2013년 CryptoLocker가 나타난 이후 파일을 암호화하는 랜섬웨어는 재앙급 사이버 위협이 되었습니다. E-mail, 구독, 스팸 캠페인, 드라이버 다운로드, 인터넷 브라우저 등 어떤 방법으로든 들어올 수 있습니다. 이러한 공격에 대비되어있지 않다면 돈을 지불하거나 모든 파일을 일어버리거나, 혹은 둘 다일 수도 있죠. 이러한 공격에 대비가 되어있는 사람만이 이러한 공격에서 살아남을 수 있습니다.

랜섬웨어는 개인의 피해에서, 지금은 기업의 문제로 자신의 수준을 레벨 업 시켰습니다. 지난 2년간 랜섬웨어의 공역은 급속히 퍼지고 있는데요. 최근의 Bromium report에따르면, 2013년부터 랜섬웨어의 종류는 매해 2배씩 늘어났으며 이에 지불된 금액은 600% 늘었다고 합니다.

 

Understanding recent ransomware threats

랜섬웨어는 인터넷 등으로 열려있는 원격 데스크톱 프로토콜을 통해서도 퍼질 수 있습니다. 또한 외부 백업 드라이브, USB드라이버, Cloud 저장 장치, 연결된 네트워크 폴더 등 어떤 것이든 몸값을 위해 암호화할 수 있습니다.

지난 몇 년간 수없이 조명받은 두가지 랜섬웨어를 소개합니다.

1. CryptoWall : C,D,E 등의 이름이 붙은 곳의 파일이라면 각 파일을 하나하나 꼼꼼하게 체크하여 시스템을 건드리지 않는 선에서 복사하여 암호화 한 뒤 원본을 삭제합니다. 이 랜섬웨어의 목적은 피해자로부터 암호화를 해제할 코드를 돈과 교환하는 것입니다. 이 파일은 주로 E-mail이나 제조사 이외에서 다운로드한 드라이버 혹은 광고 클릭등을 통해서 퍼집니다. 이후 완료되면 모든 폴더에 세가지 파일을 남깁니다.
DECRYPT_INSTRUCTION.txt
DECRYPT_INSTRUCTION.htm
DECRYPT_INSTRUCTION.url

2. TeslaCrypt : 가장 최근의 랜섬웨어 중 하나인 이것은 안전하지 않은 인터넷 서핑이나 JavaScript가 포함된 E-mail을 통해서 퍼집니다. 이 이메일은 대체로 Invoice나 DOC, Info같은 단어를 포함합니다. 포함된 악의적인 첨부를 열게 되면 자동으로 TeslaCrypt를 설치합니다. TeslaCrypt 2.2(2015년 겨울 기준 최신 버전)은 사용자의 파일을 압축한 뒤 이름 뒤에 .VVV를 붙입니다. 이 랜섬웨어 역시 어떻게 돈을 지불하고 키를 받을 수 있는지를 안내합니다.

 

Reactive vs proactive

OS를 포함한 모든 소프트웨어, 인터넷 브라우져, 플러그인을 항상 최신으로 유지하세요. 랜섬웨어는 오래된 버전의 취약성을 잘 알고 있습니다.

랜섬웨어에게 생각없이 Yes를 누르는 조직의 멤버는 더없이 충실한 하인일 것입니다. 그런 사람은 아마도 자신의 행동이 조직 전체를 위협한다는 것을 인지하지도 못하겠지만요. 조직에서도 개개인에 대한 보안 트레이닝이 필요할 것입니다.

규칙적인 백업은 정말 중요합니다. 오프라인과 외부에 주기적으로 백업을 하는 계획을 세우세요. 항상 백업 파일을 체크하시고 언제는 복구할 수 있도록 준비하세요.

 

랜섬웨어가 직접 연결된 기기는 물론, 네트워크로 연결된 파일이나 네트워크로 묶인 다른 기기까지 노릴 수 있게 됨에 따라 오프라인 백업 전략은 랜섬웨어에 들어갈 비용을 지켜줄 것입니다. 백업이 끝나면 해당 매체는 네트워크로부터 완전히 단절시켜야 함을 명심하세요.

 This post was written as part of the Dell Insight Partners program, which provides news and analysis about the evolving world of tech. Dell sponsored this article, but the opinions are my own and don’t necessarily represent Dell’s positions or strategies.

원본 : Save the ransom: How being prepared and proactive foils the plot