랜섬웨어 종류

CryptoWall 3.0

랜섬웨어는 감염 메일또는 웹페이지, P2P등으로 감염되며, 파일 또는 일반 오피스 문서파일에 위장하여 배포 됩니다.

CryptoWall 3.0의 경우 js확장자를 가진 자바스크립트 실행 또는 office파일 속에 심어진 실행 파일로 감염 될 수 있습니다.

작성 글은 수집된 랜섬웨어 js확장자를 통해 감염되는 과정을 설명 드립니다.

랜섬웨어가 동작할 때 아래와 같은 메시지가 나타나며, 동일한 증상이 PC에 발생할 경우 CryptoWall 3.0을 의심하고 바로 PC를 종료해야 피해를 최소화 할 수 있습니다.

감염 후 파일이 모두 암호화되면 3개의 창이 화면에 나타나며, 데이터가 있는 폴더를 확인하면  4개의 파일이 문서가 있는 폴더마다 생성된 것을 확인할 수 있습니다.

모든 폴더가 아래와 같이 감염이 된 경우 파일 복원은 매우 어려우며, Windows 시스템 보호기능을 정기적으로 백업 하신 경우 본사이트의 “ 침해시 대처 방법” 란을 확인하여 복원을 시도할 수 있습니다.

침해시 증상은 Office문서(hwp,doc,docx,xls,xlsx,ppt,pptx,pdf 외 다수),  이미지파일(jpg,psd,ai 외 다수) 압축파일, txt파일을 포함하여 70여가지 확장자를 암호화 합니다.

암호화된 파일은 notepad 로 열었을 때 파일 헤더 값이 변경되었음을 확인할 수 있습니다.

랜섬웨어 감염파일은 아래 위치에서 감염파일을 실행하여 PC를 감염시킵니다.

해당 파일들은 랜섬웨어 감염 후 생성되며, 실행은 랜덤한 숫자 bat파일이 생성되어 이미지에 있는 파일들을 실행 합니다.

랜섬웨어는 PC의 데이터를 1회 감염시킨 후 프로그램은 더 이상 동작하지 않습니다.

감염시 데이터 암호화는 PC에 연결된 모든 드라이브, 폴더의 데이터를 암호화 합니다.

 - Cloud 저장소 : Daum Cloud, N Driver, dropbox, google Drive 등

 - Local 저장소 : Local Drive, NetWork Dirve, 외장 HDD 등

감염 후 PC가 재 부팅되면 감염시 생성되는 JPG,TXT,웹창을 열고 아래와 같은 추가적인 화면을 보여줍니다. 인증코드를 입력하면 추가 설명 화면을 확인할 수 있습니다.

코드를 입력하고 접속시 비용 지불 페이지가 나타나고 기간내에 지불을 하지 않을 경우 비용이 2배가 됨을 표시합니다.

사용하는 PC내에서 몇 개의 파일이 암호화 되었는지 표시하여 주며 테스트로

512k이하 파일을 복원하게 해주며, 등록한 파일은 정상적으로 복원됩니다.

현재,  비용을 지불한다고 해서 전체파일을 복원해 준다는 보장이 없으므로 비용 지불은 권장하지 않습니다.

랜섬웨어 감염파일 복원방법에 대하여 아직은 복원방법이 없으나 랜섬웨어침해센터 내에서 복원 방법을 연구 중에 있습니다.

이상 침해 과정을 설명드렸습니다.

앞으로 랜섬웨어에 감염되지 않게 조심하시고, 정기적으로 개인의 데이터를 백업하여 데이터를 보호 하는 것을 권장합니다.

클라우드백업 바로가기