프렌즈 랜섬웨어

현대의 사이버 위협은 중요한 데이터를 암호화하고, 비즈니스 운영을 방해하며, 민감한 정보를 노출시킬 수 있기 때문에 악성코드로부터 기기를 보호하는 것이 그 어느 때보다 중요합니다. 특히 랜섬웨어는 데이터 암호화와 금전적 갈취를 결합하여 피해자에게 거액의 몸값을 요구하는 가장 파괴적인 악성코드 중 하나입니다. 대표적인 예로 프렌즈 랜섬웨어는 다양한 파일 형식을 대상으로 하는 정교한 위협으로, 데이터 탈취를 통해 몸값 지불 가능성을 높입니다.

프렌즈 랜섬웨어: 이중 협박 사이버 위협

프렌즈 랜섬웨어는 사이버 보안 연구원들이 발견한 악성 프로그램으로, 감염된 시스템의 파일을 암호화하고 복호화 키를 제공하는 대가로 금전을 요구합니다. 파일 암호화 외에도, 이 위협을 가하는 공격자들은 피해자의 데이터를 암호화하기 전에 기밀 정보를 탈취한다고 주장합니다. 흔히 이중 갈취라고 불리는 이러한 수법은 공격자가 데이터 손실과 민감한 정보의 공개라는 두 가지 위협을 동시에 가할 수 있도록 합니다.

프렌즈 랜섬웨어는 시스템에서 실행되면 다양한 파일 형식을 검색하여 암호화합니다. 이 과정에서 감염된 파일에는 '.friends124' 확장자가 추가됩니다. 예를 들어 '1.png' 파일은 '1.png.friends124'로, '2.pdf' 파일은 '2.pdf.friends124'로 변환됩니다. 이 확장자는 파일이 악성코드에 의해 처리되었으며 더 이상 일반적인 방법으로 접근할 수 없음을 명확하게 나타내는 지표입니다.

암호화 과정 및 랜섬웨어 요구

암호화 과정을 완료한 후, 랜섬웨어는 피해자에게 안내 사항을 담은 'RANSOM_NOTE.html'이라는 파일을 생성합니다. 이 파일에는 파일이 암호화되었다는 사실과 몸값 협상을 위한 연락처 정보가 포함되어 있습니다. 피해자는 'recovery1@salamati.vip' 및 'recovery1@amniyat.xyz' 이메일 주소를 통해 공격자와 연락하도록 지시받습니다. 또한 Tor 네트워크를 통한 연락 방법도 안내되어 있습니다.

몸값 요구 메시지에는 공격자들이 관리하는 개인 서버에 기밀 및 개인 정보가 수집 및 저장되었다고 주장합니다. 메시지에 따르면, 피해자가 몸값 요구에 응하지 않을 경우 해당 정보는 공개되거나 제3자에게 판매될 것이라고 합니다. 파일 복구가 가능하다는 것을 피해자에게 납득시키기 위해 범죄자들은 중요하지 않은 파일 두세 개를 무료로 복호화해 주겠다고 제안합니다. 또한, 72시간 이내에 연락이 닿지 않으면 몸값이 인상될 것이며, 연락하기 전에 ProtonMail 계정을 만들라고 경고합니다.

몸값을 지불하는 것이 위험한 결정인 이유

피해자들은 중요한 파일에 접근할 수 없게 되면 몸값을 지불하는 것을 고려하는 경우가 많습니다. 그러나 사이버 범죄자에게 돈을 지불한다고 해서 데이터 복구가 보장되는 것은 아닙니다. 수많은 랜섬웨어 공격자들이 제대로 작동하는 복호화 도구를 제공하지 않거나, 감염된 데이터를 모두 복구하지 못하는 유틸리티를 제공하는 방식으로 몸값을 받아갔습니다.

공격자가 복호화 도구를 제공하더라도 몸값 지불은 범죄 활동을 지원하고 다른 개인이나 조직에 대한 향후 공격을 부추기는 결과를 초래합니다. 이러한 이유로 사이버 보안 전문가들은 몸값 요구에 응하지 말 것을 강력히 권고합니다. 대부분의 경우, 연구자들이 무료 복호화 도구를 개발하는 데 악용할 수 있는 심각한 구현상의 결함이 랜섬웨어에 포함되어 있지 않는 한, 공격자가 제공하는 복호화 키 없이는 암호화된 파일을 복구할 수 없습니다.

복구 및 사고 대응

프렌즈 랜섬웨어 감염 후 가장 먼저 해야 할 일은 감염된 시스템에서 랜섬웨어를 제거하는 것입니다. 랜섬웨어를 제거하면 추가 파일 암호화를 방지하고 악성 행위의 위험을 줄일 수 있습니다. 하지만 랜섬웨어 제거만으로는 이미 암호화된 데이터를 복구할 수 없습니다.

가장 확실한 복구 방법은 감염 발생 이전에 생성된 백업에서 파일을 복원하는 것입니다. 백업은 공격 중에 손상되지 않도록 기본 시스템과 별도로 저장해야 합니다. 백업이 동일한 네트워크에 연결되어 있거나 지속적으로 접근 가능한 경우, 랜섬웨어가 백업 파일까지 암호화하여 피해자가 복구할 수 없게 만들 수 있습니다.

프렌즈 랜섬웨어는 어떻게 확산되는가?

다른 많은 랜섬웨어 계열과 마찬가지로 프렌즈 랜섬웨어는 여러 유포 경로를 통해 잠재적 피해자에게 접근합니다. 피싱 이메일은 여전히 가장 효과적인 유포 방법 중 하나입니다. 이러한 메시지에는 악성 첨부 파일이나 링크가 포함되어 있는 경우가 많으며, 이를 열면 악성코드가 다운로드됩니다. 공격자는 일반적으로 악성 매크로가 포함된 문서 파일, 압축 파일, 실행 파일, PDF 파일, 자바스크립트 기반 페이로드를 사용합니다.

추가적인 감염 경로는 랜섬웨어를 몰래 설치하는 트로이 목마, 가짜 소프트웨어 업데이트 메커니즘, 악성 광고, 해킹된 웹사이트, 그리고 신뢰할 수 없는 출처에서 다운로드한 파일 등이 있습니다. 무료 소프트웨어 포털, P2P 파일 공유 네트워크, 기타 비공식 배포 플랫폼에서는 합법적인 소프트웨어로 위장한 악성 파일이 흔히 유포됩니다. 감염된 USB 드라이브 또한 시스템 간 랜섬웨어 확산을 용이하게 할 수 있습니다.

특히 흔한 감염 시나리오는 소프트웨어 크랙 및 불법 복제 활성화 도구와 관련이 있습니다. 사이버 범죄자들은 종종 악성 소프트웨어를 유료 소프트웨어의 무료 대안으로 위장하여 공식 배포 경로를 우회하려는 사용자들을 악용합니다. 이러한 겉보기에는 무해해 보이는 프로그램들이 실행되면 아무런 경고 없이 랜섬웨어를 설치할 수 있습니다.

랜섬웨어 공격에 대한 방어력 강화

랜섬웨어 공격으로부터 효과적으로 보호하려면 기술적 안전장치와 안전한 사용자 행동을 결합한 다층적인 보안 전략이 필요합니다. 조직과 개인은 신뢰할 수 있는 보안 소프트웨어를 유지하고, 운영 체제와 애플리케이션을 정기적으로 업데이트하며, 공격자가 악용할 수 있는 불필요한 기능을 비활성화해야 합니다. 출처를 알 수 없거나 예상치 못한 이메일 첨부 파일과 링크는 합법적으로 보이더라도 항상 주의해야 합니다.

정기적인 데이터 백업은 가장 중요한 보안 조치 중 하나입니다. 오프라인 외장 드라이브나 안전한 원격 저장 장치와 같은 여러 위치에 백업 복사본을 보관하면 공격 후 복구 가능성을 크게 높일 수 있습니다. 또한 백업 테스트를 주기적으로 수행하여 필요할 때 데이터를 성공적으로 복원할 수 있는지 확인해야 합니다.

주요 보안 조치 사항은 다음과 같습니다.

• 운영 체제, 브라우저 및 애플리케이션을 최신 보안 패치로 항상 최신 상태로 유지하십시오.
• 실시간 위협 탐지 기능을 갖춘 평판이 좋은 엔드포인트 보호 소프트웨어를 사용하십시오.
• 최소한 하나의 오프라인 또는 격리된 사본을 포함하여 여러 백업을 유지하십시오.
• 원치 않는 이메일 첨부 파일을 열거나 의심스러운 링크를 클릭하지 마십시오.
• 소프트웨어는 공식적이고 신뢰할 수 있는 출처에서만 다운로드하십시오.
• 불법 복제 소프트웨어, 크랙 또는 승인되지 않은 활성화 도구 사용을 삼가십시오.
• 가능한 한 관리자 권한을 제한하십시오.
• 피싱 수법과 소셜 엔지니어링 공격에 대해 사용자들을 교육하십시오.

최종 평가

프렌즈 랜섬웨어는 파일 암호화, 데이터 탈취 및 금전적 요구를 결합한 심각한 사이버 보안 위협입니다. 랜섬웨어 운영자는 파일에 '.friends124' 확장자를 추가하고, 'RANSOM_NOTE.html'이라는 제목의 몸값 요구 메시지를 생성하며, 탈취한 정보를 공개하겠다고 협박하여 피해자에게 최대한의 압박을 가합니다. 신뢰할 수 있는 백업이 없는 경우 복구 옵션이 제한적일 수 있지만, 강력한 사이버 보안 관행, 정기적인 백업, 시기적절한 소프트웨어 업데이트, 그리고 신중한 온라인 활동은 랜섬웨어 공격의 성공 가능성을 크게 줄이고 감염 발생 시 피해를 최소화할 수 있습니다.