지금까지 굉장히 많은 악성코드 사례에 대해 설명드렸었는데, 그 중 가장 많이 소개해드린 악성코드가 랜섬웨어가 아닐까 싶습니다. 공인인증서 탈취나 키로깅을 하는 개인정보 유출형 악성코드는 특정 기관에 신고해서 어느 정도 추가 피해를 방지할 수 있지만, 랜섬웨어의 경우 복구가 불가능 하면 이전의 자료를 모두 날리거나 업무 수행이 불가능해지는 등 어떻게 보면 그 피해가 더 크다고 보여지는데요. 그러다 보니 보안 업체에서 랜섬웨어 탐지 및 백업 제품과 같은 랜섬웨어 전용 보안 솔루션을 내고 있는 상황이죠. 그런데 한국인터넷진흥원(KISA)에서 랜섬웨어에 감염되더라도 복구를 할 수 있는 툴을 배포하고 있어서 오늘은 이 부분에 대해 간략히 말씀드리고자 합니다.
이번에 KISA에서 배포한 랜섬웨어 복구 툴은 하이브(Hive) 랜섬웨어 버전1부터 4까지 복구할 수 있습니다. 하이브 랜섬웨어는 2021년 6월부터 기업을 대상으로 공격하기 시작했는데요. 이 피해가 상당히 크다보니 KISA에서 이전부터 복구 툴을 만들기 위해서 연구를 진행했었고, 올해 3월에는 버전1의 복구 툴을 만들어내고 이번에는 버전4까지 복구할 수 있는 통합 복구 툴을 배포했다고 합니다. 물론 암호학적 특성상 100% 복구는 어렵다고 하지만, 그래도 만약 하이브 랜섬웨어에 감염된 후 체념하셨던 분들이라면 한 번쯤 시도해보면 좋겠죠.
자신이 감염된 랜섬웨어가 하이브 랜섬웨어인지 잘 모르시는 분들은 암호화된 파일의 확장자가 .hive거나 랜덤한 문자열로 변경되어 있는지 보셔야 합니다. 보통 마지막 부분을 보시면 동일한 문자열로 끝나는 것을 보실 수 있는데 이를 구글에 검색하셔서 하이브 랜섬웨어인지 확인하실 수 있겠죠. 그리고 암호화된 파일과 그 파일의 원본 파일을 확보하셔야 하는데, 보통 인터넷을 통해 다운로드 받은 파일의 이름을 보시고 최대한 많이 구하셔야 합니다. 암호화된 파일을 복호화하여 원본 파일과 비교해야 정확한 암호키가 나오기 때문인데 기술적인 부분은 생략하도록 하고 자세한 내용은 아래의 사이트에서 확인하시면 될 것 같습니다.
KISA 암호이용활성화 - 암호 역기능 대응 - 자료실
한국인터넷진흥원(KISA)에서는 Hive 랜섬웨어 통합 복구도구를 배포하고 있습니다. 해당 복구도구는 Hive 랜섬웨어 버전1부터 버전4까지 복구할 수 있습니다. 복구도구 사용 방법은 첨부된 매뉴얼
seed.kisa.or.kr
KISA에서는 하이브 랜섬웨어 외에도 Ragnar, REvil과 같은 랜섬웨어 복구 툴을 공개했었는데요. 사실 랜섬웨어는 한 번 감염되면 암호키를 찾기가 거의 어렵기 때문에, 복구가 불가능해서 위에서 말씀드린 랜섬웨어 탐지나 백업 솔루션도 보통 사전 대응에 초점을 맞추고 있습니다. 그런데 랜섬웨어 제작자의 실수나 설계 결함으로 인해 복구키를 알 수 있는 경우가 종종 존재하기 때문에, 랜섬웨어에 감염된 이후에도 파일을 복구할 수 있는 사후 대응 툴이 연구를 통해 나올 수 있다고 생각하시면 될 것 같습니다. 모든 랜섬웨어에 대응할 수 있는 건 아니지만, 의도치 않게 랜섬웨어에 감염되셨을 때 종류를 확인하셔서 복구 툴이 있다면 이용해 보시는 것을 추천드립니다. 그럼 오늘 글은 여기서 줄이죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 구글 소프트웨어 업데이트로 위장한 멀웨어 사례 (0) | 2022.08.13 |
|---|---|
| 딥페이크 활용한 소셜 엔지니어링 사례 (0) | 2022.08.06 |
| 악성코드 분석 서비스 개인정보 유출 사례 (0) | 2022.07.20 |
| 저작권 위반 메일 사칭한 LockBit 랜섬웨어 사례 (0) | 2022.07.16 |
| 남북공동선언 악용한 북한 해킹 공격 사례 (0) | 2022.07.07 |
댓글