Ransomware 공격 및 감염으로부터 보호하고 예방하는 방법

Ransomware 예방 및 보호 가이드에서는 Ransomware 예방과 잘못된 이유로 뉴스를 만들고 있는 새로운 멀웨어인 Ransomware 를 차단 및 예방하기 위해 취할 수 있는 조치를 살펴봅니다.

(Time)우리는 위협과 컴퓨터 사용자에게 위험을 초래하는 랜섬 웨어(Ransomware) 와 같은 새로운 멀웨어 변종에 대해 계속해서 배웁니다 . 랜섬웨어 바이러스는 파일이나 컴퓨터에 대한 액세스를 잠그고 액세스 권한을 되찾기 위해 작성자에게 몸값을 요구합니다. 일반적으로 익명의 선불 현금 바우처 또는 비트코인(Bitcoin) 을 통해 허용됩니다 . 최근 관심을 끈 특정 랜섬웨어 위협 중 하나는 FBI 랜섬웨어인 Crilock & Locker 와 별개 로 Cryptolocker 입니다.

랜섬웨어의 특징은 자체적으로(종종 이메일을 통해) 또는 백도어 또는 다운로더를 통해 추가 구성 요소로 제공된다는 것입니다. 이메일, 인스턴트 메시지, 소셜 네트워킹 사이트 또는 손상된 웹사이트에서 악성 링크를 클릭하거나 악성 이메일 첨부 파일을 다운로드하여 열면 컴퓨터가 랜섬웨어에 감염될 수 있습니다. 또한 악명 높은 바이러스와 마찬가지로 대부분의 바이러스 백신 프로그램에서 탐지되지 않을 수 있습니다. 그리고 바이러스 백신 소프트웨어가 랜섬웨어를 제거할 수 있다고 해도 많은 경우 잠긴 파일과 데이터만 남게 됩니다!

방지-암호화기-랜섬웨어

랜섬웨어를 방지하는 방법

상황이 걱정스럽고 대부분의 경우 결과가 치명적이지만 맬웨어 작성자의 규칙을 준수하지 않으면 암호화된 파일이 복구할 수 없을 정도로 손상될 수 있으므로 특정 예방 조치를 취하여 문제를 방지할 수 있습니다. 랜섬웨어 암호화를 막을 수 있습니다! 취할 수 있는 랜섬웨어 예방 조치(Ransomware prevention steps) 를 살펴보겠습니다 . 이 단계는 Ransomware(Ransomware) 를 차단하고 예방하는 데 도움이 될 수 있습니다 .

업데이트된 OS 및 보안 소프트웨어(Updated OS & security software)

Windows 10/8/7과 같은 완전히 업데이트된 최신 운영 체제 , (fully updated modern operating system)우수한 바이러스 백신 소프트웨어(antivirus software) 또는 Internet Security Suite(good antivirus software or an Internet Security Suite)업데이트된 보안 브라우저(updated secure browser) , 업데이트된 이메일 클라이언트(updated email client) 를 사용한다는 것은 말할 필요도 없습니다 . .exe 파일을 차단(block .exe files) 하도록 이메일 클라이언트를 설정합니다 .

맬웨어(Malware) 작성자는 오래된 버전의 OS를 실행하는 컴퓨터 사용자를 쉬운 대상으로 찾습니다. 그들은 이 악명 높은 범죄자가 시스템에 조용히 침투하기 위해 악용할 수 있는 몇 가지 취약점을 가지고 있는 것으로 알려져 있습니다. 따라서 소프트웨어를 패치하거나 업데이트하십시오. 평판이 좋은 보안 제품군을 사용하십시오. 맬웨어 작성자는 탐지를 피하기 위해 자주 새로운 변종을 전송하므로 맬웨어 방지 소프트웨어와 소프트웨어 방화벽을 결합한 프로그램을 실행하여 위협이나 의심스러운 동작을 식별하는 데 도움이 되도록 항상 권장합니다. Ransomware 트릭 및 브라우저 동작 에 대한 이 게시물을 읽고 싶을 수도 있습니다 .

Windows 10의 랜섬웨어 보호에(Ransomware protection in Windows 10) 대해 읽어 보세요.(Read about Ransomware protection in Windows 10.)

데이터 백업(Back up your data)

정기적인 백업(regular backups) 을 통해 컴퓨터가 랜섬웨어(Ransomware) 에 감염되었을 때 발생하는 피해를 최소화할 수 있습니다 . 사실 마이크로소프트(Microsoft) 는 최선을 다해 백업이 크립토로커 를 포함한 랜섬웨어에 대한 최선의 방어책 이라고 말했다 .

알 수 없는 링크를 클릭하거나 알 수 없는 출처의 첨부 파일을 다운로드하지 마십시오.(Never click on unknown links or download attachments from unknown sources)

이것은 중요하다. 이메일 은 (Email)Ransomware 가 컴퓨터에 침투하는 데 사용하는 일반적인 벡터 입니다. 따라서 의심스러워 보이는 링크는 절대 클릭하지 마십시오. 1%의 의심이 있더라도 - 하지 마십시오! 첨부 파일의 경우에도 마찬가지입니다. 친구, 친척 및 동료로부터 기대하는 첨부 파일을 반드시 다운로드할 수 있지만 친구로부터 받을 수도 있는 메일 전달에 매우 주의하십시오. 이러한 시나리오에서 기억해야 할 작은 규칙: 확신이 서지 않는다면 – 하지(If in doubt – DONT) 마세요! 이메일 첨부 파일을 열 때나 (when opening email attachments)웹 링크를 클릭(clicking on web links) 하기 전에 취해야 할 예방 조치를 살펴보십시오 .

RansomSaver 는 랜섬웨어 맬웨어 파일이 첨부된 이메일을 탐지하고 차단하는 Microsoft Outlook 용 매우 유용한 추가 기능입니다 .

숨김 파일 확장자 표시(Show hidden file-extension)

쇼 파일 확장자

Cryptolocker 의 진입 경로 역할을 하는 파일 중 하나는 확장자가 ".PDF.EXE"인 파일입니다. 맬웨어 는 .exe 파일을 무해한 (Malware).pdf 로 위장하려고 합니다 . .doc 또는 .txt 파일. 전체 파일 확장자를 볼 수 있는 기능을 활성화하면 의심스러운 파일을 더 쉽게 찾아 처음부터 제거할 수 있습니다. 숨겨진 파일 확장자를 표시하려면 다음을 수행하십시오.

제어판(Control Panel) 을 열고 폴더 (Folder) 옵션(Options) 을 검색합니다 . 보기(View) 탭에서 알려진 파일 형식의 확장명 숨기기 옵션을 선택 취소 합니다(Hide extensions for known file types) .

Click Apply > OK.이제 파일을 확인할 때 파일 이름은 항상 .doc , .pdf , .txt 등과 같은 확장자와 함께 나타납니다 . 이렇게 하면 파일의 실제 확장자를 보는 데 도움이 됩니다.

Disable files running from AppData/LocalAppData folders

Windows 내에서 규칙을 만들고 시행 하거나 일부 침입 방지 소프트웨어 를 사용하여 Cryptolocker 를 비롯한 여러 Ransomware 에서 사용하는 특정 동작을 허용하지 않고 App Data 또는 Local App Data 폴더 에서 실행 파일을 실행합니다 . Cryptolocker Prevention Kit 는 (Cryptolocker Prevention Kit)App DataLocal App Data 폴더에서 실행되는 파일을 비활성화하고 Temp 에서 실행 파일이 실행 되지 않도록 그룹 정책(Group Policy) 을 만드는 프로세스를 자동화하는 Third Tier 에서 만든 도구입니다 .다양한 압축 해제 유틸리티의 디렉토리.

애플리케이션 허용 목록(Application whitelisting)

애플리케이션 화이트리스트 는 대부분의 IT 관리자가 승인되지 않은 실행 파일이나 프로그램이 시스템에서 실행되는 것을 방지하기 위해 사용하는 좋은 방법입니다. 이렇게 하면 허용 목록에 포함된 소프트웨어만 시스템에서 실행할 수 있으므로 알 수 없는 실행 파일, 맬웨어 또는 랜섬웨어를 실행할 수 없습니다. 프로그램을 화이트리스트에 추가하는 방법을 참조하십시오 .

SMB1 비활성화(Disable SMB1)

SMB 또는 서버 메시지 블록(Server Message Block) 은 컴퓨터 간에 파일, 프린터 등을 공유하기 위한 네트워크 파일 공유 프로토콜입니다. SMB ( 서버 메시지 블록(Server Message Block) ) 버전 1( SMBv1 ), SMB 버전 2( SMBv2 ) 및 SMB 버전 3( SMBv3 ) 의 세 가지 버전이 있습니다 . 보안상의 이유로 SMB1을 비활성화 하는 것이 좋습니다 .

AppLocker 사용(Use AppLocker)

(Use)Windows 기본 제공 기능인 AppLocker사용 하여 사용자가 Windows 스토어 앱을 설치하거나 실행하지 못하도록 하고 (prevent Users from installing or running Windows Store Apps )실행할 소프트웨어 를 제어합니다 . Cryptolocker 랜섬웨어 감염 가능성을 줄이기 위해 그에 따라 장치를 구성할 수 있습니다 .

다음과 같은 랜섬웨어에서 서명되지 않은 실행 파일을 차단하여 랜섬웨어를 완화하는 데 사용할 수도 있습니다.

  • <사용자 프로필>AppDataLocalTemp
  • \AppData\Local\Temp\ *
  • AppDataLocalTemp**

이 게시물 에서는 AppLocker(create rules with AppLocker) 를 사용하여 실행 파일에 대한 규칙 을 만들고 응용 프로그램을 화이트리스트에 추가하는 방법을 설명합니다 .

EMET 사용(Using EMET)

Enhanced Mitigation Experience Toolkit 은 사이버 공격 및 알려지지 않은 악용으로부터 Windows 컴퓨터를 보호합니다. 메모리 손상 취약점을 악용하는 데 일반적으로 사용되는 악용 기술을 탐지하고 차단합니다. 익스플로잇이 트로이 목마(Trojan) 를 드롭하는 것을 방지 하지만 파일 열기를 클릭하면 도움이 되지 않습니다. 업데이트(UPDATE) : 이 도구는 현재 사용할 수 없습니다. Windows 10 Fall Creators UpdateEMET 를 (EMET)Windows Defender 의 일부로 포함 하므로 이 OS 사용자는 이를 사용할 필요가 없습니다.

MBR 보호

MBR 필터(MBR Filter) 로 컴퓨터의 마스터 부트 레코드(Master Boot Record) 를 보호하십시오 .

원격 데스크톱 프로토콜 비활성화(Disable Remote Desktop Protocol)

Cryptolocker 맬웨어 를 포함한 대부분의 랜섬웨어(Ransomware) 는 원격 데스크톱에 대한 액세스를 허용 하는 Windows 유틸리티 인 RDP ( 원격 데스크톱 프로토콜(Remote Desktop Protocol) ) 를 통해 대상 컴퓨터에 대한 액세스를 시도합니다 . 따라서 RDP 가 쓸모가 없다고 생각되면 원격 데스크톱을 비활성화 하여 (disable remote desktop)File Coder 및 기타 RDP 악용 으로부터 컴퓨터를 보호하십시오 .

Windows 스크립팅 호스트 비활성화(Disable Windows Scripting Host)

맬웨어(Malware) 및 랜섬웨어 제품군은 종종 WSH 를 사용하여 .js 또는 .jse 파일을 실행하여 컴퓨터를 감염시킵니다. 이 기능을 사용하지 않는 경우 Windows 스크립팅 호스트 를 비활성화하여 안전을 유지할 수 있습니다.

랜섬웨어 예방 또는 제거 도구 사용(Use Ransomware prevention or removal tools)

좋은 무료 안티 랜섬웨어 소프트웨어를(free anti-ransomware software) 사용하십시오 . BitDefender AntiRansomware 및 RansomFree 는 좋은 것들 중 일부입니다. RanSim Ransomware Simulator 를 사용 하여 컴퓨터가 충분히 보호되고 있는지 확인할 수 있습니다.

Kaspersky WindowsUnlocker 는 랜섬웨어가 랜섬웨어에 감염된 레지스트리 를 정리할 수 있으므로 (Registry)랜섬웨어(Ransomware) 가 컴퓨터에 대한 액세스를 완전히 차단하거나 중요한 기능을 선택하기 위한 액세스를 제한  하는 경우에 유용할 수 있습니다 .

랜섬웨어 방지

랜섬웨어를 식별 할 수 있다면 해당 랜섬웨어 에 사용할 수 있는 랜섬웨어 암호 해독 도구를 사용할 수 있으므로 작업이 조금 더 쉬워질 수 있습니다.(If you can identify the ransomware, it can make things a bit easier as you can use the ransomware decryption tools that may be available for that particular ransomware.)

다음은 파일 잠금을 해제하는 데 도움이 되는 무료 Ransomware Decryptor 도구 목록입니다.(Ransomware Decryptor Tools)

즉시 인터넷 연결 끊기(Disconnect from the Internet immediately)

파일이 의심되는 경우 파일 암호화가 완료되기 전에 C&C 서버와의 통신을 신속하게 중지하십시오. 이렇게 하려면 암호화 프로세스에 시간이 걸리므로 랜섬웨어(Ransomware) 의 영향을 무효화 할 수는 없지만 피해를 확실히 완화할 수 있으므로 인터넷(Internet) , WiFi 또는 네트워크(Network) 에서 즉시 연결을 끊 습니다.

시스템 복원을 사용하여 알려진 깨끗한 상태로 되돌리기(Use System Restore to get back to a known-clean state)

Windows 시스템에서 시스템 복원이 활성화되어 있다면 시스템 복원 을 알려진 깨끗한 상태로 되돌려 보십시오. 이것은 확실한 방법은 아니지만 어떤 경우에는 도움이 될 수 있습니다.

BIOS 시계를 다시 설정(Set the BIOS clock back)

Cryptolocker 또는 FBI Ransomware (Ransomware) 포함한 대부분의 랜섬웨어 는 지불할 수 있는 기한 또는 시간 제한을 제공합니다. 연장하면 복호화 키의 가격이 크게 올라갈 수 있으며 흥정조차 할 수 없습니다. 최소한 시도할 수 있는 것은 BIOS 클록을 마감 시간이 끝나기 전의 시간으로 다시 설정하여 "시계를 두드리는 것"입니다. 더 높은 가격을 지불하는 것을 막을 수 있으므로 모든 트릭이 실패할 때 유일한 리조트입니다. 대부분의 랜섬웨어는 3-8일의 기간을 제공 하며 잠긴 데이터 파일의 잠금을 해제하는 키에 대해 최대 미화 300달러 이상을 요구할 수 있습니다.

랜섬웨어의 표적이 된 그룹은 대부분 미국과 영국에 있지만 지리적 제한은 없습니다. 누구나 이에 영향을 받을 수 있으며 날이 갈수록 점점 더 많은 랜섬웨어 맬웨어가 탐지되고 있습니다. 따라서 Ransomware가 컴퓨터에 침입하는 것을 방지하기 위한 몇 가지 조치를 취하십시오. 이 게시물에서는 Ransomware Attacks & FAQ(Ransomware Attacks & FAQ) (랜섬웨어 공격 및 FAQ) 에 대해 자세히 설명 합니다.
(While most of the targeted groups by Ransomware have been in the US and the UK, there exists no geographical limit. Anyone can be affected by it – and with every passing day, more and more ransomware malware is being detected. So take some steps to prevent Ransomware from getting onto your computer. This post talks a little more about Ransomware Attacks & FAQ.)

이제 읽어 보세요 (Now read:) : 랜섬웨어 공격 후 해야 할 일(What to do after a Ransomware attack) .



은혜 손

About the author

저는 Windows 11 및 10 플랫폼에서 10년 이상의 경험을 가진 소프트웨어 엔지니어입니다. 저는 Windows 7과 Windows 8을 위한 고품질 소프트웨어를 개발하고 유지 관리하는 데 중점을 두었습니다. 또한 Chrome, Firefox, Xbox One 및 파일을 포함하되 이에 국한되지 않는 다양한 다른 프로젝트에서도 작업했습니다.


Related posts