크립토락커

크립토락커
분류	트로이목마
유형	랜섬웨어
아형	크립토바이러스
격리일	2014년 6월 2일
영향을 받는 운영 체제	윈도우

크립토락커(CryptoLocker)는 마이크로소프트 윈도우 운영 체제를 사용하는 x86 컴퓨터를 대상으로 한 랜섬웨어 트로이목마로,^[1] 2013년 9월 5일경부터 본격적으로 배포되기 시작한 것으로 여겨진다.^[2] 크립토락커는 주로 이메일 첨부 등의 수단으로 감염되었다. 최근 크립토락커를 비롯한 대부분의 랜섬웨어는 구 버전 인터넷 익스플로러, 플래시의 취약점을 이용하여 드라이브 바이 다운로드(Drive by Download) 방식으로 감염된다. 사용자가 모르는 사이에 자동으로 바이러스가 감염 및 실행되므로 주의가 필요하다. 플래시의 취약점을 이용하기에, 광고(대부분의 광고는 플래시를 사용하는데, 이 광고 서버가 해킹되어 크립토락커 바이러스가 심어진 경우가 많다.)가 이상할 정도로 많이 뜨는 사이트의 접속을 자제하고, 플래시를 사용하지 않거나, 플래시 자동 실행을 방지하는 플러그인을 설치하는 방법도 좋은 방법이다.

감염되었을 경우 로컬 및 연결된 네트워크의 드라이브에 저장된 파일들을 2048비트 RSA 공개키 방식의 공개키로 암호화하며, 복구하기 위한 개인키는 크립토락커를 조종하는 서버에만 저장한다. 그 뒤 크립토락커는 데이터를 복구하고 싶으면 특정 시간까지 돈을 지불하라(추적을 피하기 위해 주로 비트코인 등의 수단을 사용한다)고 요구하고, 제한시간이 지나면 암호키를 삭제할 것이라고 협박한다.

크립토락커 프로그램 자체는 쉽게 제거 가능하나, 크립토락커에 의해 암호화된 파일을 복구하는 것은 해커에게 돈을 지불하고 복구하는 방법 말고는 없다. 일부 데이터 복구 업체에서는 크립토락커에 걸린 피해자들의 절박한 심리를 이용하여 "크립토락커에 의해 암호화된 파일을 복구해 주겠다"라며 비싼 비용을 요구하고 있다. 그러나 이는 실질적으로 불가능하므로, 해커에게 비용을 지불하고 복구하거나, 모든 파일을 포기하고 포맷하는 방법밖에는 없다.

여러 가지 변종이 제작 및 배포되었으며, 이 중에는 한글화된 버전도 존재한다. 또한 크립토락커를 비롯한 랜섬웨어에 의한 피해는 점점 증가하고 있는 추세이다.

각주[편집]

↑ “You’re infected—if you want to see your data again, pay us $300 in Bitcoins”. 《Ars Technica》. 2013년 10월 23일에 확인함.
↑ Kelion, Leo (2013년 12월 24일). “Cryptolocker ransomware has 'infected about 250,000 PCs'”. 《BBC》. 2013년 12월 24일에 확인함.

이 글은 보안에 관한 토막글입니다. 여러분의 지식으로 알차게 문서를 완성해 갑시다.

[ars-cryptolocker-1] “You’re infected—if you want to see your data again, pay us $300 in Bitcoins”. 《Ars Technica》. 2013년 10월 23일에 확인함.

[bbc241213-2] Kelion, Leo (2013년 12월 24일). “Cryptolocker ransomware has 'infected about 250,000 PCs'”. 《BBC》. 2013년 12월 24일에 확인함.

[1]

[2]