안랩 랜섬웨어 보안센터

랜섬웨어

AhnLab Ransomware Security Center

정교해지는 랜섬웨어 공격 그리고 확산되는 피해

랜섬웨어 피해는 생각보다 더 가까운 곳에서 일어나고 있습니다.
중요한 것은 피해 복구를 위한 비용과 노력보다 사전 예방이 더욱 경제적이고 쉽다는 것입니다.

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

랜섬웨어 복구 툴

안랩은 랜섬웨어 피해 확산을 줄이기 위해 특정 랜섬웨어의 복구 툴을 무료로 제공하고 있습니다.
복구가 가능한 랜섬웨어는 크립트엑스엑스엑스(CryptXXX) 3.x 버전, 2.x 버전, 나부커(Nabucur), 테슬라크립트(TeslaCrypt)의 일부이며, 신∙변종 랜섬웨어는 아래 복구 툴로 복구되지 않습니다.

복구 툴 무료 다운로드

안랩 랜섬웨어 대응 전략

랜섬웨어는 다양한 최신 공격 기법을 활용해 무차별 공격을 감행하고 있어 보안 솔루션의 사전 대응을 더욱 어렵게 만들고 있습니다.
안랩은 자사 제품의 랜섬웨어 대응력을 강화하기 위해 다양한 진단 기술과 추가 기능을 지속적으로 개선하고 있습니다.

엔드포인트 보안 V3의 멀티레이어드 대응(Multi-Layered Detect & Response)

엔드포인트 보안 V3의 멀티레이어드 대응 이미지

안티 랜섬웨어 툴(Beta)' 자세히 보기

V3는 알려진 랜섬웨어를 최신 시그니처 기반으로, 알려지지 않은 랜섬웨어는 클라우드.행위.평판 기반 등의 진단 기술을 이용해 탐지/차단합니다.
최근에는 디코이 파일을 이용한 랜섬웨어 진단 기법을 개선하였습니다. 이 진단 기법은 디코이 파일을 암호화하거나 파일 이름 변경 등의 시도를 하는 프로그램을 랜섬웨어로 판단하여 차단하는 효과적인 랜섬웨어 방어법입니다.

8월에는 V3에 ‘랜섬웨어 보안 폴더(가칭)’ 기능을 제공할 예정입니다. 이 기능은 사용자가 PC의 특정 폴더를 지정하고, 이 폴더에 허용된 프로세스 이외에는 접근이 불가능하도록 구현됩니다. 즉, 사용자가 지정한 폴더의 중요 자료들을 랜섬웨어로부터 생성/수정/삭제 되지 않도록 보호합니다.

또한 신.변종 랜섬웨어 탐지 및 격리 프로그램인 ‘안티 랜섬웨어 툴’ 베타 버전을 공개합니다. 안티 랜섬웨어 툴은 OS 및 프로그램의 취약점을 이용하거나 웹 브라우저를 통해 실행되는 의심스러운 프로세스를 PC 내 가상화 공간에 격리하고 정밀한 룰에 의해 검사합니다. 이를 통해 랜섬웨어로 의심되는 프로세스의 실행을 방지함으로써 알려지지 않은 신∙변종 랜섬웨어를 방어합니다.

행위 기반 진단 기술의 개선

특히 안랩은 랜섬웨어의 유입 및 실행, 파일 암호화 과정 등 전 단계에 걸쳐 행위 기반 진단 기술 개선으로 랜섬웨어의 행위를 방어하는데 주력하고 있습니다.

행위 기반 진단 기술의 개선단계 - 1유입단계, 2실행단계, 3암호화 단계

차세대 APT 방어, AhnLab MDS의 실행 보류(Execution Holding)

MDS는 악성 여부가 확인되지 않은 의심 파일에 대해 ‘실행 보류(Execution Holding)’ 기능을 통해서, 신∙변종 랜섬웨어로 의심되는 파일이 PC에 저장된 문서, 사진, 영상 등의 파일을 암호화시키는 등의 랜섬 행위를 사전에 차단시킨 후 악성여부를 판단합니다.

차세대 APT 방어, AhnLab MDS의 실행 보류 이미지

가장 많은 질문 Top 5

  • 1. 랜섬웨어는 어떻게 감염되나요?
    랜섬웨어는 다른 악성코드와 마찬가지로 다양한 방법으로 유포되어 사용자 PC를 감염시킵니다. 주로 악의적으로 제작된 이메일의 첨부파일을 실행하거나 이메일 본문 또는 메신저, SNS 등에 포함된 악성 단축 URL을 클릭했을 때 감염될 수 있습니다. 보안이 취약한 웹사이트 및 커뮤니티의 게시물을 통해 감염되는 사례도 있습니다. 취약점 관리가 잘 되어있는 웹사이트의 경우라도 각 게시물의 상/하/좌/우에 위치한 광고 배너가 보안에 취약하여 랜섬웨어에 감염되는 경우도 있습니다. 이 밖에도 토렌트 등 파일 공유 사이트를 통해 랜섬웨어가 유포되고 있습니다.
    다른 악성코드와 마찬가지로 랜섬웨어도 OS나 프로그램의 취약점을 이용하기 때문에 랜섬웨어 감염을 예방하기 위해서는 평소 히 OS나 주요 프로그램의 최신 보안 업데이트를 적용하는 것이 바람직합니다.
  • 2. 랜섬웨어에 감염되면 어떤 증상이 나타나나요?
    랜섬웨어에 감염되면 문서 파일이나 사진/그림 파일, 음악 파일, 동영상 파일들이 읽을 수 없게 되거나 열리지 않습니다. 파일 내용이나 파일명, 파일 확장자가 바뀌거나 확장자 뒤에 특정 확장자를 추가해 파일이 암호화 되었음을 드러내기도 합니다.
    파일들을 암호화한 후에는 PC 화면에 메시지 창을 띄워 사용자의 자료가 암호화 되었음을 알리고, 이를 해제하기 위한 몸값과 몸값을 지불할 수 있는 방법 등을 보여줍니다. 이 메시지 창은 대부분 암호화된 폴더나 바탕화면을 통해 보여주거나, 사용자가 PC를 부팅할 때마다 나타나도록 시작 프로그램에 등록됩니다. 이 밖에도 랜섬웨어 제작자의 의도에 따라 네트워크 접속을 통해 공격자의 명령을 수신하거나 윈도우 백업 서비스를 강제로 종료하는 등의 동작을 수행하기도 합니다.
  • 3. 랜섬웨어에 감염되면 어떻게 해야 하나요? 또 하지 말아야 할 것은 무엇인가요?
    랜섬웨어 감염이 의심되실 경우, 즉시 공유폴더, USB나 외장하드 등 외부 저장장치와의 연결을 해제하시기 바랍니다. 아직 랜섬웨어가 암호화를 진행 중이라면 감염된 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있기 때문입니다. 이 경우 외장하드에 백업해둔 파일까지 암호화되어 무용지물이 될 수 있습니다. 그 다음으로는 안랩 등 신뢰할 수 있는 보안 회사의 홈페이지 등을 통해 감염된 랜섬웨어에 대한 복구툴이 있는지 확인해보시기 바랍니다.
    랜섬웨어에 감염된 것을 인지하신 후 당황하여 PC의 전원을 끄지 않도록 주의하시기 바랍니다. 일부 랜섬웨어는 감염 알림 메시지창이 나타난 상태에서 사용자가 PC를 종료할 경우 PC의 파일들을 삭제합니다. 따라서, 감염 알림창에 나타난 메시지를 주의 깊게 살펴보고 감염된 랜섬웨어가 무엇인지 파악한 후, 신뢰할 수 있는 보안 업체에서 제공하는 복구툴이 있는지 알아보는 것이 바람직합니다.
  • 4. ‘랜섬웨어 복구툴’은 무엇인가요? 이것만 있으면 암호화된 파일 복구가 가능한가요?
    안랩을 비롯한 주요 보안 업체들은 악성코드 분석 및 암호화 기법 분석을 통해 일부 랜섬웨어의 암호를 풀 수 있는 열쇠를 찾아내 암호화된 파일을 복구할 수 있는 툴(프로그램)을 제작 및 제공하고 있습니다.
    안랩은 자사 홈페이지를 통해 나부커(Nabucur), 크립트XXX(CryptXXX) 2.x 등 일부 랜섬웨어에 대한 복구툴을 무료로 제공하고 있습니다. 또 암호화 기법이 교묘하게 바뀐 크립트XXX 3.x 버전의 경우, 일부 파일에 대한 부분 복구를 지원하는 복구툴을 제공하고 있습니다. 앞으로도 안랩은 지속적으로 랜섬웨어에 대한 다양한 복구 방법을 구현해 나갈 예정입니다.
  • 5. 백신이 있으면 랜섬웨어를 막을 수 있나요? 랜섬웨어를 막을 수 있는 다른 방법에는 무엇이 있나요?
    V3는 다양한 진단 기술을 통해 랜섬웨어를 비롯한 최신 악성코드를 탐지합니다. 특히 랜섬웨어의경우, DNA 룰을 비롯해 행위 기반 진단으로 탐지 및 차단하고 있습니다. 랜섬웨어뿐만 아니라 다양한 악성코드 감염에 의한 피해를 방지하기 위해서는 백신 사용이 필요합니다. 특히 백신의 엔진을 최신 상태로 유지할 수 있도록 실시간 업데이트 기능을 활성화해두시기를 권장합니다.
    다만, 최근 신/변종 랜섬웨어가 급격하게 증가하고 있기 때문에 랜섬웨어 피해를 방지하기 위해서는 무엇보다 사전 예방이 가장 중요합니다. 한국인터넷진흥원(KISA) 등 관련 기관에서도 기본적인 보안 수칙 준수를 강조하고 있으며, 안랩은 랜섬웨어 피해예방을 위한 7대 보안 수칙을 제안하고 있습니다.
  • 안랩 랜섬웨어 보안센터는 새로운 보안 가이드나 동향 정보를 지속적으로 업데이트할 예정입니다.
    [즐겨찾기에 추가]하여 다시 방문해 주십시오.
  • 안랩은 ‘시큐리티 레터’와 ‘월간安’(기업전용)을 통해 랜섬웨어 소식을 비롯한 정보보안 뉴스레터를 정기적으로 보내드립니다.
    [회원정보수정] 페이지에서 뉴스레터 수신을 신청하십시오.