랜섬 제작자의 입장에선
2017.06.13 01:33
랜섬웨어 걸려본 적은 없지만 문득 모순 같은게 생각나서 글을 써봅니다.
랜섬웨어 제작자의 입장에선 과연 해제키를 보내주는게 맞을까요, 아님 안보내주는게 맞을까요?
해제키를 보내주자니 꼬리가 잡힐 수 있을테고, 안보내주자니 입소문이 퍼져서 매출?이 감소할 수 있을테고.
(아마 해제키를 보내준다는 확증만 있다면 기꺼이 결제하실 분이 많을 것 같네요)
그리고 비트코인 안써봐서 모르겠지만 송금시에 첨부 메세지 같은게 있나요?
그런게 없으면 자신의 랜섬웨어 감염자 중 누가 송금한건지 특정할 수 없을텐데요.
(있다면) 입금된 비트코인을 일부 돌려주면서 메세지로 해제키를 줄 수 있을테고, (꼬리가 잡히기 어려움)
(없다면) 두말할 것도 없이, 비트코인을 보낼 의미도 없겠죠.
랜섬웨어 예방에 대해 제 경우에는 코모도 방화벽의 HIPS 기능을 이용해서 특정 확장자(랜섬웨어의 대상들)를 만들거나 수정하려 시도하는 프로세스에 한해 경고창을 띄우는 식으로 대응하고 있습니다. 어떻게 제 컴퓨터에 접근해오든 특정 확장자를 건들기만 하면 경고가 뜨기 때문에 미연에 방지할 수 있죠. 시스템 프로세스가 바꿔치기 당하기라도 하지 않는 한에는요. 물론 이 부분은 백신이 대응해야겠죠.
(HIPS 기능이 완전 수동이라는 단점이 있긴 합니다. 제가 보기에는 장점이지만요)
HIPS 기능을 이용하여 시작프로그램 등록이나 작업 스케쥴러 등록 등등도 미연에 방지할 수 있기 때문에, 기회가 된다면 팁글을 작성해 볼까 생각중입니다.
결론은 랜섬웨어에 안 걸리면 이런 고찰을 할 필요도 없다는 겁니다.
다들 랜섬웨어 조심하세요~
댓글 [12]
-
현규 2017.06.13 03:04
-
정야 2017.06.13 04:21
물론 추적 안당하고 송금 받을수 있습니다. 비트코인이니까요. 추척받지 않고 해제키를 보내주는 게 어렵겠죠.
랜섬웨어 감염경로는 취약점을 이용해서 오기에 백신 등등으로 대비해도 뚫릴땐 뚫리죠. 주로 플래시 취약점으로 와서 플래시만 주의하면 됐는데 저번에는 SMB 취약점으로 오기도 했었죠.
어느정도 주의만 해도 누구든 랜섬웨어를 피할 수 있지만, 신종의 최초 감염자라면 누구든 될 수 있다고 생각하여 대비하고 있습니다. 그 점에서 주요 확장자 파일의 수정을 감시하는건 가장 강력한 예방이라고 생각합니다.
-
현규 2017.06.13 09:04
추적 안당하고 해제키 보내주는 것이 쉽다고 한것이 아니고요, 가능은 할것이라는 이야기입니다.
(감염당한 사람이 컴맹에 문장 해독이 어려운 경우면 많이 어려울수도..컴맹들이 대체로 메시지대로 하면 되는데도 그것도 못해서 컴맹이죠ㅋ;;)
추세가 안주는 쪽일 거라는겁니다.
그렇게까지 수익을 극대화하려들지는 않을듯 하다는 것이죠.
예방은 님 말마따나 다양하게 하는 것이 좋은거 맞아요. 제 글에도 그렇게 썻구요.
근데 저는 그렇게 안한다는 이야기일뿐~
-
DarknessAngel 2017.06.13 04:29
비트코인등의 가상 화폐경우 실물등으로 환금하는 과정을 잡지 않는한 구조상 추적이 불가능합니다
이외에 이메일등으로 키 보내주는 경우에도 익명으로 쓸 수 있는곳도 많고, 어차피 저런거 돌릴려면 C&C나 파일 유포용 좀비 서버가 필요하므로 그걸 장만할 능력이 될 정도면 메일 발신용 좀비 서버도 조달 가능합니다
-
정야 2017.06.13 04:32
비트코인으로 송금할 경우, 제작자는 과연 누가 송금한 것인지 알 수 있냐는 것이 관건이지요.
랜섬웨어 걸려본 적은 없지만, 혹시 걸린 측에서 익명 메일 서비스를 이용해서 제작자에게 정보를 보내도록 지시하던가요?
이 과정이 없다면 돈을 보내는 것은 완전한 무의미로 단정하고 빠르게 단념?할 수 있을듯 하네요.
-
DarknessAngel 2017.06.13 16:54
tor등 익명화 가능한 수단으로 보통 연락하게 메세지 뜨고, 고유 식별키 생성해서 암호화시 서버로 전송하는 방법등으로 식별 정보를 수집하게 되어있습니다 (랄까 일정 기간내에 쓰는키를 통일해두면 간단하게 해결될 문제고, 자가 소멸되지 않고 백도어로 남아있는 패턴등도 있으므로 방법은 얼마든지 있습니다)
-
마스크 2017.06.13 06:53 램섬웨어 제작자 입장에서는 해제키를 보내주는 것이 맞습니다.
현재 세계에서 가장 유명한 랜섬웨어인 Cerber가 지금까지 계속 유명한 랜섬웨어로 유지하는 것도 돈을 받고 있기 때문입니다.
수익이 없으면 지금까지 유지될리가 없죠. 그리고 오랫동안 수익이 있다는 것은 해제키를 보내고 있다는 의미도 됩니다.
또 오랫동안 유지되었다는 것은 잡히지 않는다는 의미도 됩니다.
https://www.ddaily.co.kr/news/article.html?no=146647
-
정야 2017.06.13 07:03
저도 보내줘야 수익이 난다고 생각하긴 했죠.
어떻게든 안잡히고 있나보네요.
-
부는바람 2017.06.13 09:57
논란이 되고 있는 그 모든행위를...
건전한 건설적인 용도에 사용한다면 획기적인 발전을 거듭하여 역사에 길이남을 인물들이 될터인데...
그저그런 이슈 모퉁이만 차지하는 분(?)들이란 허접쓰레기로 치부 되는것이 안타깝군요.
예전에 해커라고 명성을 떨치던분들이 건전한 쪽으로 발탁된후
그저그런 샐러리먄으로 둔갑되어 별로 빛을 보지 못하는것과 연관이 있을까요?
오로지 해킹의 궁극적인 목표는 해커라야하고 (해커 방지에 전념하는 분은 사회적인 분위기가 별볼일 없게 추락시키는 듯한 느낌)
랜섬도 랜섬유포자라야만 하는건지도...
버이러스는 취미(?)활동이어서 그런지 별로 주목을 받지 못하고 안티업체의 배만 불려주고 있습니다.
-
한글 2017.06.13 12:23
랜섬웨어에 대한 강좌 부탁 드려봅니다.
코모도 방화벽 설정이 영어라서 어려워 보이네요.
-
dhhan90 2017.06.13 14:41
코모도 방확벽에서 지원하는 sandibox 사용했을때 랜섬웨어로부터 방어가 안되나요??
-
정야 2017.06.14 01:28
랜섬웨어가 들어있는 프로그램(혹은 브라우저)을 샌드박스로 실행했을 경우에만 방어가 됩니다.
추적 안당하고 송금받을 방법이 그리 어렵다고 보지 않습니다. (잘은 모르지만)
암튼 돈을 받는게 목적이라면 받기는 받아야할테고,,,
추적받지 않고 키를 보내주는 방법도 있다고 봅니다.
근데, 키는,
안보내준다가 대세일거라고 봅니다.
다급해진 어리버리 사용자가 지푸라기라도 잡는 심정으로 보내는 심리를 이용할것으로 보입니다.
예방은 다양해야 합니다.
백신, 방화벽, 보안규칙, ...
그리고 가장 중요한 것은, 다양한 방법으로의 백업과 백업의 물리적 분리죠.
근데 저는 귀찮아서,
다양한 백업과 백업의 분리만 시행하고 있습니다.
(여차하면 운영체제도 빨리 복구해야 하니, Ghost 포함)
귀찮은 이유중 하나는 랜섬이고 바이러스고 피싱이고
걸린적이 없고, 혹여 걸린것을 인지하지 못하고 걸렸을지라도 피해본적이 없거든요.
(이상한데 안들어가고 이상한거 같으면 실행시키지 않고, 뭔 소문이 들면 조심하고, 정 이상해도 실행해야 할거 같으면 백업부터 하고 실행하고 좀 보다가 복구해버리고)