2015.05.19

"랜섬웨어 피해자, 해커들에게 간곡히 호소”.. 파이어아이

Lucian Constantin | IDG News Service
사용자의 파일을 암호화하여 돈을 요구하는 랜섬웨어 해커들은 마치 자신들이 고객에게 기술 지원과 할인 서비스를 제공하는 서비스 제공 업체로 둔갑하고 있다.

보안전문업체인 파이어아이(fireEye)는 최근 테슬라크립트(TeslaCrypt)라는 랜섬웨어 프로그램 개발자가 생성한 웹사이트에서 메시지를 수집하여 해당 악성코드의 피해자들과의 접선을 시도했다. 해당 메시지에서는 사이버해커들의 사고방식과 그들이 피해자에게 유발하는 고통을 엿볼 기회를 제공했다.

정말 절망적인 이야기로 가득 차 있었다고 해도 무방하다. 한 아이의 아버지는 아이 사진을 강탈당하기도 했으며, 어떤 회사 직원은 랜섬웨어로 사업상 필요한 파일을 잃어버린 상태로 현재 직장을 잃을까 봐 전전긍긍하고 있다. 심지어 돈 한 푼 벌지 못한 사람은 랜섬웨어 때문에 납세 신고를 하지 못하는 상황이다.

어떤 메시지는 비트코인을 채굴하는 기술을 습득하지 못해 좌절하는 사람들의 이야기가 들어있기도 했다. 테슬라크립트 랜섬웨어의 경우 몸값으로 비트코인 550달러 또는 페이팔 마이 캐시(Papal My Cash) 카드로 결제할 경우 1,000달러를 요구한다.

물론 대다수의 경우 해커들이 피해자들의 감정에 동하지는 않으나, 일부 더 낮은 가격에 '딜'을 시도하는 사용자들과 협상하는 경우도 있다. 이는 아무것도 얻지 못하는 것보다는 조금이라도 받는 것이 더 낫다는 계산이 있어서다.

누군가가 100달러만 낼 수 있다고 말하면, 해커는 가능한 250달러는 달라고 요구했다. 그러나 어떤 경우에는 150달러에 협상하자고 제안하기도 했다.

그러나 메시지에 따르면, 사람들이 비용을 전부 지불한다고 해서 해커들이 모든 파일을 복구해주는 것은 아닌 것으로 드러났다. 예를 들어, 2개의 파일 암호화 랜섬웨어가 설치되어 있다고 가정해보자. 테슬라크립트에 감염된 파일을 복호화하는 것은 별 의미가 없는데, 이미 다른 악성 프로그램으로도 암호화되어 있기 때문이다. 어떤 경우에는 C드라이브에 저장된 파일만 복호화할 수 있다고 주장하기까지 했다.

아이러니하게도 해커들은 피해자들에게 자신들이 제공한 도구로 파일 복호화를 하기 전에 암호화된 파일을 백업하라고 조언하기도 했다. 이들은 “데이터 손실을 막는 조치”라고 덧붙이기도 했다.

이는 외장저장장치로 파일을 주기적으로 백업하여 해당 장치를 사용하지 않을 때는 분리하는 것이 좋다는 것을 시사한다. 그렇지 않으면 랜섬웨어가 백업된 파일까지 암호화할 수 있다.

파이어아이 연구진들은 지난 2월부터 4월까지 테슬라크립트가 사용한 1,231 비트코인 주소를 추적했다. 테슬라크립트는 감염자마다 서로 다른 비트코인 주소를 생성하여 돈을 보내도록 요구한다. 즉 이는 1,231명의 피해자가 있다는 것을 의미하는 것이다.

해당 주소를 포함하는 트랜젝션을 분석해본 결과, 파이어아이 연구진들은 163명, 즉 전체에서 13%에 해당하는 사람들이 비트코인으로 돈을 지불한 것으로 보고 있다. 다른 20명의 피해자은 페이팔 캐시 카드로 돈을 지불한 것으로 알려졌다. 즉 테슬라크립트 해커들은 지난 2월 7일부터 4월 28일 동안 7만6,522달러를 벌어들인 셈이다.

이와 비교해, 또다른 파일 암호화 랜섬웨어 프로그램인 크립토락커(Cryptolocker)의 경우 지난해 4월까지 9개월간 총 300만 달러를 벌어들인 것으로 알려졌다. 크립토월(Cryptowall)이라는 프로그램은 지난해 6개월간 100만 달러를 벌어들였다.

한편, 시스코 시스템즈(Cisco Systems)의 연구원들은 돈을 지불하지 않고도 테슬라크립트 버전의 암호화 파일을 복호화할 수 있는 도구를 개발했다고 밝힌 바 있다. editor@itworld.co.kr


2015.05.19

"랜섬웨어 피해자, 해커들에게 간곡히 호소”.. 파이어아이

Lucian Constantin | IDG News Service
사용자의 파일을 암호화하여 돈을 요구하는 랜섬웨어 해커들은 마치 자신들이 고객에게 기술 지원과 할인 서비스를 제공하는 서비스 제공 업체로 둔갑하고 있다.

보안전문업체인 파이어아이(fireEye)는 최근 테슬라크립트(TeslaCrypt)라는 랜섬웨어 프로그램 개발자가 생성한 웹사이트에서 메시지를 수집하여 해당 악성코드의 피해자들과의 접선을 시도했다. 해당 메시지에서는 사이버해커들의 사고방식과 그들이 피해자에게 유발하는 고통을 엿볼 기회를 제공했다.

정말 절망적인 이야기로 가득 차 있었다고 해도 무방하다. 한 아이의 아버지는 아이 사진을 강탈당하기도 했으며, 어떤 회사 직원은 랜섬웨어로 사업상 필요한 파일을 잃어버린 상태로 현재 직장을 잃을까 봐 전전긍긍하고 있다. 심지어 돈 한 푼 벌지 못한 사람은 랜섬웨어 때문에 납세 신고를 하지 못하는 상황이다.

어떤 메시지는 비트코인을 채굴하는 기술을 습득하지 못해 좌절하는 사람들의 이야기가 들어있기도 했다. 테슬라크립트 랜섬웨어의 경우 몸값으로 비트코인 550달러 또는 페이팔 마이 캐시(Papal My Cash) 카드로 결제할 경우 1,000달러를 요구한다.

물론 대다수의 경우 해커들이 피해자들의 감정에 동하지는 않으나, 일부 더 낮은 가격에 '딜'을 시도하는 사용자들과 협상하는 경우도 있다. 이는 아무것도 얻지 못하는 것보다는 조금이라도 받는 것이 더 낫다는 계산이 있어서다.

누군가가 100달러만 낼 수 있다고 말하면, 해커는 가능한 250달러는 달라고 요구했다. 그러나 어떤 경우에는 150달러에 협상하자고 제안하기도 했다.

그러나 메시지에 따르면, 사람들이 비용을 전부 지불한다고 해서 해커들이 모든 파일을 복구해주는 것은 아닌 것으로 드러났다. 예를 들어, 2개의 파일 암호화 랜섬웨어가 설치되어 있다고 가정해보자. 테슬라크립트에 감염된 파일을 복호화하는 것은 별 의미가 없는데, 이미 다른 악성 프로그램으로도 암호화되어 있기 때문이다. 어떤 경우에는 C드라이브에 저장된 파일만 복호화할 수 있다고 주장하기까지 했다.

아이러니하게도 해커들은 피해자들에게 자신들이 제공한 도구로 파일 복호화를 하기 전에 암호화된 파일을 백업하라고 조언하기도 했다. 이들은 “데이터 손실을 막는 조치”라고 덧붙이기도 했다.

이는 외장저장장치로 파일을 주기적으로 백업하여 해당 장치를 사용하지 않을 때는 분리하는 것이 좋다는 것을 시사한다. 그렇지 않으면 랜섬웨어가 백업된 파일까지 암호화할 수 있다.

파이어아이 연구진들은 지난 2월부터 4월까지 테슬라크립트가 사용한 1,231 비트코인 주소를 추적했다. 테슬라크립트는 감염자마다 서로 다른 비트코인 주소를 생성하여 돈을 보내도록 요구한다. 즉 이는 1,231명의 피해자가 있다는 것을 의미하는 것이다.

해당 주소를 포함하는 트랜젝션을 분석해본 결과, 파이어아이 연구진들은 163명, 즉 전체에서 13%에 해당하는 사람들이 비트코인으로 돈을 지불한 것으로 보고 있다. 다른 20명의 피해자은 페이팔 캐시 카드로 돈을 지불한 것으로 알려졌다. 즉 테슬라크립트 해커들은 지난 2월 7일부터 4월 28일 동안 7만6,522달러를 벌어들인 셈이다.

이와 비교해, 또다른 파일 암호화 랜섬웨어 프로그램인 크립토락커(Cryptolocker)의 경우 지난해 4월까지 9개월간 총 300만 달러를 벌어들인 것으로 알려졌다. 크립토월(Cryptowall)이라는 프로그램은 지난해 6개월간 100만 달러를 벌어들였다.

한편, 시스코 시스템즈(Cisco Systems)의 연구원들은 돈을 지불하지 않고도 테슬라크립트 버전의 암호화 파일을 복호화할 수 있는 도구를 개발했다고 밝힌 바 있다. editor@itworld.co.kr


X