소디노키비 ( Sodinokibi ) 랜섬웨어와 다양한 랜섬웨어에 관한 대처 및 복호화를 도전해보자.

2020년 5월에, 코로나로 인한 중간고사를 마치고 집에 가서 부모님과 함께 있었는데, 유치원 교사인 엄마는 일일보고서를 작성하고 계셨다. 갑자기 어머니는 hwp파일, pdf파일 및 jpg파일들이 전부 열리지 않는다며 어떻게 조치해줄 수 없겠냐고 내게 다가오셨다. 컴퓨터공학과인 내가 또 모른체할 수 없었다. 이 때 랜섬웨어를 분석하고, 어떻게 행동해야 하는지에 대한 짧은 나의 지식밖에 없었지만 최근에 인스타그램 친구 중 한명이 랜섬웨어에 걸렸다며 '해결할 수 있는 사람이 있나요?' 라는 이야기를 하여 해결하는 과정에서 얻은 다양한 지식들을 공유하고 싶어 블로그의 첫 게시물로 랜섬웨어에 관하여 작성해 보겠다. 이를 해결해주기 위해서 나서서 도와주었는데, 결론을 먼저 말하자면 실패하였다. 국내/외적으로도 대처하기 힘들만큼 변종이 일어나고 있다고 생각이 들었고, 이미 존재하는 복호화 툴은 소수 있음에도 불구하고 다 유료인 점에서, 내가 돈을 지불하고 복호화하는것은 사실 기분이 안좋은 일이 아닌가? ( 밑에서 더 서술하는데, ***** 표시를 주의 깊게 봐줬으면 하는 바이다. ) 요즘 나오는 랜섬웨어들이 얼마나 대담하고, 돈 안내면 복호화하기 제일 힘들다는게 최근 랜섬웨어지 않을까? 차근차근 함께 랜섬웨어에 대해서 분석해보자.

내가 걸렸을때에 어떻게 대처해야할까? 

인스타그램 친구의 현재 상황

1. 내가 걸린 랜섬웨어의 종류에 대해서 알아보자.

- Magniber, CryptXXX, Venuslocker, Nabucur & Teslacrpyt, Erebus, VenusLocker, Sage, Sodinokibi(infamous GandCrab) 등 몇백가지의 종류가 존재하고, 이 랜섬웨어들은 게임의 버전이 업데이트되듯이 수 많은 변종이 생기고 있다. 내가 어떤 종류에 걸렸을까?를 확인할 때에는

첫번째로 위의 첨부된 사진처럼 ftr4t6r-readme.txt파일을 찾아서 들어가 readme파일을 분석해보고, 확장자를 분석해본다. 예전에는 같은 확장자로 랜섬웨어에 감염되는 일이 많아서 확장자명만으로도 어떤 랜섬웨어에 걸렸는지 확인이 가능했었다. 지금도 충분히 걸릴 수 있다고 생각한다. ( 먼저, 확장자를 구글에 검색해 본 후 이 확장자에 대한 정보가 없다면, 나름 최신놈이 들어왔구나~ 하면 된다. ) 

readme txt파일 중 한 단락. 첫 단락을 사용하면 어떤 종류인지 확인할 수 있다.

확장자가 ftr4t6r로, 감염된 컴퓨터마다 다른 확장자를 가지게 된다.

1-1. 종류에 대해 파악하는 방법은? readme파일의 첫 단락을 사용하여( 사용하다는 뜻은, 구글에 검색하여 관련정보를 수집하고, 이 수집된 정보를 이용해 어떤 종류인지 파악한다는 뜻이다. ) 위의 사진의 readme파일은 sodinokibi 랜섬웨어의 readme.txt의 사진이다. 여기서 어떤 종류인지 확인을 한 후 언급했던 종류 중 Magniber, CryptXXX, Venuslocker, Nabucur & Teslacrpyt에 해당하는 종류라면, AhnLab에서 지원하는 ' 안랩 랜섬웨어 전용백신 게시판 ' 에 접속하여 복호화 툴을 다운로드 받고 실행한다면, 어렵지 않게 파일의 복호화가 가능하다.

1-1-1. 내가 언급한 종류에 해당한다면? ) 안랩 랜섬웨어 복호화 툴

https://www.ahnlab.com/ 사이트에 접속하여, 윗 메뉴 중 다운로드 - 전용백신 게시판에 접속하면, 랜섬웨어 복호화툴을 무료로 다운로드 할 수 있다. (free)

전용백신 | AhnLab

1-1-2. 내가 언급한 종류에 해당하지 않는다면? ) 2. 로 넘어가자.

슬퍼말자. 아직 해볼 수 있는 방법이 무수히 많다. 시스템 복구, 사설 복구툴 이용, (전문가 부르기...)

이미 구글에 많다. 사실 다 유료다. ^_^...

복호화 툴의 가격... 약 60,000\ ex) enigma, soft2secure, myspybot, beforecrypt 등의 사이트에서는 복호화툴의 가격이 만만치 않다. 만약 해당 사이트에서 복호화툴을 다운로드 받았다면 삭제하기를 권장.

2. * 복호화에 있어 제일 중요한 점을 윗 사진을 예시로 들어 설명하겠다.

****************************************************************************

'복호화 툴이 있다고 하여 전부 믿으면 안된다.' 제일 강조하고 싶다. 랜섬웨어 복호화에 있어 일부 개인이나 기업은 복호화 비용 지불 후에도 암호 해독키를 제공받지 못하는 경우가 일어날 수 있고( 최신 변종에 대해서 암호 해독키를 얻지 못할 수 있다. ), 일부 기업은 비용은 지불한 후 다시 공격의 대상으로 삼을 수 있고, 제시한 복호화 비용보다 더 많은 금액을 요구할 수 있다. 복호화 비용의 지불은 추후 다른 사이버 범죄의 사용되거나, 더 많은 랜섬웨어 공격을 발생시킬 수 있으므로 지양해야 합니다. (krcert 발췌)

****************************************************************************

2-1. 시스템적으로도 운영체제에서 지원해주는 시스템 복구 방법이 첫번째 방법이다. 이 방법으로도 안 될 가능성이 있고, 복원을 할 때 날라가는 데이터들에 한해서는 슬프지만 몇십만원의 가치보다는 적기를 바라며 시스템 복원의 방법을 1차 해결 방법으로 생각해보았다. 시작 윈도우 버튼 옆에 검색에 복원만 검색하여도, 시스템 복구를 진행할 수 있는데 참고로 로 중요한 데이터가 많지 않다면, 적어도 3주 전의 시스템으로 복구하는 것을 추천한다.

* 참고로, 안전모드로 부팅을 한 후 진행하는것이 훨씬 안전하다!!! 괜히 존재하는 안전모드가 아니라구. 안전모드로 부팅하는 방법에 관해서는 핸드폰으로 ' 안전모드로 부팅하는 방법 ' 만 검색하여도 쉽게 찾을 수 있다.

 2-2. AhnLab에서 지원해 주는

안랩 안티랜섬웨어 툴(https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=120)

를 다운로드 받아, 안랩에서 제공하는 매뉴얼따라 진행하여 랜섬웨어의 확산을 막고, 이 안랩 안티랜섬웨어 툴은 복호화가 주 목적은 아니지만, '데이터 손상이 없게, 안된다면 최대한 적게 보장해줄게'와 '너가 어디 사이트를 들어가든지, 랜섬웨어로부터 지켜주려고 노력할게' 가 사실 주 목적이라, 복호화에 대해서는 쉽지 않을 수 있다.

안랩에서는 현재 최신 랜섬웨어의 동향분석뿐 아니라, 많은 랜섬웨어에 대해서 인지하고 있고, 해결책을 제시하고 있다. 국내에서는 TOP of the TOP이라고 생각하므로, 사이트를 적극 활용한다면, 최신 랜섬웨어임에도 불구하고 복호화 및 데이터 복구에 성공할 수 있다고 자신한다.

2-3. https://seed.kisa.or.kr/kisa/adverse/reference.do (KISA 제공 랜섬웨어에 관한 게시판)

KISA 암호이용활성화 - 자료실

해당 사이트는 랜섬웨어의 동향, 분석보고서 및 복구 프로그램을 제공하고 있고, 첨부된 매뉴얼을 따라 이용하면 된다. 

2-4. https://www.nomoreransom.org/crypto-sheriff.php?lang=ko

(No More Ransom) 제공 랜섬웨어 복구 프로그램

NMR은 세계 각국 사법기관과 민간 보안 기업 등이 파트너로 참여하는 랜섬웨어 피해 예방 프로젝트로, 많은 나라에서 사용중이고, Rakhni, Rannoh, Damage, Crypton, Merry X-Mas, BarRax, Alcatraz, Bart, Crypt888 등의 랜섬웨어 복구 프로그램을 제공하고 있다. KISA에서도 랜섬웨어의 복구 방법으로 이 사이트를 소개할 만큼 믿을 수 있는 사이트이니, 걱정하지 않아도 됨.

The No More Ransom Project

이스트 시큐리티 및 안랩, 카스퍼스키, 트랜드마이크로 등의 많은 기업에서 랜섬웨어 피해를 줄이기 위하여 노력중에 있으므로, 이런 믿을만한 기업들의 복호화툴을 이용하는것이 아니라면, 다른 복호화툴은 지양하는 바이다. 국내에서도 많은 랜섬웨어 피해자가 생기고 있는데, 예방을 하기 위한 방법 또한 존재한다.

안랩 안티랜섬웨어 툴(https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=120) 은 예방에 있어 정말 좋은 프로그램이다!

내가 대학생신분으로서 교수님과의 메일 주고받기 및 네이버 중고나라 등에서 이메일을 사용할 때에 많은 스팸메일이 도착해있는 것을 확인할 수 있는데, 이 스팸메일들도 랜섬웨어 중 하나일 수 있을 만큼 랜섬웨어는 우리 주변에서 서식하고 있다. 랜섬웨어 복구에 조금이라도 힘이 되었으면 좋겠다.

여담 :

긴 글 읽어주느라 고생했고, 글을 읽고 랜섬웨어 복구에 성공하기를... 인스타그램 친구는 포맷을 진행했다.. (__).. 미안해