<p>컴퓨터를 마비시키고 돈을 요구하는 신종 범죄. 랜섬웨어. 들어본적이 있는가?</p><p>랜섬웨어는 몸값을 뜻하는 Ransom과 제품을 뜻하는 Ware의 합성어이며, [<strong>사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 인질로 잡아 금전을 요구하는 악성 프로그램</strong>을 말한다.](출처: 나무위키)</p><p> </p><p>지난 15일, 전 세계를 강타한 랜섬웨어의 공격 이후 처음 맞는 평일이었다. [그날 CGV에서는 영화관에 들어갔는데도 칠흑같이 어두었다. 그 이유는 15일 새벽 랜섬웨어 공격을 당한 영화관 CGV가 아직 광고 서버를 복구하지 못한 것이다.</p><p>또한 한국인터넷진흥원은 15일 오후 5시까지 9건의 피해 신고와 2,931건의 문의가 접수됐다고 밝혔다.](출처: SBS 뉴스)</p><p><br></p><p>[이런 가운데 마이크로소프트는 이번 사이버 공격에 사용된 소프트웨어가 해커들이 미국 국가안보국, NSA로부터 훔친 프로그램에서 나온 것이라고 밝혔다.](출처: SBS 뉴스) 바꿔말하자면 첩보용 프로그램을 훔쳐 범죄에 악용한 것이다.</p><p><br></p><p>랜섬웨어는 DOS시절부터 존재한 것으로 확인되었으며, 이렇게까지 전 세계적으로 큰 문제가 된 것은 비트코인 거래가 활성화 되면서 추적이 어려워지고 이때문에 잘못된 방법으로 돈을 벌고자 하는 사람들이 많아졌기 때문이라고 본다.</p><p><br></p><p>현재 우리나라에서 제일 큰 문제가 된 것은 <strong>워너크라이(wanna cry</strong><strong>)</strong>로 [2017년 5월 12일에 대규모 공격이 시작되어 전세계적으로 많은 컴퓨터에서 심각한 피해가 발생하였다. 감염되면 컴퓨터 내의 파일들이 암호화 되어 버리며, 파일 몸값으로 비트코인 300달러를 요구하는 메시지 창이 화면에 뜬다. <strong>워너크라이</strong>는 다른 랜섬웨어보다 더 지독한데, 드라이브 바이 다운로드 기법과 스펨 매일 전파 뿐만 아니라 SMB 취약점을 통해서도 급속도로 전파되며, 감염 이후 시간을 끌 수록 복호화 비용이 점점 늘어나고 7일 안에 지불하지 않으면 복호화를 더 이상 제공하지 않는다고 한다.](출처: 나무위키)</p><p><br></p><p>워너크라이에 감염되면 아래와 같은 메세지를 띄우는데</p><p><img align="center" class="wiki-image" alt="http://cdnweb01.wikitree.co.kr/webdata/editor/201705/14/img_20170514192204_127a79a0.jpg" src="https://img1.daumcdn.net/relay/cafe/original/?fname=https%3A%2F%2Fimage-proxy.namuwikiusercontent.com%2Fr%2Fhttp%253A%252F%252Fcdnweb01.wikitree.co.kr%252Fwebdata%252Feditor%252F201705%252F14%252Fimg_20170514192204_127a79a0.jpg" data-original="//image-proxy.namuwikiusercontent.com/r/http%3A%2F%2Fcdnweb01.wikitree.co.kr%2Fwebdata%2Feditor%2F201705%2F14%2Fimg_20170514192204_127a79a0.jpg"></p><p>일주일 내로 300 비트코인 (한화 약 34만원)을 입금하라고 한다. 그러나 해외 유저가 지불하였으나 돈만 가로채고 파일은 파괴되었다고 한다.</p><p><br></p><p>랜섬웨어는 현재 전 세계를 강타한 가장 심각한 IT 문제라고 해도 과언이 아니다.</p><p>이제, 랜섬웨어가 무엇인지 알았으니, 랜섬웨어에 대한 대비책을 살펴보도록 하자.</p><p><br></p><p><strong>[안티바이러스(바이러스 백신 소프트웨어)에서 랜섬웨어가 탐지되어 차단되었다는 메시지를 보인다면 더 이상의 문제는 없으니 안티바이러스를 통해 시스템 정밀 검사를 실행하고 추후 재발 방지 대책을 세우면 된다.</strong></p><li><p><strong>crypt, vvv, zepto, fun 등이나 알 수 없는 명칭들로 확장자가 변환되고, 랜섬웨어 협박문과 함께 타이머가 보이기 시작한다면 바로 아래 대처법을 시행해야 한다.</strong></p></li><li><p><strong>이 방법은 안전 모드가 작동이 가능한 경우에만 해당되며, 안전 모드를 복구할 수 없다면 랜섬웨어에 의해 암호화된 파일을 별도의 저장소에 백업하고 감염된 PC에 Windows를 재설치한 후 아래 4번 항목부터 진행해야 한다.</strong></p></li><li><p><strong>하드디스크의 MBR이 암호화되는 랜섬웨어(페티야/미스차, 골든아이, 사타나 등) 일 경우 운영체제 진입이 되지 않으므로 별도의 복구 방법을 사용해야 한다.</strong></p></li><p><br>1. 우선 데스크탑의 경우 <u>전원 플러그를 뽑아야 한다.</u> 노트북이라면 강제 종료를 하거나 배터리를 탈착해야 한다.<br>2. <u>안전 모드로 진입한다.</u> Windows 7 까지는 2.1, Windows 8 부터는 2.2, 2.2.1 항목을 참고한다.</p><div class="wiki-indent"><p>2.1. <strong>(Windows 7 까지)</strong> 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 버튼으로 '안전 모드(네트워킹 사용)' 을 선택한 후, 'Enter' 키를 눌러 진입한다.<br>2.2. <strong>(Windows 8 부터)</strong> 명령 프롬프트(cmd)를 실행하여 다음 명령어를 입력한 후, 키보드의 'Enter' 키를 누른다.</p></div><div class="wiki-indent"><p>2.2.1. <strong>(Windows 8 부터)</strong> 시스템이 다시 시작 되어 옵션 선택 화면이 나오면 '문제 해결', '고급 옵션', '시작 설정', '다시 시작' 버튼을 차례대로 클릭한다. 한 번 더 재 시작이 되면 숫자 를 키보드로 입력한다.</p></div><p>3. 안전 모드로 진입이 완료되었을 경우, 적절한 안티바이러스<u> 제품으로 검사하여 랜섬웨어를 제거한다.</u> 결제 협박문이 남아 있을 경우, 랜섬웨어 결제 안내 파일 스트립트(RFID)를 이용하여 제거한 후 <u>시스템을 다시 시작한다.</u><br>4. 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아있을 것이다. 따라서 <u>암호화된 파일이 복호화가 가능하다면 복호화 툴을 이용한다.</u> <strong>이는, 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 전부 공개하거나, 사법 당국이나 안티 바이러스 업체가 복호화 키를 찾아낸 경우에만 해당</strong>된다.<br>5. 그러나, 4번의 경우도 완벽한 건 아니라서 특정 파일이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할 수도 있다.](출처: 나무위키, 뉴시스, 알약의 워너크라이 관련 페이지) </p><p>또한, 랜섬웨어는 업무용 파일로 위장해서 오는 경우가 많고, 사용자의 휴대전화나 컴퓨터에 사전 동의 없이 강제 설치되는 경우가 많다. 그러니 평소 안티바이러스 프로그램 사용을 통한 철저한 검사, 중요한 파일들의 외장메모리 사용 및 백업의 사용을 몸에 익히는 철저한 대비가 있다면, 랜섬웨어로부터 한결 안전해질 것이다.</p><p><br></p><p>현재 국내 통신사 3사는 랜섬웨어 뿐만 아니라 워너크라이의 공격까지 원천봉쇄하도록 고도의 보안력을 보여주고 있다.</p><p>만에 하나 랜섬웨어를 발견한다면 즉각 신고하고, 그 컴퓨터의 전원을 아예 뽑는다면 파일을 건질 수 있을것이다.</p><p>철저히 대비하여 랜섬웨어로부터 안전해질 수 있도록 하자. <strong>온빛중 정승원 기자</strong><br></p>
<!-- -->
