랜섬웨어의 종류

참고 링크 : 

- [나무위키] 랜섬웨어

- [ViRobot] [보안정보] 알기 쉬운 랜섬웨어(Ransomware)

- [한국랜섬웨어침해대응센터] 랜섬웨어 종류

2005년부터 랜섬웨어가 대량으로 출몰하기 시작하였으며, 2013년까지 유행하던 유형은 화면을 잠그고 사용자들의 불편을 초래하거나 불안감을 조성하여 금전을 요구하는 방식이었다.

초기의 랜섬웨어는 유럽, 북마 등에서 많은 사용자들에게 피해를 입혔으며 마이크로소프트사의 보안 패치 및 안전모드로 부팅하는 등의 대응법이 계속 발전하자 2013년 중요 문서들을 암호화 시키는 Crypt0L0cker가 출현하게 되었다. Crypt0L0cker는 RSA-2048 등의 암호화를 사용하여 공격자가 아니면 암호화를 해제하기 힘들게 제작되었기 때문에 많은 피해가 발생하였다. 국내에도 스팸메일 등으로 유입되어 피해가 발생하기 시작하였다.

랜섬웨어에는 크게 화면 잠금형 랜섬웨어, 파일 암호화형 랜섬웨어가 존재한다.

2013년

Crypt0L0cker

2014년

TeslaCrypt & AlphaCrypt

3월 : CryptoDefense

6월 : CryptoWall

10월 : CryptoWall2.0, TorrentLocker

2015년

1월 : CryptoWall3.0, CTB-Locker

4월 : TeslaCrypt & AlphaCrypt, Crypt0L0cker 아시아지역을 주타겟으로 공격 (시만텍 정보), 클리앙사건으로 웹사이트 방문만으로 랜섬웨어 감염

8월 : NK_, VO_, TeslaCrypt 2.0 (.aaa)

9월 : TeslaCrypt 2.0 (.abc)

10월 : TeslaCrypt 2.1 (.ccc)

11월 : CryptoWall4.0, TeslaCrypt 2.2 (.vvv)

2016년

1월 : TeslaCrypt 3.0 (.xxx, .ttt, .micro), 7ev3n

2월 : TeslaCrypt 3.0 (.mp3), Locky

3월 : Crypted, TeslaCrypt 4.0 (확장자 변조 무), Cerber

4월 : TeslaCrypt 4.1 (확장자 변조 무), 7ev3n-HONE$T, CryptXXX

5월 : CryptXXX2.0, CryptXXX3.0, UltraCrypter(.cryp1)

6월 : UltraCrypter(.crypz), UltraCrypter(.랜덤확장자)

줄이 쳐져 있는 것은 현재 해결이 된 랜섬웨어를 의미한다. 아래의 종류는 극히 일부분이고 이 외에도 매우 많은 종류가 있다.

Crypted

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: Crypted

JS.Nemucod (자바스크립트 트로이목마) 다운로더를 통해 배포한다.

E-mail 첨부파일(.js)을 이용한다.

위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행한다. (방화벽 장비 무용지물)

특징

- 파일의 확장자를 crypted로 변경한다.

- 파일을 암호화한 폴더내에 1개의 파일을 생성한다. (DECRYPT.*)

- 생성한 파일 내 웹사이트 주소는 요구 비용 지불 후 접속 가능하다.

SynoLocker

시놀로지 NAS에 감염되는 랜섬웨어이다.

나부커 (=NsbLocker)

가장 약한 형태의 랜섬웨어이다. 복호화키를 요구하지 않기 때문에, V3를 포함한 일반적인 백신으로도 암호해제가 가능하다.

CryptoLocker

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: Crypt0L0cker

특징

- 파일의 확장자를 encrypted로 변경한다.

- 파일을 암호화한 폴더내에 2개의 파일을 생성한다. (DECRYPT_INSTRUCTIONS.* / HOW_TO_RESTORE_FILES.*)

- 시스템 보호 기능의 백업본을 삭제 후 동작한다.

CrptoWall (=CryptoDefense) 

잘 알려진 랜섬웨어들 중에서도 큰 몸값을 요구하기로 유명. 현재 가장 빈번하게 사용되고 있는 랜섬웨어이다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: CryptoWall 3.0 예방

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: CryptoWall3.0

크립토월 (CryptoWall)은 감염시 특정 확장자 파일을 RSA-2048 알고리즘을 이용하여 암호화하고, 해당 폴더에 4가지 파일을 남긴다. HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, HELP_DECRYPT 해당 파일에는 RSA-2048 알고리즘이 무엇인지, 복구 방법은 무엇인지, 파일을 정상화 하려면 어떻게 해야 하는지에 대해 설명해주며, 그 대가로 사용자에게 금전을 요구한다.

특징

- 파일의 확장자를 변조하지 않는다.

- 파일을 암호화한 폴더내에 3~4개의 파일을 생성한다. (HELP_DECRYPT.*)

- 파일의 고유 서명값을 위변조한다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: CryptoWall4.0

특징

- 파일의 파일명과 확장자를 랜덤한 영문과 숫자의 조합으로 변경한다.

- 파일을 암호화한 폴더내에 3개의 파일을 생성한다. (HELP_YOUR_FILES.* / INSTRUCTIONS.*)

- 파일명을 변경시킨 최초의 랜섬웨어이다.

NK_, VO_

사용자 계정을 악성코드로 탈취하여 PC or Server에 원격 (Terminal) 접근하여 Windows 작업 스케줄러에 랜섬웨어 감염파일을 등록하여 동작한다.

특징

- 파일명 앞에 NK_, VO_ 문구가 생성된다.

- 파일을 암호화한 폴더 내에 1개의 파일을 생성한다. (NK_IN YOUR FILES.*/VO_IN Documents.*)

- Windows 작업 스케쥴러에 프로그램을 등록시킨다. (1.bat, sysdll.exe)

감염 파일 위치 >> C:Users%LoginAccount%AppDataRoamingSystemTempFolder

다른 랜섬웨어와의 차이점

- 특별한 랜섬웨어 명칭 (CryptoWall, Crypt0L0cker 등)이 없다.

- 기존 PC 공격에서 서버 DB 공격으로 진화하였다.

- 기존 서버 기반에서 E-mail 기반 프로그램으로 변화하였다.

- 기존 랜섬웨어와 다르게 OS 실행 시 동작하게 설정되어 있어 장비가 부팅되면 계속 동작한다. (Windows 작업 스케쥴러에 등록된 감염파일 (1.bat, sysdll.exe)를 삭제해줘야 한다.

Cerber

2016년 들어 이 랜섬웨어의 피해가 급증하고 있다. 이 랜섬웨어에 감염되면 .txt, .mp3, .mp4등의 확장자가 암호화되고,암호화된 파일이 있는 폴더에는 # DECRYPT MY FILES #(내 파일을 복구하는 법) 이라는 텍스트 파일과 "Attention. Your documents, photo, database and other import file have crypted."(경고. 당신의 문서,사진,데이터 그리고 다른 중요한 파일들이 암호화됐음.) 라고 반복해서 말하는 음성파일, 웹 링크 등이 추가된다.

해결 방법은 해커한테 돈을 지불하거나(돈을 지불해도 복구해주리란 보장이 없다.) 전문 복구 업체한테 연락해서 복구하는 법 밖에 없다. 복구 업체도 대락 30% 정도의 낮은 복구율을 보인다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: Cerber

특징

- 파일의 확장자를 cerber로 변경한다.

- 암호화된 파일명을 10자리 영문+숫자+특수문자로 변경한다. (_ys-sX6wE0.cerber)

- 파일을 암호화한 폴더내에 3개의 파일을 생성한다. (# DECRYPT MY FILES #.*)

- 연결되어 있지 않은 네트워크 상태에도 공유 데이터를 암호화한다. (Locky 랜섬웨어와 동일)

- PC에서 여성 목소리로 암호화 사실을 전달한다. (Attention! Attention! Attention! Your documents, photos, bases and other important files have been encrypted!)

테슬라크립토(TeslaCrypt)

크립토락커와 크립토월을 조합해서 만들어진 랜섬웨어이다. 문서파일 등 외에도 게임파일을 노린다는 점에서 개인도 주타겟으로 삼고 있고 있었다. 4.0까지 출몰하면서 복호화가 어려웠었으나, 2016년 5월 제작자가 서비스를 중단하고 마스터키를 공개하였기 때문에 TeslaDecoder툴을 받으면 복구가 가능하다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: TeslaCrypt2.0 ~2.2

특징

- 파일의 확장자를 aaa > abc > ccc > vvv로 변경한다.

- 파일을 암호화한 폴더 내에 2~3개의 파일을 생성한다. (howto_restore_file_랜덤한 5자리 영문.*/howto_recover_file_랜덤한 5자리 영문.*)

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: TeslaCrypt3.0(micro, ttt, xxx)

특징

- 파일의 확장자를 xxx, ttt, micro로 변경한다.

- 파일을 암호화한 폴더내에 2~3개의 파일을 생성한다. (how_recover_file.* / help_recover_instructions.*)

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: TeslaCrypt3.0(.mp3)

특징

- 파일의 확장자를 mp3로 변경한다.

- 파일을 암호화한 폴더내에 3개의 파일을 생성한다. (Recovery.*, _H_e_l_p_RECOVER_INSTRUCTIONS.*)

- 유일하게 기존 확장자명으로 변조되며, mp3 파일은 감염시키지 않는다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: TeslaCrypt4.0

특징

- 파일의 확장자를 변조하지 않는다. (최초 CryptoWall3.0 랜섬웨어)

- 파일을 암호화한 폴더 내에 3개의 파일을 생성한다. (RECOVER[영문 5자리].*)

- 확장자 변조가 없어 파일의 감염여부를 파악하기 어렵다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: TeslaCrypt4.1

특징

- 파일의 확장자를 변조하지 않는다. (최초 CryptoWall3.0 랜섬웨어)

- 파일을 암호화한 폴더내에 3개의 파일을 생성한다. (-!RecOveR!-[영문 5자리].*)

- 4.0버전과 마찬가지로 확장자 변조가 없어 파일의 감염여부를 파악하기 어렵다.

BitLocker

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: BitLocker를 이용한 랜섬웨어

특징

- 모든 데이터를 D 혹은 다른 드라이브로 옮긴 후 BitLocker로 암호화한다.

- 바탕화면에 PLEASE READ.txt 파일을 생성한다.

토렌트락커

2015 랜섬웨어 사태에서 퍼진 랜섬웨어인 Crypt0L0cker의 원형이다. 이름이 이름인지라 Crypt0L0cker가 크립토락커의 변형이라고 많이 알려져 있으나, 사실 Crypt0L0cker가 토렌트락커의 변형이다. 직접 구글에 영어로 torrentlocker라고 검색하고 이미지를 보면, 2015년에 유행했던 Crypt0l0cker와 매우 유사함을 알 수 있다.

크리트로니 (=CTB-Locker)

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: CTB-Locker

특징

- 파일의 확장자를 랜덤한 7자리 문자로 변경

- 파일을 암호화한 폴더내에 2개의 파일을 생성 (Decrypt All Files???????.*)

7ev3n-HONE$T

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: 7ev3n-HONE$T

특징

- 파일의 확장자를 R5A로 변경한다.

- 암호화한 파일명을 숫자로 변경한다. (1.R5A, 2.R5A..)

- 암호화 후 공용(public) 폴더 내 암호화 실행 파일, 암호화한 파일 목록 등을 생성한다.

ransom32

기존의 랜섬웨어는 웹과 관련된 취약점을 이용하여 감염되는 방면 이 랜섬웨어는 정상파일을 가장하여 사용자가 직접 다운로드 한 뒤 실행까지 해야 실행되는 랜섬웨어로 조금만 주의한다면 공격당할 가능성은 낮은편이다. node.js 로 개발되었다.

radamant 

확장자는 rrk(변종으로 rmd)이다. 한국어로 친절하게 안내해줄 뿐 아니라 알집 확장자인 alz까지 변환해버린다.

Locky

국내도 타겟으로 하는 랜섬웨어로, hwp 까지 암호화하며 Office 의 매크로를 통해 일부 기관 등에 유포되었다. 주로 스팸메일을 통하여 유포되며, 가끔씩 자신에게 쓴 메일인 척 위장하는 경우도 있으므로 주의해야 한다. 제목이 Invoice(송장), Document(문서)로 시작한다면 일단 의심하도록 한다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: Locky

특징

- 파일의 확장자를 locky로 변경한다.

- 파일을 암호화한 폴더 내에 1개의 파일을 생성한다. (_Locky_recover_instructions.*, _HELP_instructions.*)

- 바탕화면을 생성된 파일 내용으로 변경한다.

- CryptoWall4.0과 같이 암호화된 파일명을 변경시킨다. (F67091F1D24A922B1A7FC27E19A9D9BC.locky)

- 연결되어 있지 않은 네트워크 상태에도 공유 데이터를 암호화한다.

페트야(Petya)

2016년 발견된 신종 랜섬웨어로 독일의 한 기업 인사팀을 타겟으로 공격한 정황이 확인되었다. 문서 파일만 암호화하는 기존 랜섬웨어들과 달리 이놈은 아예 부팅 영역까지 건드리면서 시스템 자체를 먹통으로 만들어버린다는 점에서 상당한 악질이다.

CryptXXX

2015년에 유행했으나 2016년 4월 카스퍼키에서 복호화툴을 내놓으면서 사태가 진정되기 시작했다. 그러나 2016년 5월부터 변종이 등장함에 따라 또다시 유행하기 시작했다.

카스퍼키 복호화툴은 원본파일과 감염파일간에 용량이 차이가 안나는 부분을 이용해서 원본과 감염파일간의 대조를 통해 복구하는 데 변종은 용량을 200KB를 추가시켜 복구툴을 무력화 시킨다. 또한 헤더파일과 뒤에 의미없는 코드를 추가시켜 복구가 더욱 힘들게 만든다. 오리지날과 변종 중 자신이 걸린 것을 확인하려면 !Recovery 메모장에 RSA4096이 적혀있다면 오리지날이고 RZA4096이면 변종이다. RSA4096에 걸렸다면 카스퍼키에서 복호화툴을 다운받아 복호화하면 된다. RZA4096이라면 복호화툴은 없다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: CryptXXX

특징

- 파일의 확장자를 crypt로 변경한다.

- 파일을 암호화한 폴더 내에 2~3개의 파일을 생성한다. (de_crypt_readme.*, !Recovery_[ID].*)

- 바탕화면을 랜섬웨어 결제 안내 화면으로 변경한다.

- 실행파일(.exe)가 아닌 dll 파일 형식으로 유포한다.

- 사용자 정보를 탈취한다. (브라우저, 메일 클라이언트, 쿠키 데이터, FTP 계정 등)

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: CryptXXX2.0

특징

- 파일의 확장자를 crypt로 변경한다.

- 파일을 암호화한 폴더 내에 2~3개의 파일을 생성한다. (!Recovery_[ID].*, [ID].*)

- 바탕화면을 랜섬웨어 결제 안내 화면으로 변경한다.

- 실행파일(.exe)이 아닌 dll 파일 형식으로 유포한다.

- 사용자 정보를 탈취한다. (브라우저, 메일 클라이언트, 쿠키 데이터, FTP 계정 등)

- Kaspersky lab에서 복호화프로그램을 공개(4/25) 이후 CryptXXX2.0으로 버전이 업데이트되어 공용폴더 감염이 없고 암호화한 데이터의 크기가 원본파일보다 크다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: CryptXXX3.0

특징

- 파일의 확장자를 crypt로 변경한다.

- 파일을 암호화한 폴더내에 2~3개의 파일을 생성한다. (!Recovery_[ID].*, [ID].*)

- 바탕화면을 랜섬웨어 결제 안내 화면으로 변경한다.

- 실행파일(.exe)이 아닌 dll 파일 형식으로 유포한다.

- 사용자 정보를 탈취한다. (브라우저, 메일 클라이언트, 쿠키 데이터, FTP 계정 등)

2.0버전/3.0버전의 차이점

- 결제 화면 UI 변경 및 개선 (500KB 이하 파일 1개 복원 테스트 가능)

- 다국어 지원 (기존 11개에서 변경 후 25개, 한국 포함)

- 업데이트 이후 Kaspersky lab 복호화 프로그램으로 복원이 불가능하다.

- 업데이트 이후 해커에게 비용을 지불하여도 복원이 불가능하다.

UltraCrypter

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: UltraCrypter(.cryp1)

특징

- 파일의 확장자를 cryp1으로 변경한다.

- 파일을 암호화한 폴더 내에 2~3개의 파일을 생성한다. (![ID].*)

- 바탕화면을 랜섬웨어 결제 안내 화면으로 변경한다.

- 다국어 지원한다. (한국 포함 25개국)

- Helpdesk 기능이 생겨 복원 오류시 문의가 가능하다.

- 실행파일(.exe)이 아닌 dll 파일 형식으로 유포한다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: UltraCrypter(.crypz)

특징

- 파일의 확장자를 crypz로 변경한다.

- 파일을 암호화한 폴더 내에 2~3개의 파일을 생성한다. (![ID].*)

- 바탕화면을 랜섬웨어 결제 안내 화면으로 변경한다.

- 다국어 지원한다. (한국 포함 25개국)

- Helpdesk 기능이 생겨 복원 오류시 문의가 가능하다.

- 실행파일(.exe)이 아닌 dll 파일 형식으로 유포한다.

[한국랜섬웨어침해대응센터] 랜섬웨어 종류: UltraCrypter(.랜덤확장자)

특징

- 파일의 확장자를 랜덤한 영문과 숫자의 5자리 조합으로 변경한다.

- 파일을 암호화한 폴더 내에 2~3개의 파일을 생성한다. (@[ID].*)

- 바탕화면을 랜섬웨어 결제 안내 화면으로 변경한다.

- 실행파일(.exe)이 아닌 dll 파일 형식으로 유포한다.

TorLocker

일본에서 제작된 랜섬웨어이다. 다른 랜섬웨어와 비슷한 시스템을 채택하고 있다. 주로 일본에서만 많이 감염되는 경우가 많으며, 일본 사이트를 자주 경유하는 국내의 컴퓨터도 감염 사례가 있다. 복호화 툴은 몇가지 있지만 제대로 복구해주는 툴은 없다.