랜섬웨어 감염은 사이버 범죄자들에 의해 사용자의 데이터가 암호화되었거나 운영 체제가 차단된 상태를 말합니다. 범죄자들은 보통 데이터 복호화를 빌미로 몸값을 요구합니다. 랜섬웨어는 여러 가지 방법을 통해 기기에 침투할 방법을 찾아낼 수 있습니다. 가장 흔한 루트로는 악성 웹사이트를 통한 감염, 다운로드 내의 불필요한 애드온, 스팸을 들 수 있습니다. 랜섬웨어 공격의 대상은 개인과 기업이 모두 해당됩니다. 랜섬웨어 공격을 방지하기 위해 여러 조치가 수행되며, 그와 함께 세심한 감시와 올바른 소프트웨어를 갖추는 것이 중요합니다. 랜섬웨어 공격은 데이터 손실이나 거액 지불, 또는 둘 다를 의미합니다.
랜섬웨어 탐지
컴퓨터가 감염되었는지 어떻게 알 수 있을까요? 랜섬웨어 공격을 탐지하는 몇 가지 방법은 다음과 같습니다.
- 안티바이러스 스캐너 경고 – 기기에 바이러스 스캐너가 있는 경우 우회되지 않았다면 랜섬웨어 감염을 조기에 탐지할 수 있습니다.
- 파일 확장명 점검 – 예를 들어, 이미지 파일의 정상적인 확장자는 '.jpg'입니다. 확장자가 이상한 문자 조합으로 바뀌었다면 랜섬웨어 감염일 가능성이 있습니다.
- 이름 변경 – 파일에 사용자가 만들지 않은 이름이 있습니까? 악성 프로그램은 데이터를 암호화할 때 파일 이름을 바꾸곤 합니다. 이것이 단서가 될 수 있습니다.
- 증가된 CPU 및 디스크 활동 – 디스크 또는 주요 프로세서 활동이 증가했다면 백그라운드에서 랜섬웨어가 작동 중임을 표시하는 것입니다.
- 의심스러운 네트워크 통신 – 사이버 범죄자나 공격자의 서버와 교류하는 소프트웨어로 인해 의심스러운 네트워크 통신이 발생하기도 합니다.
- 암호화된 파일 – 랜섬웨어 활동의 후반에 나타나는 징후는 파일이 열리지 않는 것입니다.
결국, 몸값 요구가 포함된 창이 나타나 랜섬웨어가 감염된 것을 확인할 수 있습니다. 조기에 위협을 탐지할수록, 맬웨어를 빠르게 해결할 수 있습니다. 암호화 트로이 목마 감염을 조기에 탐지하면 최종 기기가 어떤 종류의 랜섬웨어에 감염되었는지 파악하는 데 도움이 됩니다. 상당수의 갈취 트로이 목마는 조사 및 복호화가 불가능하도록 암호화 수행 후 스스로 삭제합니다.
랜섬웨어 감염이 발생한 경우 – 선택 옵션
랜섬웨어는 일반적으로 두 가지 유형(Locker 랜섬웨어 및 Crypto 랜섬웨어)으로 나뉩니다. Locker 랜섬웨어 바이러스는 전체 화면을 잠그는 반면, Crypto 랜섬웨어는 개별 파일을 암호화합니다. Crypto 트로이 목마는 유형에 관계없이 피해자들에게 다음 세 가지 옵션을 제공합니다.
- 몸값을 지불하고 사이버 범죄자들이 약속을 지켜 데이터를 복호화할 것을 기대하는 것입니다.
- 또한 가능한 도구로 악성 코드를 제거하도록 시도하는 것입니다.
- 컴퓨터를 공장 출하 시 설정으로 초기화할 수 있습니다.
암호화 트로이 목마의 제거 및 데이터 복호화 – 실행 방법
랜섬웨어의 유형과 랜섬웨어 감염이 탐지된 단계는 모두 바이러스와의 전쟁에 상당한 영향을 줍니다. 악성 코드를 제거하고 파일을 복원하는 것은 그 어떤 랜섬웨어 변형에서도 가능하지 않습니다. 감염에 대항하는 세 가지 방법은 다음과 같습니다.
랜섬웨어 탐지 – 빠를수록 좋음
몸값을 요구하기 전에 먼저 랜섬웨어를 탐지하면, 맬웨어를 삭제할 수 있는 이점이 있습니다. 이 시점까지 암호화된 데이터는 그대로 암호화 상태를 유지하지만 맬웨어 바이러스를 중단할 수 있습니다. 초기 탐지를 통해 악성 코드가 다른 기기와 파일로 확산되는 것을 차단할 수 있습니다.
데이터를 외부 또는 클라우드 스토리지에 백업하는 경우에는 암호화된 데이터를 복구할 수 있게 됩니다. 하지만, 백업이 없다면 무용지물입니다. 신뢰할 만한 인터넷 보안 솔루션을 구비하는 것이 좋습니다. 피해를 입은 랜섬웨어에 대해 이미 복호화 도구가 존재할 수도 있습니다. 또한, No More Ransom 프로젝트의 웹사이트를 방문해 볼 수 있습니다. 업계 전반에 걸쳐 시행 중인 이 계획은 랜섬웨어 피해자를 돕기 위해 시작된 것입니다.
파일 암호화 랜섬웨어 제거를 위한 지침
파일 암호화 랜섬웨어 공격의 피해를 입은 경우, 다음 단계를 통해 암호화 트로이 목마를 제거할 수 있습니다.
1단계: 인터넷 연결을 끊습니다.
먼저, 가상 및 물리적 연결을 포함하여 모든 연결을 제거합니다. 여기에는 무선 및 유선 기기, 외장 하드 드라이브, 기타 저장 매체와 클라우드 계정이 포함됩니다. 이렇게 하면 네트워크 내에서 랜섬웨어가 전파되는 것을 막을 수 있습니다. 다른 영역에도 영향이 있는 것으로 의심되면, 해당 영역에 대해서도 다음 백업 단계를 수행하십시오.
2단계: 인터넷 보안 소프트웨어에 대한 조사를 시행합니다.
설치해 둔 인터넷 보안 소프트웨어를 사용하여 바이러스 검사를 수행하십시오. 위협의 실체를 확인하는 데 도움이 됩니다. 위험한 파일을 발견하는 경우, 삭제하거나 격리할 수 있습니다. 안티바이러스 소프트웨어를 사용하여 악성 파일을 수동 또는 자동으로 삭제할 수 있습니다. 맬웨어 수동 삭제는 컴퓨터에 정통한 사용자에게만 권장됩니다.
3단계: 랜섬웨어 복호화 도구를 사용합니다.
사용자의 컴퓨터가 데이터를 암호화하는 랜섬웨어에 감염된 경우에는 적절한 복호화 도구가 있어야 액세스 권한을 되찾을 수 있습니다. Kaspersky의 경우 최신 유형의 랜섬웨어를 지속적으로 조사하고, 사용자가 이들 공격에 대처할 수 있도록 적합한 복호화 도구를 제공합니다.
4단계: 백업을 복원합니다.
데이터를 외부 또는 클라우드 스토리지에 백업한 경우에는 아직 랜섬웨어가 암호화하지 않은 데이터의 백업을 생성합니다. 백업이 전혀 없으면, 컴퓨터를 지우고 복원하는 것이 훨씬 어려워집니다. 이러한 상황을 피하기 위해서는 정기적으로 백업을 생성하는 것이 좋습니다. 잘 잊어버리는 경향이 있으면, 자동 클라우드 백업 서비스를 사용하거나 일정에 알림을 설정하여 기억하도록 하십시오.
화면 잠금 랜섬웨어를 제거하는 방법
화면 잠금 랜섬웨어의 경우, 피해자가 직면하는 문제는 보안 소프트웨어에 접근할 수 없다는 것입니다. 컴퓨터를 '안전 모드'로 실행하면 화면 잠금 조치가 로드되지 않아 피해자가 안티바이러스 프로그램으로 맬웨어에 대응할 가능성이 있습니다.
몸값 지불 – 줄 것인가, 말 것인가?
몸값을 지불하는 것은 대체로 권장되지 않습니다. 실제 인질 사건 상황에서 협상 불가 원칙이 적용되듯, 데이터가 인질로 잡힌 경우도 비슷한 접근 방식을 따라야 합니다. 몸값 지불을 권하지 않는 이유는 갈취범들이 실제로 약속을 지켜 데이터를 복호화한다는 보장이 없다는 데 있습니다. 게다가, 이런 유형의 범죄가 더 기승을 부리는 촉진제 역할을 합니다.
몸값을 지불할 계획이라면, 컴퓨터에서 랜섬웨어를 제거하지 말아야 합니다. 사실, 랜섬웨어의 종류나 사이버 범죄자의 복호화 계획에 따라, 해당 랜섬웨어가 복호화 코드를 적용하는 유일한 방법일 수도 있습니다. 섣불리 소프트웨어를 제거하면 거금을 주고 산 복호화 코드가 무용 지물이 될 수 있는 것입니다. 하지만, 실제로 복호화 코드를 받았고 그것이 제대로 작동하는 경우에는 데이터 복호화 직후 기기에서 랜섬웨어를 제거해야 합니다.
랜섬웨어 유형: 진행 방식에 따른 차이
랜섬웨어의 종류는 매우 다양하고, 그 중 일부는 몇 번의 클릭만으로 제거할 수 있습니다. 하지만 반대로, 제거에 훨씬 더 복잡하고 시간이 오래 걸리는 바이러스 변종도 널리 퍼져 있습니다.
랜섬웨어의 종류에 따라, 감염된 파일을 제거 및 복호화하는 옵션이 다양합니다. 수 많은 랜섬웨어 변종에 모두 통하는 복호화 도구는 없습니다.
랜섬웨어의 적절한 제거라는 측면에서 중요한 질문은 다음과 같습니다.
- 기기에 어떤 유형의 바이러스가 감염되었는가?
- 적절한 복호화 프로그램이 있는가, 있다면 무엇인가?
- 바이러스가 시스템에 어떤 방법으로 침투했는가?
예를 들어, Ryuk는 Emotet를 통해 시스템에 침투했을 수 있는데, 이는 문제에 대처하는 방식에 차이가 있음을 의미합니다. Petya 감염이라면, 안전 모드를 사용하여 제거가 가능합니다. 기타 랜섬웨어 변종에 대한 자세한 내용은 여기를 눌러 확인하십시오.
결론
보안에 대해서는 아무리 훌륭한 예방책이 있어도 확실하게 랜섬웨어 공격을 차단할 수는 없습니다. 최악의 상황에서도 탁월한 인터넷 보안 소프트웨어(예: Kaspersky 제품)와 양호한 준비 태세, 세심한 주의 조치가 공격의 여파를 줄이는 데 도움이 될 수 있습니다. 랜섬웨어 공격의 경고 징후를 염두에 두면, 감염을 조기에 탐지하여 포기하지 않을 수 있습니다. 몸값을 요구 받더라도, 여러 옵션이 있으므로 자신의 상황에 따라 가장 현명한 선택을 할 수 있습니다. 정기적으로 데이터를 백업하는 것이 공격의 영향을 대폭 줄일 수 있다는 점을 기억하십시오.
Kaspersky Internet Security 제품은 2021년 AV-TEST의 인터넷 보안 제품 부문에서 최고 성능 및 최우수 보호 제품으로 선정되었습니다. 모든 테스트에서 Kaspersky Internet Security 제품은 사이버 위협에 대한 뛰어난 성능과 보호 기능을 보여주었습니다.
추천 제품:
