This is a good article. Click here for more information.

랜섬웨어

Ransomware

랜섬웨어는 암호 해독학에서 나온 악성코드의 일종으로, 몸값을 지불하지 않으면 피해자의 개인 데이터를 공개하겠다고 위협하거나 지속적으로 접속을 차단한다.일부 간단한 랜섬웨어는 어떤 파일도 손상시키지 않고 시스템을 잠글 수 있지만, 보다 진보한 악성코드는 크립토바이러스 강탈이라는 기술을 사용한다.피해자의 파일을 암호화해 접속이 불가능하게 하고, 이를 해독하기 위해 몸값 지불을 요구한다.[1][2][3][4]적절하게 구현된 암호 해독 없이 파일을 복구하는 것은 난해한 문제로서, 페이세이프카드비트코인과 같은 디지털 화폐와 다른 가상화폐를 추적하기 어려워 범인을 추적하고 기소하는 것이 어렵다.

랜섬웨어 공격은 일반적으로 트로이 목마가 이메일 첨부파일로 도착하면 사용자가 다운로드하거나 열도록 속이는 합법적인 파일로 위장한 트로이 목마를 이용하여 이루어진다.하지만, 유명한 예인 WannaCry 웜은 사용자 상호작용 없이 자동으로 컴퓨터 사이를 이동했다.[5]

1989년부터 최초의 AIDS 트로이 목마로 알려진 랜섬웨어를 시작으로, 랜섬웨어 스캠의 사용은 국제적으로 증가해왔다.[6][7][8]2018년 상반기 랜섬웨어 공격은 1억8천150만 건이었다.이는 2017년 같은 기간에 비해 229% 증가한 것이다.[9]2014년 6월, 판매업체 McAfee는 해당 분기의 랜섬웨어 샘플 수가 전년도 같은 분기에 비해 두 배 이상 수집되었음을 보여주는 데이터를 발표했다.[10]CryptoLocker는 당국에 의해 함락되기 전에 약 300만 달러를 조달하는 등 특히 성공적이었고,[11] CryptoWall은 미국 연방수사국(FBI)에 의해 2015년 6월까지 1,800만 달러가 넘는 금액이 발생한 것으로 추정되었다.[12]2020년 IC3는 2,474건의 랜섬웨어 민원을 접수해 2,910만 달러 이상의 조정손실을 냈다.FBI에 따르면 그 이상의 손실이 발생할 수 있다고 한다.[13]

작전

파일 암호화 랜섬웨어의 개념은 영과 융이 컬럼비아 대학에서 발명하고 구현했으며 1996년 IEEE 보안 & 프라이버시 컨퍼런스에서 발표되었다.이것은 크립토바이러스 강탈이라고 불리며, 영화 '에이리언'에서 가상의 얼굴광에서 영감을 얻었다.[14]크립토바이러스 강탈은 공격자와 피해자 간에 수행되는 다음과 같은 3라운드 프로토콜이다.[1]

  1. [attackervictim]공격자는 키 쌍을 생성하고 해당 공용 키를 멀웨어에 배치한다.악성코드가 해제된다.
  2. [피해자공격자] 암호화된 강탈 공격을 수행하기 위해 악성코드는 임의의 대칭 키를 생성해 그것으로 피해자의 데이터를 암호화한다.악성코드의 공개 키를 사용하여 대칭 키를 암호화한다.이것은 하이브리드 암호화로 알려져 있으며, 그것은 희생자의 데이터의 대칭 암호문뿐만 아니라 작은 비대칭 암호문을 낳는다.대칭 키와 원본 일반 텍스트 데이터를 영점화하여 복구를 방지한다.비대칭 암호문, 몸값 지불 방법 등이 포함된 메시지를 사용자에게 게시한다.피해자는 비대칭 암호문과 전자화폐를 공격자에게 보낸다.
  3. [attackervictim]공격자는 지급을 받고, 공격자의 개인 키로 비대칭 암호문을 해독하고, 대칭 키를 피해자에게 보낸다.피해자는 암호화된 데이터를 필요한 대칭 키로 해독하여 암호 해독 공격을 완료한다.

대칭 키는 무작위로 생성되며 다른 피해자를 돕지 않는다.어느 시점에서도 공격자의 개인 키가 피해자에게 노출되지 않으며, 피해자는 공격자에게 아주 작은 암호문(암호화된 대칭-암호 키)만 보내면 된다.

랜섬웨어 공격은 일반적으로 트로이 목마를 사용하여 수행되며, 예를 들어 악의적인 첨부 파일, 피싱 이메일에 포함된 링크 또는 네트워크 서비스의 취약성을 통해 시스템에 입력된다.그런 다음 프로그램은 페이로드(payload)를 실행하는데, 이 페이로드(payload)는 어떤 식으로든 시스템을 잠그거나 시스템 잠금을 주장하지만 그렇지 않다(예: 허수아비 프로그램).페이로드에는 해당 시스템이 불법행위에 이용되었다고 허위 주장하는 법 집행 기관과 같은 법인에 의해 알려진 가짜 경고가 표시될 수 있으며, 포르노"해제된" 매체와 같은 콘텐츠가 포함되어 있다.[15][16][17]

일부 페이로드에는 일반적으로 Windows Shell을 자체적으로 [18]설정하거나 마스터 부트 레코드 및/또는 파티션 테이블을 수정하여 운영 체제가 복구될 때까지 부팅되지 않도록 하여 결제가 이루어질 때까지 시스템을 잠그거나, 운영 체제가 복구될 때까지 부팅되지 않도록 하기 위해 마스터 부트 레코드 및/또는 파티션 테이블을 수정한다.[19]가장 정교한 페이로드들은 파일을 암호화하는데, 많은 것들이 강력한 암호화를 사용하여 악성코드 작성자만이 필요한 암호 해독 키를 가질 수 있는 방식으로 피해자의 파일을 암호화한다.[1][20][21]

지불은 사실상 항상 목표이며, 피해자는 파일을 해독할 수 있는 프로그램을 제공하거나 페이로드의 변경을 해제하는 잠금 해제 코드를 보내 제거될 랜섬웨어에 대한 비용을 지불하도록 강요된다.공격자는 단순히 피해자의 파일을 돌려주지 않고 돈을 가져갈 수도 있지만, 아무런 목적도 없는 것으로 알려지면 피해자들이 지불금 송금을 중단하기 때문에 합의된 대로 암호 해독을 수행하는 것이 공격자의 최선책이다.공격자에게 랜섬웨어가 작동하도록 만드는 핵심 요소는 추적하기 어려운 편리한 결제 시스템이다.송금, 프리미엄 요금 문자메시지,[22] 페이세이프카드 등 선불 바우처 서비스,[6][23][24] 비트코인 암호화폐 등 다양한 결제수단이 활용됐다.[25][26][27]

2020년 5월, 벤더 소포스는 랜섬웨어 공격을 교정하는 데 드는 전 세계 평균 비용(정지시간, 인력, 기기 비용, 네트워크 비용, 기회 손실 및 지불된 몸값 등을 고려하면)은 76만1,106달러라고 보고했다.몸값을 지불한 조직의 95퍼센트가 데이터를 복구했다.[28]

역사

랜섬웨어 암호화

1989년 조지프 포프가 쓴 '에이즈 트로이 목마'라는 악성코드를 처음으로 강탈한 공격은 설계상의 실패를 겪었기 때문에 강탈자에게 돈을 지불할 필요가 전혀 없었다.페이로드는 하드 드라이브에 파일을 숨기고 이름만 암호화했으며 특정 소프트웨어를 사용할 수 있는 사용자의 사용권이 만료됐다는 내용의 메시지를 표시했다.트로이 목마의 코드에서 암호 해독 키를 추출할 수 있는데도 수리 도구를 얻기 위해 사용자는 'PC 사이보그 코퍼레이션'에 미화 189달러를 지불하라는 요청을 받았다.트로이 목마는 "PC 사이보그"로도 알려져 있었다.팝은 그의 행동으로 인해 재판에 회부되기에는 정신적으로 부적합하다는 판정을 받았지만, 그는 이 악성코드의 수익을 에이즈 연구에 기부하겠다고 약속했다.[29]

익명의 현금 시스템을 악용해 인간 납치로부터 안전하게 몸값을 챙기는 발상은 1992년 세바스티안 폰 솔름스와 데이비드 나카체(David Naccache)[30]에 의해 도입됐다.이러한 전자화폐 징수방법은 암호화된 강탈 공격에도 제안되었다.[1]폰 솔름스-나카체 시나리오에서는 (논문이 쓰여진 당시에는 비트코인 장부가 존재하지 않았기 때문에) 신문 발행이 사용되었다.

데이터 유괴 공격에 공개키 암호화를 사용하는 개념은 1996년 아담 L에 의해 도입되었다.영과 모티 영.영과 영은 대칭 암호화에만 의존했던 실패한 에이즈 정보 트로이아, 트로이아에서 해독키를 추출할 수 있다는 치명적인 결함을 비판하고, RSA와 TEA(Tiny Encryption Algorithm)를 이용해 빅티 암호화를 하이브리드 암호화하는 매킨토시 SE/30에 실험적인 개념 증명 암호 바이러스를 구현했다.m의 자료공개키 암호화가 사용되기 때문에 바이러스에는 암호키만 들어 있다.공격자는 해당 개인 암호 해독 키를 비공개로 유지한다.영과 영의 원래 실험용 암호 바이러스는 피해자가 비대칭 암호문을 해독하는 공격자에게 보내고, 그 암호문이 들어 있는 대칭 암호키를 피해자에게 유료로 돌려주도록 했다.전자화폐가 존재하기 훨씬 전 영과 영은 "바이러스 작성자가 절반의 돈을 줄 때까지 모든 돈을 효과적으로 보유할 수 있다"고 말하면서 암호화를 통해 전자화폐도 갈취할 수 있다고 제안했다.이전에 사용자가 전자화폐를 암호화했더라도 '암호화 바이러스'에 의해 암호화되면 이용자는 아무 쓸모가 없다.[1]그들은 이러한 공격을 "크립토바이러스 강탈"이라고 불렀는데, 이는 명백한 공격과 은밀한 공격을 모두 포괄하는 암호학이라는 분야에서 더 큰 종류의 공격의 일부분인 명백한 공격이다.[1]크립토바이러스 강탈 프로토콜은 영화 '에이리언'에서 H. R. Giger의 안면허그와 그 진행자의 기생적 관계에서 영감을 받았다.[1][14]

갈취한 랜섬웨어의 예는 2005년 5월에 두드러졌다.[31]2006년 중반까지, Gpcode, TROJ와 같은 트로이 목마.RANGE.A, Archiveus, Krotten, Cryzip 및 MayArchive는 키 사이즈가 계속 증가하면서 보다 정교한 RSA 암호화 체계를 활용하기 시작했다.Gpcode.2006년 6월 검출된 AG는 660비트 RSA 공개 키로 암호화됐다.[32]2008년 6월, Gpcode로 알려진 변종.AK가 검출되었다.1024비트 RSA 키를 사용하면 통합 분산 노력 없이 계산적으로 파손할 수 없을 만큼 충분히 크다고 여겨졌다.[33][34][35][36]

암호화된 랜섬웨어는 2013년 말 비트코인 디지털 화폐 플랫폼을 사용하여 몸값을 수집하는 CryptoLocker의 보급으로 다시 두각을 나타냈다.2013년 12월 ZDNet은 비트코인 거래 정보를 토대로 10월 15일부터 12월 18일까지 CryptoLocker 운영자들이 감염된 사용자로부터 약 2700만 달러를 조달했다고 추정했다.[37]그 CryptoLocker 기술 광범위하게 몇개월 뒤에, CryptoLocker 2.0(CryptoLocker과 관련이 있지 않다고 생각한), CryptoDefense(처음 윈도우의 내장 암호화 API의 사용 때문에 감염된 제도에 대한user-retrievable 위치의 개인 키 저장된 주요 설계 결함 지갑)[26][38]는 경우에는 39을 포함하여 복사되었다.][40] ASynology에 의해 생산된 네트워크 연결 스토리지 장치를 특별히 목표로 하는 트로이 목마의 2014년 발견.[41]2015년 1월에는 해킹을 통해, 리눅스 기반 웹 서버를 대상으로 설계된 랜섬웨어를 통해 개별 웹사이트를 대상으로 랜섬웨어 스타일의 공격이 발생한 것으로 알려졌다.[42][43][44]

일부 감염에서는 2단계 페이로드(payload)가 있으며, 많은 악성 프로그램 시스템에서 공통적으로 사용된다.사용자가 속아서 스크립트를 실행하게 되는데, 이 스크립트는 주 바이러스를 다운로드하여 실행한다.초기 버전의 듀얼 페이로드 시스템에서는 스크립트가 VBScript 매크로가 첨부된 Microsoft Office 문서 또는 WSF(윈도우즈 스크립팅 시설) 파일에 포함되었다.탐지 시스템이 이러한 1단계 페이로드를 차단하기 시작하자 마이크로소프트 멀웨어 방지 센터는 자체적으로 포함된 마이크로소프트 윈도우즈 PowerShell 스크립트를 사용하여 LNK 파일에 대한 추세를 파악했다.[45]2016년에 PowerShell이 엔드포인트 보안 사고의 거의 40%에 해당하는 문제에 관련되어 있는 것으로 확인 결과,[46]

일부 랜섬웨어 변종들은 토르 히든 서비스묶인 프록시를 이용해 그들의 지휘와 제어 서버에 접속해 범인들의 정확한 위치를 추적하는 데 어려움을 가중시키고 있다.[47][48]게다가, 다크 웹 벤더들은 어도비 크리에이티브 클라우드나 오피스 365와 비슷하게 랜섬웨어가 판매되고, 희생자의 기계에 배치될 준비가 되어 있는 서비스로서의 기술을 점점 더 제공하기 시작했다.[48][49][50]

시만텍은 랜섬웨어를 가장 위험한 사이버 위협으로 분류했다.[51]

2020년 9월 28일, 미국 최대의 의료 서비스 제공업체인 유니버셜 헬스 서비스의 컴퓨터 시스템이 랜섬웨어 공격을 받았다.서로 다른 위치의 UHS 체인은 일요일(9월 27일) 새벽부터 잠긴 컴퓨터와 전화 시스템을 보고하는 등 문제를 발견했다고 보고했다.[52][51]

비암호화 랜섬웨어

2010년 8월, 러시아 당국은 윈락으로 알려진 랜섬웨어 트로이 목마와 관련된 9명을 체포했다.기존 Gpcode 트로이 목마와 달리 WinLock은 암호화를 사용하지 않았다.대신 윈락은 음란 이미지를 표시해 시스템 접속을 미미하게 제한하고 사용자에게 프리미엄 요금제 SMS(미화 약 10달러)를 보내 자신의 기계를 잠금 해제하는 데 사용할 수 있는 코드를 받을 것을 요청했다.그 사기행각은 러시아와 인접국들을 가로지르는 수많은 사용자들을 강타했는데, 이는 이 단체가 미화 1600만 달러 이상을 벌어들인 것으로 보도되었다.[17][53]

2011년에는 윈도 제품 활성화 공지를 모방한 랜섬웨어 트로이 목마가 등장, "사기 피해"로 인해 시스템의 윈도 설치를 다시 활성화해야 한다는 사실을 사용자에게 알렸다.실제 Windows 정품 인증 프로세스와 같은 온라인 정품 인증 옵션이 제공되었지만 사용할 수 없어 사용자가 6자리 코드를 입력하기 위해 6개의 국제 번호 중 하나를 호출해야 했다.악성코드는 이 통화가 무료라고 주장했지만, 국제전화 요금이 높은 국가의 불량 운영자를 통해 라우팅되었고, 이 운영자는 통화를 보류하여 사용자가 막대한 국제 장거리 요금을 부담하게 했다.[15]

2013년 2월, 스탬프를 기반으로 한 랜섬웨어 트로이 목마.EK 착취 키트는 유명 연예인들의 가짜 누드 사진을 제공한다고 주장하는 SourceForgeGitHub 프로젝트 호스팅 서비스에서 호스팅된 사이트를 통해 배포되었다.[54]2013년 7월 OS X 전용 랜섬웨어 트로이 목마가 수면 위로 떠올랐는데, 이 트로이 목마는 포르노 다운로드를 고발하는 웹 페이지를 보여준다.윈도우 기반의 그것과는 달리, 그것은 컴퓨터 전체를 차단하는 것이 아니라, 정상적인 방법으로 페이지를 닫으려는 시도를 좌절시키기 위해 웹 브라우저 자체의 행동을 이용한다.[55]

2013년 7월 성관계 통신을 한 미성년 여학생들의 음란 사진이 컴퓨터에 우연히 들어있던 버지니아주 출신의 21세 남성이 FBI 머니팍 랜섬웨어로부터 아동 음란물 소지 혐의를 받고 있다는 신고를 받고 속은 뒤 경찰에 자수했다.조사 결과 유죄가 입증된 파일이 발견되었고, 이 남성은 아동 성학대와 아동 포르노 소지 혐의로 기소되었다.[56]

Exfiltration (Leakware / Doxware)

랜섬웨어의 역습은 아담 L이 발명한 암호학 공격이다.피해자의 컴퓨터 시스템에서 훔친 정보를 공개하겠다고 협박하는 어린 아이.[57]누출웨어 공격에서 멀웨어는 공격자에게 중요한 호스트 데이터를 유출하거나 멀웨어의 원격 인스턴스에 유출하며, 공격자는 몸값을 지불하지 않으면 피해자의 데이터를 공개하겠다고 위협한다.이번 공격은 2003년 웨스트포인트에서 제시된 것으로 《악성암호법》에 다음과 같이 요약되어 있다. "그 공격은 다음과 같은 방식으로 강탈 공격과는 다르다.강탈 공격에서 피해자는 자신의 귀중한 정보에 대한 접근을 거부당하며 이를 되찾기 위해 돈을 지불해야 한다.[58] 여기서 피해자는 정보에 대한 접근은 유지하지만 공개는 컴퓨터 바이러스의 재량에 따른다.이 공격은 게임 이론에 뿌리를 두고 있으며 원래 "비제로섬 게임과 생존 가능한 악성 프로그램"으로 불렸다.공격 자체가 성공적이었음을 증명하는 게시물로 인해 발생할 수 있는 평판 손상과 같이 악성코드가 피해자 사용자나 조직에 피해를 줄 수 있는 정보에 대한 액세스를 획득하는 경우 공격은 금전적 이득을 가져올 수 있다.

일반적인 유출 대상에는 다음이 포함된다.

  • 주요 피해자가 저장한 제3자 정보(고객 계정 정보 또는 건강 기록 등)
  • 피해자 소유 정보(영업 기밀 및 제품 정보 등)
  • 난처한 정보(피해자의 건강 정보 또는 피해자의 개인 과거에 대한 정보 등)

유출 공격의 대상은 대개 피해자 리스트가 정리되어 있으며, 잠재적 데이터 목표와 약점을 찾기 위해 피해자의 시스템을 사전 감시하는 경우가 많다.[59][60]

모바일 랜섬웨어

PC 플랫폼에서 랜섬웨어의 인기가 높아지면서 모바일 운영체제를 겨냥한 랜섬웨어도 급증했다.일반적으로 모바일 랜섬웨어 페이로드는 온라인 동기화를 통해 쉽게 복원할 수 있어 데이터 암호화 동기가 거의 없어 차단기다.[61]모바일 랜섬웨어는 타사 소스에서 애플리케이션을 설치할 수 있기 때문에 일반적으로 안드로이드 플랫폼을 대상으로 한다.[61][62]페이로드(payload)[63]는 일반적으로 의심하지 않는 사용자가 설치한 APK 파일로 배포된다. 페이로드(payload)는 다른 모든 응용프로그램 위에 차단 메시지를 표시하려고 시도할 수 있는 반면,[62] 다른 페이로드(payload)는 클릭재킹(clickjacking) 형식을 사용하여 사용자가 시스템에 대한 더 깊은 액세스 권한을 부여했다.

iOS 기기에는 iCloud 계정을 활용하고 Find My iPhone 시스템을 사용하여 기기에 대한 액세스를 잠그는 등 다양한 전술이 사용되어 왔다.[64]iOS 10.3에서 애플은 랜섬웨어 웹사이트가 악용한 사파리의 자바스크립트 팝업 창 처리에서 버그를 패치했다.[65]최근에는[when?] 랜섬웨어가 산업용 IoT 엣지 디바이스 등 다양한 사물인터넷(IoT) 디바이스에서 볼 수 있는 ARM 아키텍처도 공략할 가능성이 있는 것으로 나타났다.[66]

2019년 8월에 연구원들은 DSLR 카메라를 랜섬웨어로 감염시키는 것이 가능하다는 것을 증명했다.[67]디지털 카메라는 종종 사진 전송 프로토콜(PTP - 파일 전송에 사용되는 표준 프로토콜)을 사용한다.연구자들은 프로토콜의 취약성을 이용하여 랜섬웨어로 표적 카메라를 감염(또는 임의 코드를 실행)시킬 수 있다는 것을 발견했다.이 공격은 라스베이거스에서 열린 데프콘 보안회의에서 개념 증명 공격(실제 무장 악성코드로가 아님)으로 제시됐다.

주목할 만한 공격 대상

주목할 만한 소프트웨어 패키지

리비턴

사용자가 런던 경찰청에 벌금을 내야 한다고 주장하는 리비던트 화물 적재물

2012년 리비턴으로 알려진 대형 랜섬웨어 트로이아가 퍼지기 시작했다.시타델 트로이 목마(그 자체가 제우스 트로이 목마에 근거한 것)에 근거하여, 그 페이로드에는 무면허 소프트웨어아동 포르노 다운로드와 같은 불법적인 활동에 컴퓨터가 사용되었다고 주장하는 법 집행 기관의 경고가 표시된다.이런 행동 때문에 흔히 "경찰 트로이아"라고 부른다.[68][69][70]이 경고는 사용자에게 시스템의 잠금을 해제하기 위해서는 Ukash페이세이프카드와 같은 익명의 선불 현금 서비스에서 나온 바우처를 사용하여 벌금을 내야 한다고 알려준다.법 집행에 의해 컴퓨터가 추적되고 있다는 착각을 증가시키기 위해 화면에는 컴퓨터의 IP 주소도 표시되고, 일부 버전은 사용자가 기록되고 있다는 착각을 주기 위해 희생자의 웹캠의 영상을 표시하기도 한다.[6][71]

리비턴은 2012년 초에 유럽 여러 나라에 퍼지기 시작했다.[6]변형에는 사용자 국가를 기준으로 한 여러 법 집행 기관의 로고가 새겨진 템플릿이 현지화되었다. 예를 들어 영국에서 사용된 변형에는 런던 경찰청, 경찰 국가 전자 범죄 부대 같은 조직의 브랜드가 포함되어 있었다.또 다른 버전에는 저작권료 징수 협회PRS for Music의 로고가 포함되어 있었는데, 이 로고는 특히 사용자가 음악을 불법으로 다운로드 받고 있다고 고발했다.[72]런던 경찰청은 악성코드에 대해 국민들에게 경고하는 성명에서 그들이 수사의 일부로서 결코 그런 식으로 컴퓨터를 잠그지 않을 것임을 분명히 했다.[6][16]

2012년 5월, Trend Micro 위협 연구자들은 미국캐나다를 위한 변형을 위한 템플릿을 발견했는데, 이것은 그것의 저자들이 북미의 사용자들을 목표로 계획했을 수도 있다는 것을 암시한다.[73]2012년 8월까지 리비턴의 새로운 변종이 미국에서 퍼지기 시작했는데, 머니팩 카드를 사용하여 FBI에 200달러의 벌금을 지불해야 한다고 주장했다.[7][8][71]2013년 2월, 두바이의 한 러시아 시민이 리비턴을 이용하던 범죄조직과 연관되어 스페인 당국에 의해 체포되었다. 다른 10명의 사람들은 돈세탁 혐의로 체포되었다.[74]2014년 8월, Avast Software는 페이로드의 일부로 비밀번호 스털링 악성코드를 배포하는 새로운 변종인 Reviewton을 발견했다고 보고했다.[75]

CryptoLocker.

2013년 9월 2048비트 RSA 키 쌍을 생성하여 명령 및 제어 서버에 차례로 업로드하고 특정 파일 확장자화이트리스트를 사용하여 파일을 암호화하는 데 사용한 CryptoLocker로 알려진 트로이 목마가 다시 등장했다.악성코드는 감염 후 3일 이내에 비트코인이나 선불 현금 바우처를 지급하지 않으면 개인 키를 삭제하겠다고 위협했다.키 크기가 매우 크기 때문에 분석가와 트로이 목마에 영향을 받은 사람들은 CryptoLocker를 복구하기가 매우 어렵다고 생각했다.[25][76][77][78]마감일이 지난 후에도 여전히 온라인 도구를 사용하여 개인 키를 얻을 수 있었지만 가격은 2013년 11월 현재 약 2300달러인 10BTC로 인상될 것이다.[79][80]

크립토Locker는 2014년 6월 2일 미국 법무부가 공식 발표한 '토바 작전'의 일환으로 게임오버 ZeuS 봇넷을 압수해 고립됐다.법무부는 또 러시아 해커 에브게니 보가체프가 봇넷에 관여한 혐의로 기소장을 공개 발부했다.[81][82]셧다운 이전에 악성코드로 최소 300만 달러가 갈취된 것으로 추정되었다.[11]

CryptoLocker.F와 TorrentLocker

2014년 9월, 호주에서 CryptoWallCryptoLocker(CryptoLocker 2.0과 동일하며 원래 CryptoLocker와 무관함)라는 이름으로 처음 사용자를 대상으로 한 랜섬웨어 트로잔의 물결이 일었다.트로이 목마는 호주 포스트에서 발송된 소포 배달 알림에 실패했다고 주장하는 사기성 이메일을 통해 퍼졌다; 악성코드를 스캔하기 위해 페이지의 모든 링크를 따라오는 자동 전자 메일 스캐너에 의한 탐지를 피하기 위해, 이 변형은 사용자가 페이로드에 실제로 다운로드되기 전에 CAPTCHA 코드를 입력하도록 하기 위해 고안되었다.ng 그러한 자동화된 프로세스들이 페이로드 스캔을 할 수 없게 된다.SymantecCryptoLocker로 식별된 이러한 새로운 변형을 결정했다.F씨는 다시 원래 CryptoLocker와는 운영상의 차이로 인해 관련이 없었다.[83][84]트로이 목사의 눈에 띄는 희생자는 호주 방송사였다; 텔레비전 뉴스 채널 ABC 뉴스 24의 생방송 프로그램은 시드니 스튜디오의 컴퓨터 크립토월 감염으로 30분 동안 중단되었고 멜버른 스튜디오로 옮겨졌다.[85][86][87]

이 물결의 또 다른 트로이 목마인 TorrentLocker는 처음에 Crypto Defense에 필적하는 설계 결함을 포함했다; 그것은 감염된 모든 컴퓨터에 대해 동일한 키스트림을 사용했기 때문에 암호화를 극복하는 것이 사소한 것으로 만들었다.그러나 이 결함은 나중에 고쳐졌다.[38]2014년 11월 말까지만 해도 호주에서만 9,000명 이상의 사용자가 TorrentLocker에 감염되어 터키에서만 11,700명의 감염자가 발생한 것으로 추정되었다.[88]

크립토월

또 다른 주요 랜섬웨어 트로이 목마는 2014년 처음 등장했다.CryptoWall의 한 변종은 2014년 9월 말 Zedo 광고 네트워크 상에서 몇몇 주요 웹사이트를 대상으로 한 부정직화 캠페인의 일환으로 배포되었다; 그 광고들은 페이로드 다운로드를 위해 브라우저 플러그인 공격을 사용하는 불량 웹사이트로 리디렉션되었다.또한 Barracuda Networks의 한 연구원은 보안 소프트웨어에 신뢰할 수 있는 것처럼 보이기 위해 디지털 서명으로 페이로드에 서명했다고 언급했다.[89]CryptoWall 3.0은 JPG 이미지로 위장한 실행 파일을 다운로드하는 이메일 첨부 파일의 일부로 자바스크립트로 작성된 페이로드(Payload)를 사용했다.탐지를 더욱 회피하기 위해, 멀웨어는 서버와 통신하기 위해 새로운 anners.exesvchost.exe 인스턴스를 생성한다.이 악성코드는 파일을 암호화하면 볼륨 섀도우 복사본도 삭제하고 비밀번호와 비트코인 지갑을 훔치는 스파이웨어도 설치한다.[90]

FBI는 2015년 6월 1000명에 가까운 피해자가 크립토월 감염 사실을 신고하기 위해 FBI의 인터넷 범죄민원센터에 연락했으며 최소 1800만 달러의 손실을 입었다고 보고했다.[12]

가장 최신 버전인 CryptoWall 4.0은 안티바이러스 탐지를 피하기 위해 코드를 강화했으며, 파일의 데이터는 물론 파일 이름까지 암호화한다.[91]

푸소브

푸소브는 주요 모바일 랜섬웨어 제품군 중 하나이다.2015년 4월부터 2016년 3월까지 모바일 랜섬웨어 계정 중 약 56%가 푸소브였다.[92]

전형적인 모바일 랜섬웨어처럼 몸값을 내도록 사람들을 갈취하기 위해 공포전술을 동원한다.[93]이 프로그램은 피해자에게 100달러에서 200달러의 벌금을 내라고 요구하거나, 그렇지 않으면 허위로 고발당국의 시늉을 한다.오히려 놀랍게도 후소브는 결제에 아이튠즈 상품권을 사용할 것을 제안한다.또한 화면을 클릭하는 타이머도 사용자들의 불안감을 가중시킨다.

기기 감염을 위해 퓨소브는 포르노 비디오 플레이어로 가장한다.따라서, 피해자들은 그것이 무해하다고 생각하면서 자신도 모르게 후소브를 다운로드 받는다.[94]

푸소브가 설치되면 먼저 장치에 사용되는 언어를 확인한다.만약 그것이 러시아어나 특정 동유럽 언어를 사용한다면, 후소브는 아무것도 하지 않는다.그렇지 않으면 계속 장치를 잠그고 몸값을 요구한다.피해자 중 약 40%가 영국, 미국과 함께 독일에 있으며, 그 다음이 각각 14.5%, 11.4%이다.

푸소브는 또 다른 주요 모바일 랜섬웨어 제품군인 스몰과 공통점이 많다.2015년부터 2016년까지 모바일 랜섬웨어의 93% 이상을 차지했다.

워너크라이

2017년 5월 워너크라이 랜섬웨어 공격은 미 국가안보국(NSA)에서 유출된 것으로 알려진 이터널블루라는 착취 벡터를 이용해 인터넷을 통해 확산됐다.전례 없는 규모의 랜섬웨어 공격은 150여 개국의 23만 대 이상의 컴퓨터를 감염시켰고,[96] 20여 개의 다른 언어를 사용하여 비트코인 암호화폐를 사용하는 사용자들에게 돈을 요구했다.[95]워너크라이는 컴퓨터당 미화 300달러를 요구했다.[97]이번 공격은 텔레포니카와 스페인의 몇몇 다른 대기업들뿐만 아니라 적어도 16개의 병원이 환자를 돌려보내거나 예정된 운영을 취소해야 했던 영국 국민건강서비스([98]NHS), 페덱스, 도이체반, 혼다,[99] 르노와 러시아 내무부, 러시아 텔레콤 메가폰에도 영향을 미쳤다.[100]공격자들은 피해자들에게 컴퓨터가 감염된 날로부터 7일 간의 시한부 선고를 내렸고, 그 후 암호화된 파일들은 삭제될 것이다.[101]

페티아

페타는 2016년 3월 처음 발견되었는데, 다른 형태의 암호화 랜섬웨어와 달리 마스터 부트 레코드를 감염시키기 위한 악성코드는 감염된 시스템이 다음에 부팅될 때 NTFS 파일 시스템의 파일 테이블을 암호화하는 페이로드(payload)를 설치하여 몸값이 지불될 때까지 시스템이 윈도우로 부팅되는 것을 전혀 차단했다.체크포인트는 랜섬웨어 디자인의 혁신적인 진화라고 믿었지만 비슷한 시기에 다른 랜섬웨어보다 상대적으로 감염이 적은 것으로 나타났다고 전했다.[102]

2017년 6월 27일, 주로 우크라이나를 목표로 하는 세계적인 사이버 공격(그러나 많은 국가에[103] 영향을 미침)에 많이 수정된 페타가 사용되었다.이 버전은 WannaCry가 사용한 것과 동일한 EvernitiveBlue 공격을 사용하여 전파되도록 수정되었다.또 다른 설계 변경으로 인해 몸값이 지불된 후 실제로 시스템을 잠금 해제할 수 없게 되었다. 이는 보안 분석가들이 이번 공격이 불법적인 이익을 창출하기 위한 것이 아니라 단순히 혼란을 야기하기 위한 것이었을 것이라고 추측하게 만들었다.[104][105]

배드 래빗

2017년 10월 24일 러시아와 우크라이나의 일부 사용자들은 워너크라이, 페티아와 유사한 패턴을 따라 사용자의 파일 테이블을 암호화한 뒤 이를 해독하기 위해 비트코인 결제를 요구하는 '배드 래빗'이라는 이름의 새로운 랜섬웨어 공격을 신고했다.ESET는 이 랜섬웨어가 어도비 플래시 소프트웨어에 대한 가짜 업데이트에 의해 배포되었다고 믿었다.[106]랜섬웨어의 영향을 받은 기관 중에는 다음과 같은 것이 있었다.인테르팍스, 오데사 국제공항, 키이브 메트로, 우크라이나 인프라부.[107]기업 네트워크 구조를 활용해 확산하면서 터키 독일 폴란드 일본 한국 미국 등 다른 나라에서도 랜섬웨어가 발견됐다.[108]전문가들은 입방은 유일한 정체성을 랜섬 웨어 공격은 Petya 공격에 우크라이나(특히 나쁜 토끼의 코드 Petya[109]의 규칙에 많은 유추 중복 요소 CrowdStrike 나쁜 토끼와 NotPetya의 DLL(동적 연결 라이브러리를 사용할 수 있)는 같은 code[110]의 67%에서 묶여 있다고 믿었다.lprits 맞게 된다.e 코드에 포함된 왕좌게임 시리즈의 등장인물 이름.[108]

보안 전문가들은 랜섬웨어가 이터널블루(EnternalBlue)를 이용해 퍼진 것이 아니라 2017년 10월 24일까지 구형 윈도우 버전을 실행하는 영향을 받지 않는 기계를 접종하는 간단한 방법이 발견됐다고 밝혔다.[111][112]게다가, 가짜 플래시 업데이트를 퍼뜨리는 데 사용되었던 사이트들은 그것이 발견된 지 며칠 만에 오프라인으로 전환되거나 문제가 있는 파일들을 제거하여, 배드 래빗의 확산을 효과적으로 죽였다.[108]

삼삼

2016년 JBoss 서버를 겨냥한 새로운 랜섬웨어가 등장했다.[113]'삼삼'이라는 이름의 이 변종은 취약한 서버의 취약점을 악용하기 위해 피싱이나 불법 다운로드를 하는 과정을 우회하는 것으로 드러났다.[114]이 악성코드는 원격 데스크톱 프로토콜의 무차별 공격을 사용하여 취약한 암호를 해독할 때까지 추측한다.뉴멕시코주 파밍턴, 콜로라도주 교통부, 노스캐롤라이나주 데이비드슨카운티, 그리고 가장 최근에는 애틀랜타의 인프라에 대한 중대한 보안 위반이 발생하면서 정부와 보건대상에 대한 공격의 배후가 되었다.[114]

모하마드 메흐디 샤 만수리(1991년 이란 출생)와 파라마츠 샤히 사반디(1984년 이란 시라즈 출생)는 샘샘 랜섬웨어를 출시한 혐의로 FBI의 수배를 받고 있다.[115]두 사람은 강탈로 600만 달러를 벌어들였고 악성코드를 이용해 3000만 달러 이상의 피해를 입힌 것으로 알려졌다.[116]

다크사이드

2021년 5월 7일 미국 식민지배관에서 사이버 공격이 실행되었다.연방수사국다크사이드악성코드에 의해 자행된 콜로니얼 파이프라인 랜섬웨어 공격의 가해자로 지목해 미국 동부 해안에 45%의 연료를 공급하는 메인 파이프라인을 자진 폐쇄했다.이번 공격은 미국의 중요 인프라에 대한 최악의 사이버 공격으로 묘사됐다.다크사이드사는 콜로니얼 파이프라인에서 약 75 비트코인(약 500만 달러)을 탈취하는 데 성공했다.미 관리들은 이번 공격이 순수하게 범죄인지, 러시아 정부나 다른 국가 후원자가 개입해 이뤄졌는지 조사하고 있다.이 공격에 이어 다크사이드도 성명을 내고 "우리는 정치적이 아니며 지정학에 참여하지 않는다...우리의 목표는 돈을 벌고 사회를 위한 문제를 만들지 않는 것이다."

5월 10일 SentinelOne은 다크사이드 랜섬웨어 공격에 대한 분석을 발표했다.

2021년 5월 FBI와 사이버보안인프라 보안국은 중요 인프라의 소유자와 운영자가 일반적으로 다크사이드 랜섬웨어와 랜섬웨어에 대한 취약성을 줄이기 위해 일정한 조치를 취할 것을 촉구하는 공동 경보를 발령했다.

시스템키

Syskey사용자 계정 데이터베이스를 암호화하기 위해 Windows NT 기반 운영 체제에 포함된 유틸리티로, 선택적으로 암호를 사용한다.이 도구는 때때로 기술 지원 사기를 치는 동안 랜섬웨어로 효과적으로 사용되었는데, 이 경우 컴퓨터에 원격으로 액세스한 발신자는 이 도구를 사용하여 사용자에게만 알려진 암호로 사용자를 컴퓨터에서 잠글 수 있다.[117]Syskey는 구식이고 "랜섬웨어 사기의 일부로 해커가 사용하는 것으로 알려져 있다"[118][119]는 이유로 2017년 이후 버전의 Windows 10과 Windows Server에서 제거되었다.

서비스형 랜섬웨어

랜섬웨어aaS(Randomware-as-a-Service, RaaS)는 2021년 5월 러시아 또는[120] 러시아어를[121] 사용하는 그룹 레빌이 브라질에 본사를 둔 JBS S.A.A., 2021년 7월 미국 카세야 Limited 등 여러 타깃을 상대로 작전을 벌인 이후 주목할 만한 수법이 되었다.[122]바이든은 2021년 7월 9일 조 바이든 미국 대통령과 블라디미르 푸틴 러시아 대통령의 전화통화 후 기자들에게 미국은 비록 국가가 후원하지는 않지만 자기 땅에서 랜섬웨어 작전이 들어올 때 충분한 정보를 주면 그들이 행동할 것으로 기대한다는 점을 분명히 했다.o는 그것이 누구인가에 따라 행동한다.바이든은 나중에 푸틴이 그렇게 하지 않는다면 미국은 이 그룹의 서버를 무너뜨릴 것이라고 덧붙였다.[123][124]나흘 후, 레빌 웹사이트와 다른 기반 시설들은 인터넷에서 사라졌다.[125]

완화

공격이 의심되거나 초기 단계에서 탐지된 경우 암호화가 수행되는 데 다소 시간이 소요되며, 완료되기 전에 맬웨어(상대적으로 간단한 프로세스)를 즉시 제거하면 이미 손실된 데이터를 복구하지 않고 데이터에 대한 추가 손상을 방지할 수 있다.[126][127]

보안 전문가들은 랜섬웨어를 다루기 위한 예방 조치를 제안했다.알려진 페이로드의 발사를 막기 위해 소프트웨어나 다른 보안 정책을 사용하는 것은 감염을 방지하는 데는 도움이 되지만 모든 공격으로부터[25][128] 보호하지는 못할 것이다.그러므로 적절한 백업 솔루션을 갖추는 것은 랜섬웨어를 방어하기 위한 중요한 요소다.많은 랜섬웨어 공격자는 피해자의 라이브 머신을 암호화할 뿐만 아니라 NAS에 로컬로 저장되거나 네트워크를 통해 액세스할 수 있는 핫 백업도 삭제하려고 할 것이기 때문에 외부와 같이 잠재적으로 감염된 컴퓨터에서 액세스할 수 없는 위치에 저장된 데이터의 "오프라인" 백업을 유지하는 것이 중요하다.네트워크(인터넷 포함)에 대한 액세스 권한이 없는 스토리지 드라이브 또는 장치는 랜섬웨어에 의해 액세스되는 것을 방지한다.또한 NAS 또는 클라우드 스토리지를 사용하는 경우 컴퓨터는 이전 백업을 삭제하거나 덮어쓸 수 없도록 대상 스토리지에 대한 추가 전용 사용 권한을 가져야 한다.코모도에 따르면 OS/KernelAttack Surface Reduction을 두 번 적용하면 보안 태세가 강화되는 물질적으로 줄어든 공격 표면이 제공된다.[129][130][131]

소프트웨어 벤더가 발행한 보안 업데이트를 설치하면 특정 변종이 전파하는 취약성을 완화할 수 있다.[132][133][134][135][136]다른 조치로는 사이버 위생 - 이메일 첨부파일 및 링크를 열 때 주의하기, 네트워크 세분화, 중요 컴퓨터 네트워크로부터 격리된 상태를 유지하는 것 등이 있다.[137][138]나아가 감염관리 랜섬웨어 대책의 확산을 완화하기 위해 적용할 수 있다.[139]여기에는 모든 네트워크, 교육 프로그램,[140] 효과적인 통신 채널, 악성 프로그램 감시[original research?] 및 집단 참여[139] 방법의 단절이 포함될 수 있다.

랜섬웨어에 대한 파일 시스템 방어

다수의 파일 시스템은 보유하고 있는 데이터의 스냅샷을 보관하는데, 랜섬웨어가 이를 비활성화하지 않을 경우 랜섬웨어 공격 전 시점부터 파일의 내용을 복구하는 데 사용할 수 있다.

  • 윈도우즈에서는 VSS(볼륨 섀도 복사본)를 사용하여 데이터 백업을 저장하는 경우가 많으며, 랜섬웨어는 복구를 방지하기 위해 이러한 스냅샷을 대상으로 하므로 사용자 도구 VSSadmin에 대한 사용자 액세스를 비활성화하는 것이 권장된다.랜섬웨어가 과거 복사본을 비활성화하거나 삭제할 수 있는 위험을 줄이기 위해 exe.
  • Windows 10에서 사용자는 랜섬웨어로부터 보호하기 위해 Windows Defender의 Controlled Folder Access에 특정 디렉토리 또는 파일을 추가할 수 있다.[141]Controlled Folder Access에 백업 및 기타 중요한 디렉터리를 추가하는 것이 좋다.
  • ZFS 관리 명령을 실행하도록 코드화된 공격을 배포하는 데 있어 멀웨어가 ZFS 호스트 시스템에 뿌리를 내리지 않는 한, ZFS를 실행하는 파일 서버는 랜섬웨어에 대한 면역이 넓다. ZFS는 한 시간에 여러 번 대형 파일 시스템도 스냅샷할 수 있고, 이러한 스냅샷은 고정할 수 없으며(읽기 전용), 쉽게 롤백되거나 복구되는 파일이 있기 때문이다.데이터 [142]손상 사건일반적으로 관리자만 스냅샷을 삭제할 수 있지만 수정할 수는 없다.

파일 암호 해독 및 복구

성공적인 복구가 불가능할 수도 있지만 랜섬웨어에 의해 잠긴 파일을 해독하기 위해 특별히 고안된 많은 도구들이 있다.[2][143]모든 파일에 동일한 암호화 키를 사용할 경우 암호 해독 도구는 손상되지 않은 백업과 암호화된 복사본(암호분석의 전문 용어에 알려진 일반 텍스트 공격)이 모두 있는 파일을 사용한다.그러나, 공격자가 사용한 암호는 알려진-일반 텍스트 공격에 취약하여 시작하기에 약할 때에만 작동된다; 가능하다면, 키의 복구는 며칠이 걸릴 수 있다.[144]Free ransomware decryption tools can help decrypt files encrypted by the following forms of ransomware: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear, Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt, XData.[145]노모어 몸값 프로젝트는 네덜란드 경찰 국가 하이테크 범죄단, 유로폴 유럽사이버범죄센터, 카스퍼스키랩, 맥아피가 몸값을 지불하지 않고 랜섬웨어 피해자들이 데이터를 복구할 수 있도록 지원하는 사업이다.[146]그들은 암호화된 파일을 분석하고 암호 해독 도구를 검색할 수 있는 무료 CryptoSheriff 도구를 제공한다.[147]

또한 이전에 삭제된 파일의 이전 복사본이 디스크에 존재할 수 있다.어떤 경우에는 삭제된 이러한 버전은 그러한 목적으로 설계된 소프트웨어를 사용하여 여전히 복구할 수 있다.

성장

랜섬웨어 악성 소프트웨어는 처음에는 동유럽의 한두 나라에만 국한되었고, 이후 대서양 전역으로 미국과 캐나다로 확산되었다.[148]2020년 사이버 공격 건수는 2019년의 두 배였다.[149]이러한 유형의 악성코드의 첫 번째 버전은 다양한 기술을 사용하여 피해자 시스템 머신(Locker 랜섬웨어)을 잠가 컴퓨터를[148] 무력화시켰다[133].랜섬웨어는 피해자들을 갈취하기 위해 다른 전술을 사용한다.가장 흔한 방법 중 하나는 피해자가 불법행위에 대해 벌금을 내야 한다는 지방법 집행부의 메시지를 표시하여 기기의 화면을 잠그는 것이다.랜섬웨어는 프리미엄 요금 번호로 SMS 메시지를 보내 결제를 요청할 수 있다.일부 비슷한 변종 악성코드는 포르노 이미지 콘텐츠를 표시하고 이를 제거하기 위한 대금을 요구했다.[148]

2011년까지 랜섬웨어 전술은 발전했다.공격자는 전자 결제 방법뿐만 아니라 영향을 받는 기기에 대한 언어 현지화 방법을 사용하기 시작했다.

기업, 민간단체, 정부, 병원 등은 이런 악의적인 공격의 영향을 받을 수 있다.2016년에는 병원에 대한 랜섬웨어 공격의 상당한 상승세가 두드러졌다.시만텍의 2017년 인터넷 보안 위협 보고서에 따르면 랜섬웨어는 IT 시스템뿐 아니라 환자 진료, 임상 운영, 청구서 작성 등에 영향을 미쳤다.온라인 범죄자들은 이용할 수 있는 돈과 의료 시스템 내의 긴박감에 의해 동기부여가 될 수 있다.[150]

랜섬웨어는 인터넷 사용자뿐만 아니라 IoT 환경에서도[148] 빠르게 성장하고 있어 IOOSEC에 도전적인 문제가 발생하면서 공격면적을 늘리고 있다.그들은 더욱 정교한 공격으로 진화하고 있고, 그들은 점점 더 저항적이 되어가고 있다. 동시에, 그들은 그 어느 때보다도 더 접근하기 쉽다.오늘날, 저렴한 가격으로 공격자들은 랜섬웨어를 서비스로 이용할 수 있다.큰 문제는 할리우드 장로병원과 메드스타헬스 등 지급을 결정한 일부 기관과 산업에 의해 수백만 달러의 손실이 발생한다는 점이다.[151]결국 환자들에게 서비스를 제공하고 생명을 유지하라는 압박감이 너무 중요해서 어쩔 수 없이 돈을 지불하게 되고, 공격자는 그것을 알고 있다.여기서 문제는 몸값을 지불함으로써 사이버 범죄에 자금을 대고 있다는 것이다.

시만텍 2019 ISTR 보고서에 따르면 2013년 이후 처음으로 2018년 랜섬웨어 활동이 20% 감소하는 것으로 관측됐다.2017년 이전에는 소비자가 선호되는 피해자였지만, 2017년에는 이것이 극적으로 변화하면서 기업으로 옮겨갔다.2018년 이 경로는 81%의 감염으로 가속화되었으며 이는 12%의 증가를 의미한다.[152]오늘날 일반적인 배포 방법은 이메일 캠페인을 기반으로 한다.

랜섬웨어 공격 이후 처음으로 보고된 사망자는 2020년 10월 독일의 한 병원에서였다.[153]

효과적이고 성공적인 사이버 인식 훈련 프로그램은 비준수, 훈련 빈도 및 훈련 인정 과정을 효과적으로 요약하는 지원 정책과 절차를 통해 조직의 최고 책임자에게서 후원되어야 한다."C급" 간부들의 후원이 없다면 이 훈련을 무시할 수 없다.성공적인 사이버 인식 훈련 프로그램의 다른 핵심 요인은 조직의 지식 수준을 식별하는 기준선을 설정하여 사용자가 훈련 전 및 후에 지식의 위치를 설정하는 것이다.조직이 어떤 접근법을 시행하기로 결정하든, 조직은 최신의 교육을 제공하고 자주 수행되며 조직 전체의 지원을 위에서 아래로 받는 정책과 절차를 갖추는 것이 중요하다.

이러한 위협을 탐지하고 막기 위한 기술에 대한 투자는 유지되어야 하지만, 그와 함께 우리는 가장 약한 링크인 사용자라는 것을 기억하고 집중해야 한다.

범죄 체포 및 유죄 판결

자인 카이저

런던 바킹 출신의 영국인 제인 카이저 학생이 2019년 랜섬웨어 공격으로 킹스턴 크라운 법원에서 6년 넘게 수감됐다.[154]그는 "영국에서 선고된 사이버 범죄 중 가장 다작"이라고 한다.그는 겨우 17살 때 활동적이 되었다.그는 러크 악성코드 조직으로 추정되는 가장 강력한 공격의 통제관과 접촉해 그의 이익의 분배를 주선했다.그는 또한 중국과 미국의 온라인 범죄자들과 접촉하여 돈을 옮겼다고 한다.약 1년 반 동안, 그는 세계에서 가장 많이 방문하는 몇몇 합법적인 포르노 웹사이트에 대한 온라인 광고의 합법적인 공급자로서 포즈를 취했다.웹사이트에서 홍보된 각각의 광고에는 기계를 장악하는 악의적인 앵글러 공격키트(AEK)[155]리비턴 랜섬웨어 변종이 포함되어 있었다.수사관들은 비록 그의 네트워크가 4백만 파운드 이상을 벌었을지는 몰라도 약 70만 파운드의 수익을 발견했다.그가 가상화폐를 이용해 돈을 숨겼을 수도 있다.랜섬웨어는 피해자들에게 그린닷 머니팍 쿠폰을 사라고 지시하고 화면에 표시된 리비턴 패널에 코드를 입력하게 된다.이 돈은 Qaiser가 관리하는 MoneyPak 계좌로 들어갔고, 그는 2012년과 2013년 당시 플로리다 국제대학 학생이었으며 이후 마이크로소프트에서 일했던 레이먼드 오디기 우아디알레의 직불카드에 바우처 지불금을 입금했다.Uadiale는 이 돈을 Liberty Reserve 디지털 통화로 변환하여 Qaiser의 Liberty Reserve 계좌에 입금할 것이다.[156]

이 사건의 돌파구는 2013년 5월 몇몇 국가의 당국이 리버티 예비역 서버를 장악하면서 모든 거래와 계좌 이력에 접근할 수 있게 되면서 발생했다.Qaiser는 Mac과 Windows 운영 체제를 모두 갖춘 Macbook Pro에서 암호화된 가상 머신을 실행하고 있었다.[157]그는 굿메이즈 병원에서 영국 정신건강법에 따라 구획(병원 와이파이를 이용해 자신의 광고 사이트에 접속하고 있는 것으로 밝혀져)되어 더 일찍 재판을 받을 수 없었다.그의 변호사는 카이저가 정신질환을 앓았다고 주장했다.[154]러시아 경찰은 2016년 6월 루크 악성코드 조직원 50명을 체포했다.[158]미국 나이지리아계 귀화한 우아디알레는 18개월 동안 수감되었다.[159]

언론의 자유 도전과 형사 처벌

개념 증명 공격 코드의 발행은 학계 연구자와 취약성 연구자 사이에 흔하다.위협의 본질을 가르치고 사안의 중대성을 전달하며 대응책을 강구하고 투입할 수 있도록 한다.그러나 법 집행 기구의 지원을 받는 국회의원들은 랜섬웨어를 불법으로 만드는 것을 고려하고 있다.메릴랜드 주에서는, HB 340의 초안이 랜섬웨어를 만드는 것을 중범죄로 만들어, 최고 10년의 징역형을 받을 수 있다.[160]그러나 이 조항은 법안의 최종본에서 삭제되었다.[161]일본의 한 미성년자가 랜섬웨어 코드를 만들어 배포한 혐의로 체포되었다.[162]영과 은 2005년부터 온라인 랜섬웨어 크립토트로잔에 대한 ANSI C 소스 코드를 가지고 있다.크립토트로잔에 대한 소스 코드는 여전히 인터넷상에 살아 있으며 제2장의 초안과 연관되어 있다.[163]

참고 항목

참조

  1. ^ a b c d e f g Young, A.; M. Yung (1996). Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy. pp. 129–140. doi:10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.
  2. ^ a b Schofield, Jack (28 July 2016). "How can I remove a ransomware infection?". The Guardian. Retrieved 28 July 2016.
  3. ^ Mimoso, Michael (28 March 2016). "Petya Ransomware Master File Table Encryption". threatpost.com. Retrieved 28 July 2016.
  4. ^ Justin Luna (21 September 2016). "Mamba ransomware encrypts your hard drive, manipulates the boot process". Neowin. Retrieved 5 November 2016.
  5. ^ Cameron, Dell (13 May 2017). "Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It". Gizmodo. Retrieved 13 May 2017.
  6. ^ a b c d e Dunn, John E. "Ransom Trojans spreading beyond Russian heartland". TechWorld. Archived from the original on 2 July 2014. Retrieved 10 March 2012.
  7. ^ a b "New Internet scam: Ransomware..." FBI. 9 August 2012.
  8. ^ a b "Citadel malware continues to deliver Reveton ransomware..." Internet Crime Complaint Center (IC3). 30 November 2012.
  9. ^ "Ransomware back in big way, 181.5 million attacks since January". Help Net Security. 11 July 2018. Retrieved 20 October 2018.
  10. ^ "Update: McAfee: Cyber criminals using Android malware and ransomware the most". InfoWorld. 3 June 2013. Retrieved 16 September 2013.
  11. ^ a b "Cryptolocker victims to get files back for free". BBC News. 6 August 2014. Retrieved 18 August 2014.
  12. ^ a b "FBI says crypto ransomware has raked in >$18 million for cybercriminals". Ars Technica. 25 June 2015. Retrieved 25 June 2015.
  13. ^ "Internet Crime Report 2020" (PDF). Ic3.gov. Retrieved 1 March 2022.
  14. ^ a b Young, Adam L.; Yung, Moti (2017). "Cryptovirology: The Birth, Neglect, and Explosion of Ransomware". 60 (7). Communications of the ACM: 24–26. Retrieved 27 June 2017. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  15. ^ a b "Ransomware squeezes users with bogus Windows activation demand". Computerworld. 11 April 2011. Retrieved 9 March 2012.
  16. ^ a b "Police warn of extortion messages sent in their name". Helsingin Sanomat. Retrieved 9 March 2012.
  17. ^ a b McMillian, Robert (31 August 2010). "Alleged Ransomware Gang Investigated by Moscow Police". PC World. Retrieved 10 March 2012.
  18. ^ "Ransomware: Fake Federal German Police (BKA) notice". SecureList (Kaspersky Lab). Retrieved 10 March 2012.
  19. ^ "And Now, an MBR Ransomware". SecureList (Kaspersky Lab). Retrieved 10 March 2012.
  20. ^ Adam Young (2005). Zhou, Jianying; Lopez, Javier (eds.). "Building a Cryptovirus Using Microsoft's Cryptographic API". Information Security: 8th International Conference, ISC 2005. Springer-Verlag. pp. 389–401.
  21. ^ Young, Adam (2006). "Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?". International Journal of Information Security. 5 (2): 67–76. doi:10.1007/s10207-006-0082-7. S2CID 12990192.
  22. ^ Danchev, Dancho (22 April 2009). "New ransomware locks PCs, demands premium SMS for removal". ZDNet. Archived from the original on 26 April 2009. Retrieved 2 May 2009.
  23. ^ "Ransomware plays pirated Windows card, demands $143". Computerworld. 6 September 2011. Retrieved 9 March 2012.
  24. ^ Cheng, Jacqui (18 July 2007). "New Trojans: give us $300, or the data gets it!". Ars Technica. Retrieved 16 April 2009.
  25. ^ a b c "You're infected—if you want to see your data again, pay us $300 in Bitcoins". Ars Technica. 17 October 2013. Retrieved 23 October 2013.
  26. ^ a b "CryptoDefense ransomware leaves decryption key accessible". Computerworld. IDG. April 2014. Retrieved 7 April 2014.
  27. ^ "What to do if Ransomware Attacks on your Windows Computer?". Techie Motto. Archived from the original on 23 May 2016. Retrieved 25 April 2016.
  28. ^ Adam, Sally (12 May 2020). "The state of ransomware 2020". Sophos News. Retrieved 18 September 2020.
  29. ^ Kassner, Michael. "Ransomware: Extortion via the Internet". TechRepublic. Retrieved 10 March 2012.
  30. ^ Sebastiaan von Solms; David Naccache (1992). "On Blind 'Signatures and Perfect Crimes" (PDF). Computers & Security. 11 (6): 581–583. doi:10.1016/0167-4048(92)90193-U. S2CID 23153906. Archived from the original (PDF) on 26 October 2017. Retrieved 25 October 2017.
  31. ^ Schaibly, Susan (26 September 2005). "Files for ransom". Network World. Retrieved 17 April 2009.
  32. ^ Leyden, John (24 July 2006). "Ransomware getting harder to break". The Register. Retrieved 18 April 2009.
  33. ^ Naraine, Ryan (6 June 2008). "Blackmail ransomware returns with 1024-bit encryption key". ZDNet. Archived from the original on 3 August 2008. Retrieved 3 May 2009.
  34. ^ Lemos, Robert (13 June 2008). "Ransomware resisting crypto cracking efforts". SecurityFocus. Retrieved 18 April 2009.
  35. ^ Krebs, Brian (9 June 2008). "Ransomware Encrypts Victim Files with 1,024-Bit Key". The Washington Post. Retrieved 16 April 2009.
  36. ^ "Kaspersky Lab reports a new and dangerous blackmailing virus". Kaspersky Lab. 5 June 2008. Retrieved 11 June 2008.
  37. ^ Violet Blue (22 December 2013). "CryptoLocker's crimewave: A trail of millions in laundered Bitcoin". ZDNet. Retrieved 23 December 2013.
  38. ^ a b "Encryption goof fixed in TorrentLocker file-locking malware". PC World. 17 September 2014. Retrieved 15 October 2014.
  39. ^ "Cryptolocker 2.0 – new version, or copycat?". WeLiveSecurity. ESET. 19 December 2013. Retrieved 18 January 2014.
  40. ^ "New CryptoLocker Spreads via Removable Drives". Trend Micro. 26 December 2013. Archived from the original on 4 November 2016. Retrieved 18 January 2014.
  41. ^ "Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files". ExtremeTech. Ziff Davis Media. Archived from the original on 19 August 2014. Retrieved 18 August 2014.
  42. ^ "File-encrypting ransomware starts targeting Linux web servers". PC World. IDG. 9 November 2015. Retrieved 31 May 2016.
  43. ^ "Cybercriminals Encrypt Website Databases in "RansomWeb" Attacks". SecurityWeek. Retrieved 31 May 2016.
  44. ^ "Hackers holding websites to ransom by switching their encryption keys". The Guardian. Retrieved 31 May 2016.
  45. ^ "The new .LNK between spam and Locky infection". Blogs.technet.microsoft.com. 19 October 2016. Retrieved 25 October 2017.
  46. ^ Muncaster, Phil (13 April 2016). "PowerShell Exploits Spotted in Over a Third of Attacks".
  47. ^ "New ransomware employs Tor to stay hidden from security". The Guardian. Retrieved 31 May 2016.
  48. ^ a b "The current state of ransomware: CTB-Locker". Sophos Blog. Sophos. 31 December 2015. Retrieved 31 May 2016.
  49. ^ Brook, Chris (4 June 2015). "Author Behind Ransomware Tox Calls it Quits, Sells Platform". Retrieved 6 August 2015.
  50. ^ Dela Paz, Roland (29 July 2015). "Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block". Archived from the original on 2 August 2015. Retrieved 6 August 2015.
  51. ^ a b "Symantec classifies ransomware as the most dangerous cyber threat – Tech2". 22 September 2016. Retrieved 22 September 2016.
  52. ^ "Ransomware reportedly to blame for outage at US hospital chain". The Verge. 28 September 2020. Retrieved 28 September 2020.
  53. ^ Leyden, John. "Russian cops cuff 10 ransomware Trojan suspects". The Register. Retrieved 10 March 2012.
  54. ^ "Criminals push ransomware hosted on GitHub and SourceForge pages by spamming 'fake nude pics' of celebrities". TheNextWeb. 7 February 2013. Retrieved 17 July 2013.
  55. ^ "New OS X malware holds Macs for ransom, demands $300 fine to the FBI for 'viewing or distributing' porn". TheNextWeb. 15 July 2013. Retrieved 17 July 2013.
  56. ^ "Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges". Ars Technica. 26 July 2013. Retrieved 31 July 2013.
  57. ^ Young, A. (2003). Non-Zero Sum Games and Survivable Malware. IEEE Systems, Man and Cybernetics Society Information Assurance Workshop. pp. 24–29.
  58. ^ A. Young, M. Yung (2004). Malicious Cryptography: Exposing Cryptovirology. Wiley. ISBN 978-0-7645-4975-5.
  59. ^ Arntz, Pieter (10 July 2020). "Threat spotlight: WastedLocker, customized ransomware". Malwarebytes Labs. Retrieved 27 July 2020.
  60. ^ Ricker, Thomas (27 July 2020). "Garmin confirms cyber attack as fitness tracking systems come back online". The Verge. Retrieved 27 July 2020.
  61. ^ a b "Ransomware on mobile devices: knock-knock-block". Kaspersky Lab. Retrieved 6 December 2016.
  62. ^ a b "Your Android phone viewed illegal porn. To unlock it, pay a $300 fine". Ars Technica. 6 May 2014. Retrieved 9 April 2017.
  63. ^ "New Android ransomware uses clickjacking to gain admin privileges". PC World. 27 January 2016. Retrieved 9 April 2017.
  64. ^ "Here's How to Overcome Newly Discovered iPhone Ransomware". Fortune. Retrieved 9 April 2017.
  65. ^ "Ransomware scammers exploited Safari bug to extort porn-viewing iOS users". Ars Technica. 28 March 2017. Retrieved 9 April 2017.
  66. ^ Al-Hawawreh, Muna; den Hartog, Frank; Sitnikova, Elena (2019). "Targeted Ransomware: A New Cyber Threat to Edge System of Brownfield Industrial Internet of Things". IEEE Internet of Things Journal. 6 (4): 7137–7151. doi:10.1109/JIOT.2019.2914390. S2CID 155469264.
  67. ^ Palmer, Danny. "This is how ransomware could infect your digital camera". ZDNet. Retrieved 13 August 2019.
  68. ^ "Gardaí warn of 'Police Trojan' computer locking virus". TheJournal.ie. Retrieved 31 May 2016.
  69. ^ "Barrie computer expert seeing an increase in the effects of the new ransomware". Barrie Examiner. Postmedia Network. Retrieved 31 May 2016.
  70. ^ "Fake cop Trojan 'detects offensive materials' on PCs, demands money". The Register. Retrieved 15 August 2012.
  71. ^ a b "Reveton Malware Freezes PCs, Demands Payment". InformationWeek. Retrieved 16 August 2012.
  72. ^ Dunn, John E. "Police alert after ransom Trojan locks up 1,100 PCs". TechWorld. Archived from the original on 2 July 2014. Retrieved 16 August 2012.
  73. ^ Constantian, Lucian (9 May 2012). "Police-themed Ransomware Starts Targeting US and Canadian Users". PC World. Retrieved 11 May 2012.
  74. ^ "Reveton 'police ransom' malware gang head arrested in Dubai". TechWorld. Archived from the original on 14 December 2014. Retrieved 18 October 2014.
  75. ^ "'Reveton' ransomware upgraded with powerful password stealer". PC World. 19 August 2014. Retrieved 18 October 2014.
  76. ^ "Disk encrypting Cryptolocker malware demands $300 to decrypt your files". Geek.com. 11 September 2013. Archived from the original on 4 November 2016. Retrieved 12 September 2013.
  77. ^ Ferguson, Donna (19 October 2013). "CryptoLocker attacks that hold your computer to ransom". The Guardian. Retrieved 23 October 2013.
  78. ^ "Destructive malware "CryptoLocker" on the loose – here's what to do". Naked Security. Sophos. 12 October 2013. Retrieved 23 October 2013.
  79. ^ "CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service". NetworkWorld. 4 November 2013. Retrieved 5 November 2013.
  80. ^ "CryptoLocker creators try to extort even more money from victims with new service". PC World. 4 November 2013. Retrieved 5 November 2013.
  81. ^ "Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet". Computerworld. IDG. Archived from the original on 3 July 2014. Retrieved 18 August 2014.
  82. ^ "U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator". Justice.gov. U.S. Department of Justice. Retrieved 18 August 2014.
  83. ^ "Australians increasingly hit by global tide of cryptomalware". Symantec. Retrieved 15 October 2014.
  84. ^ Grubb, Ben (17 September 2014). "Hackers lock up thousands of Australian computers, demand ransom". Sydney Morning Herald. Retrieved 15 October 2014.
  85. ^ "Australia specifically targeted by Cryptolocker: Symantec". ARNnet. 3 October 2014. Retrieved 15 October 2014.
  86. ^ "Scammers use Australia Post to mask email attacks". Sydney Morning Herald. 15 October 2014. Retrieved 15 October 2014.
  87. ^ Steve Ragan (7 October 2014). "Ransomware attack knocks TV station off air". CSO. Retrieved 15 October 2014.
  88. ^ "Over 9,000 PCs in Australia infected by TorrentLocker ransomware". CSO.com.au. 17 December 2014. Retrieved 18 December 2014.
  89. ^ "Malvertising campaign delivers digitally signed CryptoWall ransomware". PC World. 29 September 2014. Retrieved 25 June 2015.
  90. ^ "CryptoWall 3.0 Ransomware Partners With FAREIT Spyware". Trend Micro. 20 March 2015. Retrieved 25 June 2015.
  91. ^ Andra Zaharia (5 November 2015). "Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect". HEIMDAL. Retrieved 5 January 2016.
  92. ^ "Ransomware on mobile devices: knock-knock-block". Kaspersky Lab. Retrieved 4 December 2016.
  93. ^ "The evolution of mobile ransomware". Avast. Retrieved 4 December 2016.
  94. ^ "Mobile ransomware use jumps, blocking access to phones". PCWorld. IDG Consumer & SMB. 30 June 2016. Retrieved 4 December 2016.
  95. ^ "Cyber-attack: Europol says it was unprecedented in scale". BBC News. 13 May 2017. Retrieved 13 May 2017.
  96. ^ "'Unprecedented' cyberattack hits 200,000 in at least 150 countries, and the threat is escalating". CNBC. 14 May 2017. Retrieved 16 May 2017.
  97. ^ "The real victim of ransomware: Your local corner store". CNET. Retrieved 22 May 2017.
  98. ^ Marsh, Sarah (12 May 2017). "The NHS trusts hit by malware – full list". The Guardian. Retrieved 12 May 2017.
  99. ^ "Honda halts Japan car plant after WannaCry virus hits computer network". Reuters. 21 June 2017. Retrieved 21 June 2017.
  100. ^ "The Latest: Russian Interior Ministry is hit by cyberattack". WTHR.
  101. ^ Scott, Paul Mozur, Mark; Goel, Vindu (19 May 2017). "Victims Call Hackers' Bluff as Ransomware Deadline Nears". The New York Times. ISSN 0362-4331. Retrieved 22 May 2017.
  102. ^ Constantin, Lucian. "Petya ransomware is now double the trouble". NetworkWorld. Retrieved 27 June 2017.
  103. ^ "Ransomware Statistics for 2018 Safety Detective". Safety Detective. 23 October 2018. Retrieved 20 November 2018.
  104. ^ "Tuesday's massive ransomware outbreak was, in fact, something much worse". Ars Technica. 28 June 2017. Retrieved 28 June 2017.
  105. ^ "Cyber-attack was about data and not money, say experts". BBC News. 29 June 2017. Retrieved 29 June 2017.
  106. ^ "'Bad Rabbit' ransomware strikes Ukraine and Russia". BBC. 24 October 2017. Retrieved 24 October 2017.
  107. ^ Hern, Alex (25 October 2017). "Bad Rabbit: Game of Thrones-referencing ransomware hits Europe". Theguardian.com. Retrieved 25 October 2017.
  108. ^ a b c Larson, Selena (25 October 2017). "New ransomware attack hits Russia and spreads around globe". CNN. Retrieved 25 October 2017.
  109. ^ "BadRabbit: a closer look at the new version of Petya/NotPetya". Malwarebytes Labs. 24 October 2017. Retrieved 31 July 2019.
  110. ^ Palmer, Danny. "Bad Rabbit: Ten things you need to know about the latest ransomware outbreak". ZDNet. Retrieved 31 July 2019.
  111. ^ Cameron, Dell (24 October 2017). "'Bad Rabbit' Ransomware Strikes Russia and Ukraine". Gizmodo. Retrieved 24 October 2017.
  112. ^ Palmer, Danny (24 October 2017). "Bad Rabbit ransomware: A new variant of Petya is spreading, warn researchers". ZDNet. Retrieved 24 October 2017.
  113. ^ Rashid, Fahmida Y. (19 April 2016). "Patch JBoss now to prevent SamSam ransomware attacks". InfoWorld. IDG. Retrieved 23 July 2018.
  114. ^ a b Crowe, Jonathan (March 2018). "City of Atlanta Hit with SamSam Ransomware: 5 Key Things to Know". Barkley vs Malware. Barkley Protects, Inc. Retrieved 18 July 2018.
  115. ^ Federal Bureau of Investigation, Wanted by the FBI: SamSam Subjects (PDF), U.S. Department of Justice, retrieved 5 October 2019
  116. ^ "Two Iranian Men Indicted for Deploying Ransomware to Extort Hospitals, Municipalities, and Public Institutions, Causing Over $30 Million in Losses" (Press release). United States Department of Justice. 28 November 2018. Retrieved 11 December 2018.
  117. ^ Whittaker, Zack. "We talked to Windows tech support scammers. Here's why you shouldn't". ZDNet. Retrieved 6 November 2019.
  118. ^ "Windows 10 Fall Creators Update: syskey.exe support dropped". gHacks. 26 June 2017. Retrieved 6 November 2019.
  119. ^ "Syskey.exe utility is no longer supported in Windows 10, Windows Server 2016 and Windows Server 2019". Microsoft. Retrieved 6 November 2019.
  120. ^ "Russian-based ransomware group 'REvil' disappears after hitting US businesses". The Independent. 13 July 2021.
  121. ^ "Prolific ransomware gang suddenly disappears from internet. The timing is noteworthy". NBC News.
  122. ^ "McAfee ATR Analyzes Sodinokibi aka REvil Ransomware-as-a-Service - The All-Stars". 2 October 2019.
  123. ^ "Biden tells Putin Russia must crack down on cybercriminals". AP NEWS. 9 July 2021.
  124. ^ Sanger, David E. (13 July 2021). "Russia's most aggressive ransomware group disappeared. It's unclear who disabled them". The New York Times. Archived from the original on 28 December 2021.
  125. ^ Business, Brian Fung, Zachary Cohen and Geneva Sands, CNN (13 July 2021). "Ransomware gang that hit meat supplier mysteriously vanishes from the internet". CNN.
  126. ^ Cannell, Joshua (8 October 2013). "Cryptolocker Ransomware: What You Need To Know, last updated 06/02/2014". Malwarebytes Unpacked. Archived from the original on 30 September 2021. Retrieved 19 October 2013.
  127. ^ Leyden, Josh. "Fiendish CryptoLocker ransomware: Whatever you do, don't PAY". The Register. Archived from the original on 13 August 2021. Retrieved 18 October 2013.
  128. ^ "Cryptolocker Infections on the Rise; US-CERT Issues Warning". SecurityWeek. 19 November 2013. Archived from the original on 27 May 2021. Retrieved 18 January 2014.
  129. ^ Metin, Ozer. "Applying attack surface reduction". Comodo Cybersecurity. Archived from the original on 5 October 2021. Retrieved 27 August 2020.
  130. ^ "Overview of attack surface reduction capabilities". Microsoft. Archived from the original on 18 November 2021. Retrieved 6 February 2020.
  131. ^ "Comodo's patented "Kernel API Virtualization" – Under the Hood". Comodo Cybersecurity. Archived from the original on 4 October 2021. Retrieved 27 August 2020.
  132. ^ "'Petya' Ransomware Outbreak Goes Global". krebsonsecurity.com. Krebs on Security. Retrieved 29 June 2017.
  133. ^ "How to protect yourself from Petya malware". CNET. Retrieved 29 June 2017.
  134. ^ "Petya ransomware attack: What you should do so that your security is not compromised". The Economic Times. 29 June 2017. Retrieved 29 June 2017.
  135. ^ "New 'Petya' Ransomware Attack Spreads: What to Do". Tom's Guide. 27 June 2017. Retrieved 29 June 2017.
  136. ^ "India worst hit by Petya in APAC, 7th globally: Symantec". The Economic Times. 29 June 2017. Retrieved 29 June 2017.
  137. ^ "TRA issues advice to protect against latest ransomware Petya The National". 29 June 2017. Retrieved 29 June 2017.
  138. ^ "Petya Ransomware Spreading Via EternalBlue Exploit « Threat Research Blog". FireEye. Retrieved 29 June 2017.
  139. ^ a b Chang, Yao-Chung (2012). Cybercrime in the Greater China Region: Regulatory Responses and Crime Prevention Across the Taiwan Strait. Edward Elgar Publishing. ISBN 9780857936684. Retrieved 30 June 2017.
  140. ^ "Infection control for your computers: Protecting against cyber crime - GP Practice Management Blog". GP Practice Management Blog. 18 May 2017. Retrieved 30 June 2017.
  141. ^ "How to Turn On Ransomware Protection in Windows 10". WindowsLoop. 8 May 2018. Retrieved 19 December 2018.
  142. ^ "Defeating CryptoLocker Attacks with ZFS". ixsystems.com. 27 August 2015.
  143. ^ "List of free Ransomware Decryptor Tools to unlock files". Thewindowsclub.com. Retrieved 28 July 2016.
  144. ^ "Emsisoft Decrypter for HydraCrypt and UmbreCrypt Ransomware". Thewindowsclub.com. 17 February 2016. Retrieved 28 July 2016.
  145. ^ "Ransomware removal tools". Retrieved 19 September 2017.
  146. ^ "About the Project - The No More Ransom Project". Archived from the original on 22 November 2021. Retrieved 3 December 2021.
  147. ^ "Crypto Sheriff - The No More Ransom Project". Archived from the original on 26 October 2021. Retrieved 3 December 2021.
  148. ^ a b c d O'Gorman, G.; McDonald, G. (2012), Ransonmware: A Growing Menace (PDF), Symantec Security Response, Symantec Corporation, retrieved 5 October 2019
  149. ^ Cyberattack Report ArcTitan (18 February 2021). "Phishing Emails Most Common Beginning of Ransomware Attack". ArcTitan. Retrieved 29 March 2021.
  150. ^ Robeznieks, A. (2017). "Ransomware Turning Healthcare Cybersecurity Into a Patient Care Issue". Healthcare Business News. Healthcare Financial Management Association. Archived from the original on 16 June 2017.
  151. ^ Heater, Brian (13 April 2016), "The Growing Threat of Ransomware" (PDF), PC Magazine, retrieved 5 October 2019
  152. ^ "Activity begins to drop, but remains a challenge for organizations", Internet Security Threat Report (ISTR) 2019, Symantec Corporation, vol. 24, p. 16, 2019, retrieved 5 October 2019
  153. ^ First death reported following a ransomware attack on a German hospital, ZDNet, retrieved 5 October 2020
  154. ^ a b "Zain Qaiser: Student jailed for blackmailing porn users worldwide". BBC News. 9 April 2019.
  155. ^ "British hacker Zain Qaiser sentenced for blackmailing millions". 9 April 2019.
  156. ^ Cimpanu, Catalin. "Reveton ransomware distributor sentenced to six years in prison in the UK". ZDNet.
  157. ^ "경찰이 영국에서 가장 악명 높은 포르노 랜섬웨어 남작을 어떻게 잡았는가" 맷 버지스, 와이어드, 2019년 4월 12일]
  158. ^ "Angler by Lurk: Why the infamous cybercriminal group that stole millions was renting out its most powerful tool". usa.kaspersky.com. 26 May 2021.
  159. ^ Francisco, Shaun Nichols in San. "Florida Man laundered money for Reveton ransomware. Then Microsoft hired him". Theregister.com.
  160. ^ Fields, Logan M. (25 February 2017). "The Minority Report – Week 7 – The Half-Way Point". World News.
  161. ^ "Maryland Ransomware Bill Makes Attacks Felonies". Network Security News. 15 February 2017.
  162. ^ Wei, Wang (6 June 2017). "14-Year-Old Japanese Boy Arrested for Creating Ransomware". The Hacker News.
  163. ^ Young, Adam L.; Yung, Moti (2005). "An Implementation of Cryptoviral Extortion Using Microsoft's Crypto API" (PDF). Cryptovirology Labs. Retrieved 16 August 2017.

추가 읽기

외부 링크