1. 개요
랜섬웨어의 피해사례를 정리한 문서.2. 시기 불명
불법공유 사이트인 Tcafe.net의 경우 정상적인 자료인 척 랜섬웨어를 집어넣고 배포하는 사례가 굉장히 많다.3. 2015년
2015년 4월 21일 새벽, 클리앙의 광고 서버가 해킹되어 랜섬웨어가 배포되었다. 클리앙 랜섬웨어 사건의 전말. 대한민국 랜섬웨어의 시초격인 사건[1]이며, 크립토락커의 한글 버전 즉 랜섬웨어에도 한글화가 되어 한국을 집중적으로 노린 공격이었다. 공격은 구 버전 플래시의 취약점을 이용하여 공격하는 방식이었으며, 사이트에 접속만 하는 별 거 아닌 행위로 랜섬웨어에 감염되고 파일들이 암호화되어 버리는 처음 보는 광경에 나름 컴덕들이었던 클리앙 이용자들이 멘붕을 일으켰다. 이 사건으로 인해 다수 클리앙의 이용자들이 피해를 입었는데, IT 커뮤니티 특성상 정보도 얻을 겸 회사 컴퓨터로 접속하는 경우도 많아, 그 바람에 회사 중요 파일들이 몽땅 암호화되는 등 피해 규모는 심각한 편이었다. 이후로 컴덕들의 플래시 및 랜섬웨어에 대한 경각심이 높아지게 되었다.4월 22일에는 seeko, 디시인사이드의 광고 서버가 해킹되어 랜섬웨어의 배포지가 되는 등, 국내 커뮤니티로 랜섬웨어 배포가 확산되면서 피해가 커질 전망이다. 특히 이번에 문제가 되는 랜섬웨어의 경우 취약점 공격이 1~2개로 한정되어 있는 것으로 보아 일종의 시범 성격이 큰 바, 본격적으로 공격이 진행되면 지금보다도 더 큰 재앙이 도래할지도 모른다.
10월 중순부터 ccc바이러스라 불리는 랜섬웨어가 유행하기 시작했다. 모든 파일의 확장자 명을 cc나 ccc로 바꾼 후 비트코인을 요구하는 창과 결제 방법 창을 띄운다고 한다.
11월 13일 드디어 CoinVault의 랜섬웨어 유포/제작자가 네덜란드 경찰에 의해 검거되었고, 현재 CoinVault 랜섬웨어의 모든 복호화 키를 넘겨 받아서 카스퍼스키에서 복구 툴을 만들어 배포 중이다. 해당 홈페이지 참조 랜섬웨어 복호화 툴 복구 가능한 랜섬웨어는 CoinVault와 Bitcryptor 두 가지이다.
12월 5일에는 일본에서 시작된 걸로 보이는 통칭 'VVV' 랜섬웨어가 기승을 부리기 시작했다. 몇몇 대형 마토메 사이트를 매개로 퍼진다고 알려졌으며 이것도 위와 마찬가지로 광고를 통해 전염되고, 파일 확장자를 'vvv'로 바꾸고 암호화시키는 데다 윈도우 복원 포인트까지 삭제시킨다고 한다. 단 일본 웹에서는 마토메 사이트가 매개라는 점에 대해 의혹을 제기하는 견해도 적지 않다. 랜섬웨어 문제가 본격적으로 공론화되기 전인 2010년 경부터 이미 VVV 랜섬웨어 자체는 존재했고, 굳이 마토메 사이트가 아니라도 해외 웹사이트나 성인 사이트의 광고를 매개로 감염되는 사례가 있었기 때문에 마토메 사이트 감염설을 마토메 안티들의 선동이라고 보는 시각도 많다.[2] 또한 주로 트위터를 중심으로 이 랜섬웨어에 대해 검증되지 않은 불확실한 정보들이 무수히 돌고 있는 형편이라 사람들을 불안하게 만들고 있다.
12월 8일, 문서 상단에서 언급했듯이 마이크로소프트에서 관련 대응 업데이트를 개시했다. 보안 업데이트도 중지한 XP도 이번만큼은 업데이트를 지원할 만큼 긴급하게 업데이트를 단행한 건데, 문제는 이 업데이트를 설치하고 나서도 랜섬웨어에 감염되는 사례가 있어 아직은 조심해야 할 단계다.
4. 2016년
1월 10일 경에 TeslaCrypt 2.2 (.vvv, .ccc 확장자) 복호화 툴이 GitHub에 풀렸다. # 한글 사용법은 랜섬웨어침해대응센터에서 참조하면 된다. 사이트 시도해 본 결과 본 방법으로 TeslaCrypt 2.2 외에도 같은 확장자로 변경되는 CryptoWall 3.0의 복호화도 가능하다.2월 말에는 확장자를 .mp3(음악 파일)로 바꾸는 랜섬웨어가 기승을 부리기 시작했다.
3월 ~ 4월 천리안 메일 계정들이 털렸는지 천리안 메일 계정으로 랜섬웨어가 심어진 스팸 메일이 무차별적으로 살포되었다. 특히 메일 중에는 사용자 자신이 자신에게 보낸 메일인 것처럼 위장하는 메일도 있으므로 자신에게 메일 쓰기 기능을 쓴 적이 없다면 호기심에라도 열어보는 일이 없도록 해야 한다. 천리안 뿐만 아니라 네이버 메일에서도 이 현상이 자주 나타나고 있으니 주의해야 한다. (그래도 네이버는 첨부 파일 다운 전 악성코드가 포함되어 있다고 경고라도 해 준다.) 그리고 대부분 자기 자신에게 보낸 것처럼 위장하는 메일에 있는 랜섬웨어의 종류는 Locky라고 한다. Invoice(송장), payment, 여행 계획이 있을 시 flight plan 등으로 시작하는 제목이라면 무조건 의심해 봐야 한다.
3월에 트랜스미션에 맥에서 처음 구동되는 랜섬웨어가 발견되었다. 수많은 사람들이 피해를 입었고, 제작자는 바로 버전 업을 해버렸다.
5월 21일 카스퍼스키에서 제공하는 복호화 툴로도 해결이 안 되는 랜섬웨어가 발견되었다. 트위터에 의하면 현재 새로운 버전에 대한 연구도 진행 중이라고 한다.
5월 22일 12시 02분 경 오늘의유머 광고에 랜섬웨어가 침투하였다.
6월 5일 Diep.io에서 랜섬웨어에 감염된 사례가 발견되었다.
6월 5일 오전 중에 .crypz 형식의 랜섬웨어가 새로 발견되었다. 국외와 국내에서 동시 다발적으로 보고가 되고 있어 주의가 필요하다. 해당 바이러스의 경우 CryptXXX 3.0의 변종으로 추측되며 CryptXXX 3.0 계열의 경우 급조해 만든 변형이라는 것이다. 결제 시스템도 엉망이라 입금을 해도 해커가 입금 여부를 확인 못하고 심지어 해커의 복원 툴마저 고장 나는 것으로 추측되어 돈을 지불한다 하더라도 복원될 가능성이 거의 없다고 알려졌다. 그리고 이 와중에 .cryp1 형식의 랜섬웨어가 추가로 발견되었다.
6월 7일 뽐뿌 광고에 랜섬웨어가 침투한 것이 발견되었다. #, # 3일부터 진행 중이었다고 한다. 참고로 6월 2일 컬쳐랜드에 접속한 후 랜섬웨어에 감염됐다는 글이 올라왔는데,뽐뿌 링크, 아카이브. 해당 랜섬웨어 감염 피해자가 컬쳐랜드 공식 홈페이지를 방문하였다가 감염된 것이 아닌 뽐뿌에서 이벤트 링크를 통해서 컬쳐랜드에 들어갔다고 한다. 뽐뿌에서 랜섬웨어를 걸렸을 가능성이 크다.
7월 14일 3dp Chip 다운로드 사이트 광고에 랜섬웨어 감염이 의심된다는 제보 1 제보 2가 있었다. 현재는 문제가 수정된 상태이다. 실제로 피해를 본 사람도 있다고 한다.
7월 20일 윈도우 바로 가기 파일(.lnk) 형태의 랜섬웨어가 발견되었다. 이번에 발견된 바로 가기 파일은 악성 자바 스크립트 파일을 생성 및 실행하는 코드가 삽입되어 있어 사용자 모르게 랜섬웨어를 감염시키며, 해당 랜섬웨어는 사용자 PC의 사진 및 그림 파일, 각종 오피스 문서 등을 암호화하여 몸값을 요구한다. 암호화된 파일은 확장자 뒤에 '.vault'가 추가되며 더 이상 파일을 사용할 수 없게 된다고 한다.
8월 23일 포켓몬 GO의 인기를 악용한 랜섬웨어가 등장하였다.
9월 25일 Locky 계열의 다른 변종 *.odin 확장자가 발견되었다. 아직 보안 업체에서도 방패가 없다.
10월 14일, 나무라이브에서 랜섬웨어가 유포되었고, 확인된 감염된 유저가 1명 발생했다. 유포된 랜섬웨어는 6월에 암호 키가 공개된 테슬라크립토이며 추천 조작 프로그램이라는 이름을 달고 url을 첨부해 유포되었다. 그리고 10월 16일에도 유포되었다. 이 때는 대놓고 .exe 파일로 링크를 걸어서 다행히 백신이 대부분 차단했다. 어쨌거나 이런 유형의 url은 클릭도 하면 안 된다. 그리고 랜섬웨어를 목격했다면 즉각 신고해야 한다.
10월 18일, 또 다시 나무라이브에서 랜섬웨어가 유포되었고, 감염된 사용자가 발생하였다. 이번엔 지난번 유포된 '테슬라크립토'가 아닌 '크립토 월'로, 이건 아예 공개 키가 없는 상태이다.
5. 2017년
4월 6일, 동방 프로젝트 갤러리에 한 갤러가 '련선웨어'라고 하는 랜섬웨어를 만들었다는 글이 올라왔다. 이 랜섬웨어의 해제 방법은 돈이 아닌, 탄막 슈팅 게임인 동방성련선을 직접 구해서 설치를 한 뒤 가장 높은 난이도인 루나틱에서 점수 2억 점 이상을 달성하는 것이다. 이 와중에 디버깅을 대충한건지 최초 유포 파일로는 실행이 안되어[3] 개발자 자신이 테스트 과정에서 자기 컴퓨터에 걸린 게 유일한 감염이었다.[4] 련선웨어 문서 참고.5월에 발생한 랜섬웨어 워너크라이에 대해서는 워너크라이 문서 참고.
6월 8일경 중국에서 Lycorisradiata라는 신종 모바일 랜섬웨어가 발견되었다. 이번에 발견된 랜섬웨어는 화면만 잠그고 돈을 요구했던 기존 랜섬웨어와는 달리 실제로 사진, 동영상과 같은 파일들을 잠그는 것으로 알려져 한국에 피해가 우려되었다. 결제 화면이 워너크라이랑 유사하다.[5]
6월 10일경 한국 유명 호스팅 업체 '인터넷나야나'에 랜섬웨어 공격이 발생하였다. 그리고 11월 6일, 이번에는 인터넷나야나에서 운영하는 코리아 IDC가 랜섬웨어에 감염되었다. 인터넷나야나 랜섬웨어 감염 사태 문서 참고.
6월 27일에 우크라이나를 공격한 낫페트야[6]가 전 세계로 확산되었다. 우크라이나를 노린 것으로 보이는 지라 러시아가 배후일 거라는 추측이 나왔다. 이로 인해 피해를 본 나라는 워너크라이 사태 때보다 적지만, 악질적이라 나토에선 아예 가해국에게 보복 응징을 해야 한다는 말까지 나왔다. 10월 24일엔 낫페트야의 변종으로 추정되는 배드 래빗이 등장해 동유럽을 중심으로 확산되었는데, 낫페트야의 배후가 배드 래빗의 배후인 것으로 추정된다고 한다.
8월 10일에는 '역사상 최악의 랜섬웨어'라고 하는 스캐럽이 한국에서 발견되었다. 확장자가 없는 파일까지도 암호화 시킨 후 셧다운을 시켜버리고 부팅 자체를 불가능하게 만들어서 랜섬웨어에 걸렸는지도 확인이 불가능하며 이 때문에 결제 요구 문구가 뜨지도 않는다. 즉 랜섬웨어지만 랜섬웨어가 아니라 그냥 트로쟌(트로이목마)인 셈이다. 제작자의 실수로 보인다. 기사
11월 4일에 확장자를 .yjnowl로 바꾸는 랜섬웨어가 등장했다. 이는 Magniber 랜섬웨어의 변종이다. 링크 11월 16일에는 확장자를 .axrxru으로 변경하는 변종이 Hitomi.la 웹 사이트를 공격하면서 많은 추가 감염자를 만들어냈다. 링크. 업로드 된 책자를 보기 위해 다운로드 버튼을 누르면 뜨는 중간 광고 창을 이용하여 랜섬웨어를 유포했던 것이다. 이 랜섬웨어는 접속 IP 위치를 판단하여, 한국인 경우 네트워크 암호화 키, 한국이 아닌 경우 로컬 암호화 키를 사용하여 암호화하는 과정을 수행한다. 즉 감염자가 한국인이라면 공격자에게 돈을 지불하는 방법 외에는 복호화 방법이 없는 것이다. 가끔 유포 과정에서 네트워크 키가 제대로 작동하지 않아 로컬 키로만 동작하는 경우도 있었다. 링크. 이 점에 착안하여 일부 보안 업체는 Magniber를 직접 복호화할 수 있음을 알리고 복호화 절차와 도구를 공개하였다. 2018년 11월에도 보안 관련 커뮤니티를 주축으로 Magniber 랜섬웨어의 복호화 방법이 새로이 등장하고 있다. 링크 1, 링크 2
12월 25일에 확장자를 .vticxt로 바꾸는 랜섬웨어가 등장했다. 이 역시 Magniber 랜섬웨어의 변종이다. 링크
12월 27일에는 헤르메스 랜섬웨어가 확산 중이다. 관련 기사
6. 2018년
유튜브의 동영상을 내려받거나 MP3로 추출하는 웹사이트2월부터 기업 내 인트라넷을 타깃으로 Java 설치 파일로 위장한 랜섬웨어가 기승을 부리기 시작했다. 다운로드도 하지 않았는데 저절로 자바 설치 프로그램이 실행되며, 대부분 이를 자동 업데이트로 인지하고 업데이트를 해 버려서 감염된다고 한다. 심지어 운영체제 설정 언어를 감지하고 해당 언어로 실제 자바 설치 파일을 복사해서 붙여놓기를 해 놓은 것처럼 위장하여 의심할 여지를 없게 만든다. 4월 현재, 기업용 V3 등에서는 감지가 되지 않는 모양이니 조심하자.
7. 2020년
캡콤이 라그나로커라는 이름의 랜섬웨어[8]에 당해 2021년의 마케팅 자료 및 스케쥴표, 개발 중인 게임의 스크린샷, 전현직 직원들의 개인정보 등이 유출되었다.이랜드그룹의 사내망이 Clop 랜섬웨어에 공격받아 95%의 데이터가 암호화 되어 백화점, 아울렛 등의 매장 절반이 휴점하였다.#
Enderman이 제작한 크리피파스타형[9] 컴퓨터 바이러스인 NoEscape.exe가 트렌드마이크로에 의해 진짜 랜섬웨어로 정의되었다. 진단명은 Ransom.Win32.NOESCAPE이다. 다만 랜섬웨어의 정의는 금품을 요구하는 것이 필수적으로 들어가는 데다가, 앞서 말했듯 Enderman은 해당 프로그램을 사용해서 금품을 요구하는 등의 범죄 행위를 저지른 적이 없기 때문에 엄밀하게는 랜섬웨어로 분류할 수 없다.
8. 2021년
콜로니얼 파이프라인(Colonial Pipeline)이라는 석유 회사가 랜섬웨어 공격을 당해 해커 측에 약 56억원을 지불하는 사건이 일어났다. 이 회사는 미국 동부 지역 기름의 절반정도를 책임지는 대형 회사라, 소식을 들은 사람들이 주유소로 몰려들면서 어느 주는 주유소 70여곳의 기름이 순간적으로 동이 나기도 하고, 기름을 비닐봉투 등에 담아 트렁크에까지 채우는 사람, 먼저 기름을 넣기위해 몸싸움을 벌이는 사람 등 온갖 천태만상이 터져나온 대형 사건이었다.관련 기사(영문) 관련 위키 그리고, 비슷한 시기에 그들이 대한민국에서도 활동했음이 알려졌다.한국에서는 수리기사가 랜섬웨어를 직접 설치하기도 했다.(#/뉴스 1, 뉴스 2)
9. 2022년
2021년 중순부터, 랜섬웨어가 병원의 전산 원무 시스템과 진단 및 치료 장비에 장애를 일으켜 환자가 사망하는 실제 사례가 해외에서 보고되었다. 해당 사례가 보고된 이후 병원을 직접적으로 노리는 랜섬웨어의 등장 가능성이 제기되었고 업계에서는 2022년부터 이러한 악성코드를 킬웨어(Killware)로 명명하였다.2022년 2월 경부터 큐냅, 아우스토어 등의 NAS(저장장치)를 대상으로 한 deadbolt 랜섬웨어가 활동하였다. 정확한 원인은 발표되지 않았으나, 나스 운영체제 자체의 문제 또는 DDNS 서버와 관련된 문제가 아닌지 유저들은 예상하고 있다. 2월 27일 현재 관련 문제가 해결된 업데이트를 제공하였으나 암호화된 자료는 대책이 없는 상태.
2022년 3월에 일어난 토에이 애니메이션 사내 네트워크 해킹 사건도 랜섬웨어에 의한 것임이 관계자 인터뷰에서 밝혀졌다.
10. 2023년
7월 6일 디시인사이드 중소기업 갤러리에 올라온, 모 중소기업에서 크랙 버전 엑셀을 다운받으려다가 랜섬웨어에 감염되어 1년치 서류를 모조리 날렸다는 내용의 글이 네티즌들 사이에서 화제가 되었다. 불법 공유 및 크랙은 악성코드가 유포되는 주된 경로이므로 가급적 정품 소프트웨어를 사용하자.9월 12일 한화솔루션의 중국 법인이 랜섬웨어에 공격 받아 800GB에 이르는 데이터를 탈취당했다. #
11월 23일 골프존 시스템이 랜섬웨어에 공격 받아 골프존 회원의 개인정보가 유출당했다.
11. 2024년
6월 8일, KADOKAWA의 서버에 랜섬웨어 공격이 가해지면서 다수의 개인정보가 유출되는 등의 사건이 발생하였다.[1] 진짜 시초는 위에서 언급한 마이컴 고이지만 사건 정도의 피해는 찾아보지 못했다.[2] 애초에 마토메 사이트에 들어갔다가 감염되었다는 정보의 소스 자체도 어느 트위터 유저의 트윗뿐이었고 그 외에는 사례가 나오지 않았다.[3] Directory.GetLogicalDrives() 메서드의 허점으로 인해 디스크를 넣지 않은 ODD 등 접근 불가능한 드라이브가 하나라도 존재하면 에러가 나며 실행이 안된다.[4] 물론 리뷰어들이 디버깅을 한 후 일부러 가상 머신으로 실행한 건 제외한다. 실수로 가상머신을 안 킨 제작자는 결국 밤을 새서 2억 점을 채우고 컴퓨터를 복구했다고.[5] 심지어 알약에서는 Trojan.Android.Ransom.Wannacry 로 진단한다.[6] 명칭에 주의해야 한다.[7] 폐쇄됨.[8] 일단 파일에 락을 걸고 돈을 요구하는 타 랜섬웨어와는 달리 먼저 정보를 털고 난 뒤 락을 걸고 돈을 요구한다. 돈을 안 주면 해킹한 정보를 풀면서 압박하는 수법을 쓴다. 실제 저 방법에 못 이겨서 해커에게 돈을 줘버린 업체도 있다.[9] 제작자인 Enderman이 복구하는 방법을 올렸다.