HOME > 분석항목
랜섬웨어 복구
top_01.pngtop_02.pngtop_03.png
디지털포렌식이 필요한 지인들에게 디로그포렌식을 소개해 주세요.
랜섬웨어의 정의
랜섬웨어는 몸값(Ransome)과 소프트웨어(Software)의 합성어로 사용자의 동의 없이 불법적인 방법으로 악성프로그램을 설치하여 시스템을 잠그거나 사용자의 데이터를 암호화하여 사용할 수 없도록 합니다.

주로 문서파일이나 사진등을 암호화하여 접근이 불가능 하도록 만들고 이를 인질로 결제를 요구하는 사이트를 보여주며 결제를 유도하는 방식이며 대부분 토르(Tor)브라우저 기반의 결제홈페이지를 이용하여 비트코인으로 결제하기 때문에 추적이 매우 어려워졌고 비트코인으로 인해 각종 랜섬웨어들이 우후죽순처럼 생겨나 급격히 유행하기 시작했습니다.

통계자료에 따르면 2016년에는 이전에 비해 3배 이상 랜섬웨어의 피해를 당했으며 피해액도 지속적으로 늘어나고 있습니다.
랜섬웨어의 복구 절차
랜섬웨어 감염
구 분
무료 배포도구를 이용
백업파일이나 무료 복구도구가 없는 경우
처리 방법
복구 도구를
이용하여 직접 복구
몸값(복호화코드 발급비용)
지불 후 코드를 이용하여 복구
디로그포렌식 복호화
기술에 의한 복구
사후 처리
재발방지 조치 후 사용
재발방지 조치 후 사용
특 징
무료이나 지원도구가
많지 않음
몸값(종류에 따라 요구비용 다름) +
대행 수수료 발생 (20만원)
몸값만 지불되는 경우가 있음
자체 기술로 복구가 가능한 경우
합리적인 비용청구
디로그포렌식에서는 암호화 및 파일시스템 기술을 기반으로 랜섬웨어 복구기술로 자체적인 처리를 하고 있습니다.

모든 랜섬웨어에 대응하지 못하고 있지만 복호화가 가능한 경우 합리적인 비용으로 처리하여 고객에게 도움을 드리고자 노력하고 있습니다.
자체기술로 처리가 되지 않는 경우에는 고객의 동의를 얻어 대행을 진행하고 진행사항에 대해서는 고객과 공유하여 투명하게 관리하고 있습니다.
랜섬웨어의 종류
CryptoLocker
CryptoWall
Police Ransomware
Winlock
CTB-Locker
(CryptoLocker)
(CryptoWall)
(Police Ransomware)
(Winlock)
(CTB-Locker)
Jigsaw Ransomware
FBI Ransomware
TeslaCrypt
Trojan-Ransom.Win32.Scraper
Oleg Pliss
(Jigsaw Ransomware)
(FBI Ransomware)
화면 잠금형 랜섬웨어
(TeslaCrypt)
파일 암호화형 랜섬웨어
(Trojan-Ransom.Win32.Scraper)
(Oleg Pliss)
랜섬웨어가 감염되는 경로
웹사이트를 통한 감염
웹사이트를 통한 감염
웹사이트의 경우 신뢰할 수 없는 사이트를 통해 감염되며 주로 음란물과 무료게임 사이트 등 보안 관리가 잘되지 않는 사이트에서 다운로드를 통해 감염됩니다.
기술적으로 진화하여 단순히 홈페이지를 방문하는 것만으로도 감염될 수 있습니다.
사용자가 웹사이트에서 방문하는 자체만으로도 사용자 모르게 악성코드가 다운로드되어 감염되는 drive by download 라는 공격방법을 사용합니다.
스팸메일
스팸메일
출처를 모르는 이메일 수신시 첨부파일이나 URL 링크를 통해 악성코드에 감염되는데 모르는 주소에서 받은 첨부파일의 실행 또는 URL링크 클릭시에는 각별히 주의가 필요합니다.
최근에는 견적서 또는 보고서형태의 제목으로 발송이 되어 자세히 보지 않으면 착각을 하기도 해서 더욱 주의가 필요합니다.
출처가 명확한 첨부파일이라도 일단 PC에 저장한 후 백신으로 검사하고 열어보는 것이 좋습니다.
파일공유 사이트
파일공유 사이트
성인물이나 유료프로그램을 무료로 다운로드 할 수 있는 토렌트 등 p2p 사이트를 통해 악성코드를 배포하고 있습니다.
유명한 동영상에 악성코드를 심고 다운로드 후 실행하면 악성코드에 감염되는 방법은 고전적인 방법으로 이에 대한 주의가 필요합니다.
랜섬웨어를 예방하는 방법
1. 출처를 모르는 이메일과 링크는 실행하지 않습니다. 특히 첨부파일을 열어보지 않습니다.
2. 해외 파일 공유사이트에서 파일 다운로드에 주의합니다. 특히 토렌트, 성인물, 무료다운로드 사이트가 랜섬웨어의 주요 출처입니다.
3. 블로그나 해외사이트에서 제공하는 유틸리티는 설치하지 않습니다. 공식홈페이지를 접속해서 설치하세요.
4. 백신을 설치하고 최신버전으로 업데이트해서 사용하며 소프트웨어도 가능하면 최신 버전으로 업데이트해서 사용합니다.
5. 중요한 자료는 정기적으로 다른저장매체에 백업을 합니다.
주식회사 디로그   /   사업자등록번호 : 549-81-00329   /   대표 : 김희성   /   서울시 성동구 성수이로 22길 37, 1307호(성수동2가, 아크밸리)
Copyright 2010. DLOG all rights reserved.