WannaCry 랜섬웨어란 무엇입니까?

워너크라이(WannaCry)는 다수의 컴퓨터 네트워크를 통해 빠르게 감염되어 확산될 수 있는 랜섬웨어이다.

WannaCry는 여러 구성 요소로 구성되어 있으며 랜섬웨어에 내장된 다른 애플리케이션 구성 요소를 추출하는 자체 포함 프로그램인 도플러라는 형태로 대상 컴퓨터에 침투합니다. 이러한 구성 요소에는 데이터를 암호화하고 해독하는 애플리케이션, 암호화 키가 포함된 파일, TOR 복사본이 포함됩니다.

프로그램 코드는 난독화되지 않으며 보안 전문가가 비교적 쉽게 분석할 수 있습니다. 랜섬웨어는 일단 실행되면 킬 스위치라고 알려진 하드 코딩된 URL에 액세스를 시도하고, 액세스할 수 없는 경우 Microsoft Office 파일이나 MP3 파일과 같은 특정 형식의 파일을 검색하고 암호화합니다. 이 암호화를 통해 컴퓨터 사용자는 파일에 액세스할 수 없습니다. 그런 다음 랜섬웨어는 몸값 알림을 표시하여 파일의 암호를 해독하고 복구하기 위해 특정 금액(보통 비트코인(BTC))을 요구합니다.

Windows의 경우 WannaCry가 악용하는 취약점은 SMB(서버 메시지 블록) 프로토콜의 Windows 구현과 관련이 있습니다. SMB 프로토콜을 사용하면 네트워크의 다양한 노드가 통신할 수 있으며 특별히 제작된 패킷을 통해 Microsoft의 구현을 속여 임의 코드를 실행할 수 있습니다.

WannaCry는 암호화폐 랜섬웨어의 모습과 돈을 갈취하는 데 어떻게 사용될 수 있는지를 보여주는 대표적인 사례로 볼 수 있습니다. 이는 잠재적으로 중요한 파일을 암호화하여 이를 수행하며 심지어 사용자를 컴퓨터에서 완전히 잠글 수도 있습니다. 암호화를 사용하는 모든 랜섬웨어를 암호화 랜섬웨어라고 합니다. 특별히 사용자를 컴퓨터에서 잠그는 유형을 locker 랜섬웨어라고 합니다.