새로운 랜섬웨어가 등장했다. 기존의 방식은 불특정 다수를 대상으로 취약점을 이용하여 방문자가 접속을 하면 자동 실행이 되거나, 이메일 첨부파일을 통해 사용자가 직접 실행을 유도하는 방식이었다.

하지만 이번에 새로 발견된 ARROW 랜섬웨어의 경우 특정 대상을 표적으로 직접 PC에 접속을 하여 랜섬웨어 실행파일을 하여 감염을 시키는 방식을 이용하고 있다. 이런 방식을 원격 프로토콜 데스크탑(Remote Desktop Protocol, RDP)이라고 하는데 대표적으로 CrySis 랜썸웨어가 있다. 이번 ARROW 랜섬웨어 또한 수십종 이상의 CrySis 랜섬웨어의 변종으로 보고 있다고 한다.

현재 대부분 랜섬웨어가 그렇듯이 공개된 무료 복구툴은 존재하지 않는다. 대부분 취약시간(야간 또는 새벽)에 이루어지며 RDP 방식을 이용하기 때문에 탐지가 가능한 보안제품이 설치가 되어 있더라도 무용지물이 될 수 있다.

다른 랜섬웨어와 같이 감염이 되면 특정 확장자인 .arrow로 변경을 하고 랜섬노트인 FILES ENCRYPTED.txt 파일과 Info.hta 파일을 생성하여 감염사실과 복호화하는데 필요한 프로그램을 구매하라고 강요한다. 암호화가 끝나고 나면 복구를 방해할 목적으로 볼륨 쉐도우 복사본 기능을 삭제를 시도한다.

데이터복구 전문기업 예스컴 관계자의 말에 따르면 "윈도우 운영체제에서 기본으로 제공하는 원격 데스크탑 연결을 통해 외부에서 접속할 수 있도록 연결된 환경에서는 RDP 기본 포트(Port)로 사용하는 3389번 포트가 아닌 다른 포트로 변경을 하거나 특정 IP에서만 접속할 수 있도록 제한하는 것이 좋다. 또한 원격 프로그램인 AnyDesk, Chrome Remote Desktop, LogMeln, TeamView, VNC Connect와 같은 소프트웨어를 통해 원격 제어를 하는 환경이라면 비밀번호를 복잡하게 구성하거나 추가 인증단계를 거치도록 하는 것이 좋다."라고 전했다.

볼륨 쉐도우 복사본 기능이 남아 있는지 확인을 하여 복원가능성을 살펴본 후 꼭 필요한 데이터의 경우 렌섬웨어 복호화대행 업무를 진행하고 있다. 복구를 하지 않는다고 해도 윈도우 설치를 다시 해주고 철저하게 랜섬웨어 예방을 하는 것이 좋다. 최신 업데이트를 통해 보안 취약점 패치를 진행하고 백신과 보안 제품을 설치하여 실시간으로 감시하는 것이 좋다. 감염이 발생할 수 있는 모든 경우의 수를 제거해 최적의 상태로 유지하는 것이 좋다. 특히 따로 저장을 해두는 것이 가장 좋은데 백업 서버 시스템을 통해 쉽게 저장을 해 둘 수가 있다.

arrow랜섬웨어뿐 아니라 랜섬웨어복구의 경우에는 복구경험이 가장 중요하다. 감염된 서버복구 및 랜섬웨어 치료 관련 문의는 '예스컴' 홈페이지나 고객센터에서 확인 가능하다.

[팸타임스=박태호 기자]