제거

다음 단계를 시도하십시오.

 

• 감염된 장치 격리 : 아마도 소수의 장치에만 랜섬웨어가 있을 것입니다. 다른 연결된 장치를 감염시키지 않도록 네트워크에서 제거하는 것이 중요합니다.
• 공격 유형 식별 : 취하는 조치는 감염된 랜섬웨어 유형에 따라 크게 달라집니다. 공격과 그 증상에 대한 모든 세부 사항을 기록하십시오.
• 바이러스 백신 소프트웨어를 사용하거나 전문가를 고용하여 추가 공격을 방지할 수 있으며 다른 위협을 발견하고 제거할 수도 있습니다.
• 암호화된 파일 복구 : 복구 가능 여부와 방법은 공격의 특성과 암호 해독 옵션에 따라 다릅니다.
• 랜섬웨어를 제거하면 공격자의 요구에 대응할 수 없게 되어 유해하고 감정적인 결정을 내리는 것을 막을 수 있습니다. 그러나 이것은 인질로 잡혀 있는 파일의 암호를 해독하지 않습니다.

 

특히 잠긴 경우 장치의 암호 해독된 파일 또는 모든 정보를 잃을 수 있습니다. 반면에 스케어웨어와 많은 화면 보관함을 사용하면 부작용이 없을 수 있습니다. 

예를 들어 일부 화면 잠금 장치를 사용하면 컴퓨터를 안전 모드에서 다시 시작한 다음 바이러스 백신 소프트웨어를 사용하여 화면 잠금 장치를 제거할 수 있습니다. 컴퓨터를 재부팅하면 정상으로 돌아올 수 있습니다. 

 

 

 

 

랜섬웨어 공격 방지

전문가들은 예방이 랜섬웨어를 퇴치하는 가장 좋은 방법이라는 데 동의합니다. 장치를 보호하기 위해 수행할 수 있는 몇 가지 작업이 있습니다.

 

자주 업데이트

장치를 업데이트하면 장치를 보호하는 효과적이고 자유로운 방법이 될 수 있습니다. 많은 업데이트에는 새로운 유형의 사이버 위협에 대한 바이러스 백신 보호 기능이 포함됩니다. 장치 제조업체가 다양한 유형의 랜섬웨어에 대처하는 방법을 배우면서 장치를 보호하는 코드가 업데이트에 포함됩니다. 

이 조항을 활용하려면 업데이트 알림을 주시하거나 장치 설정을 확인하여 업데이트를 지속적으로 확인하십시오. 자동 업데이트를 예약할 수도 있습니다. 종종 기기를 사용하지 않을 때입니다.

 

소프트웨어 인증

소프트웨어를 인증하면 장치에서 실행하는 모든 소프트웨어가 사이버 범죄자가 아닌 평판이 좋은 출처에서 제공됩니다. 설치할 수 있는 특정 소프트웨어에는 어떤 종류의 자동 인증도 포함되어 있지 않으므로 확인이 어려울 수 있습니다. 

전화로 소프트웨어 개발자에게 연락하여 소프트웨어와 특정 버전이 정품인지 확인할 수 있습니다. 또한 소프트웨어, 웹사이트 또는 소프트웨어가 제공되는 이메일을 어떻게 알게 되었는지, 그리고 개발자가 정품 여부를 판단하는 데 도움이 될 수 있는 설치 지침에 대한 세부 정보를 설명할 수도 있습니다.

 

바이러스 백신 보호 설치

바이러스 백신 보호는 맬웨어와의 전쟁에서 가장 강력하고 간단한 솔루션 중 하나입니다. 바이러스 백신 조치는 랜섬웨어가 장치나 네트워크에 도달하는 것을 처음부터 방지하여 공격자가 금전을 갈취하거나 작업을 방해하지 못하도록 합니다.

 

 

 

종종 랜섬웨어는 겉보기에 무해한 이메일을 통해 발판을 마련하지만 이메일 보안 은 초기 단계에서 이를 방지할 수 있습니다. 이메일 첨부 파일 내의 데이터 에서 위협을 분석할 수 있습니다. 

이러한 유형의 필터링을 사용하면 문제를 일으키는 발신자의 이메일을 차단할 수 있을 뿐만 아니라 이러한 유형의 메시지가 받은 편지함에 도달하지 않도록 규칙을 설정할 수 있습니다.

또한 NGFW(차세대 방화벽 )는 추가 보호 계층을 제공할 수 있습니다. NGFW는 패킷 필터링, VPN(가상 사설망) 지원 및 IP 매핑 기능을 제공합니다. 또한 네트워크를 모니터링하여 위협을 주시합니다.

 

NGFW 공급자는 보안 환경에 대한 지속적인 연구를 수행하여 새로운 위협이 발생할 때 이를 학습하고 이 데이터를 자동 업데이트 형태로 사용하여 장치에 대한 공격을 차단합니다.

 

화이트리스트 소프트웨어

화이트리스트 소프트웨어는 공격에 대한 효과적인 방법입니다. 사용자는 정기적으로 장치를 확인하고 사용하기 전에 소프트웨어를 승인합니다. 방화벽 과 같은 보호 조치 는 랜섬웨어를 포함할 수 있는 소프트웨어에 대해 경고하고 인터넷에 연결하기 전에 허가를 요청할 수 있습니다. 

화이트리스트 프로세스를 통해 보안 침해가 의심되는 경우 들어오는 모든 프로그램을 차단하도록 선택할 수도 있습니다.

 

그런 다음 프로그램을 계속 사용하기 전에 문제의 원인을 파악하는 데 집중할 수 있습니다. 방화벽 을 사용하면 랜섬웨어를 쉽게 발견할 수 있습니다.

 

데이터 백업

공격을 막을 수는 없지만 백업은 사전 예방적 접근의 필수 요소입니다. 정기적으로 데이터를 백업하면 네트워크에 있는 각 장치의 기본 이미지를 제공할 수 있습니다. 랜섬웨어 공격의 경우 시스템을 지우고 백업을 사용하여 다시 시작하고 실행할 수 있습니다.

 

 

 

 

직원 교육

직원이 올바른 지식을 갖추면 랜섬웨어 공격을 방지할 수 있습니다. 공격이 어떤 형태인지, 장치가 공격에 노출되는 것을 방지하는 방법을 알려주십시오.

 

포괄적인 보안 솔루션 사용

랜섬웨어에 대한 최선의 방어는 공격으로부터 다양한 장치를 보호하도록 설계된 포괄적인 솔루션입니다. 여기에는 네트워크와 악성 사이트, 링크, 멀웨어 또는 기타 위험한 콘텐츠 사이에 장벽을 설정하는 웹 필터링 이 포함될 수 있습니다. 

포괄적인 솔루션은 애플리케이션의 작업을 격리된 환경에 배치하는 샌드박싱 을 사용할 수도 있습니다. 샌드박스 내에서 애플리케이션의 동작이 분석되고 수집된 데이터는 오류, 비효율성, 랜섬웨어 및 기타 의심스러운 코드를 드러낼 수 있습니다. 응용 프로그램이 샌드박스에 있으므로 장치 또는 네트워크의 다른 요소가 보호됩니다.

참조