많은 랜섬웨어 유형이 러시아어 키보드 설치 시 공격을 중단한다 (2021)

1. 러시아 해커들이 싫어하는 간단한 보안 트릭

대부분의 랜섬웨어는 특정 가상 키보드(러시아어, 우크라이나어 등)가 설치된 PC에서는 설치되지 않도록 설계되어 있다. 이 사실을 바탕으로 해당 키보드를 설치하면 공격을 피할 수 있다는 점이 트위터에서 화제가 되었다.

2. 동유럽 해커들은 자국 컴퓨터는 건드리지 않는다

다수의 러시아어 랜섬웨어는 CIS(독립국가연합) 국가를 피해가도록 만들어졌는데, 이는 자국 정부의 감시를 피하기 위함이다.

3. 러시아 당국은 자국 피해가 없으면 수사하지 않는다

러시아 등에서는 자국 내 피해자가 없으면 사이버 범죄 수사를 시작하지 않기 때문에, 해커들은 자국 피해를 아예 만들지 않으려 한다.

4. 다크사이드의 반응

다크사이드 그룹은 Colonial Pipeline 공격 이후 “정치적 목적은 없다”고 주장하며, 앞으로는 사회적 영향을 고려해 대상 기업을 선별하겠다고 밝혔다.

5. 말과는 다르게 지역 기반 타깃팅은 필수

다크사이드는 실제로 CIS 국가에는 설치되지 않도록 하드코딩된 설정을 사용하며, 이는 자국 내 법적 리스크를 피하기 위한 전략이다.

6. 러시아 키보드 설치 = 일종의 백신?

많은 악성코드는 해당 언어(러시아어 등)를 감지하면 실행을 중단한다. 과거 REvil(또는 GandCrab)도 시리아 등 특정 국가를 피해갔다.

7. 단점은?

이 트릭이 모든 악성코드에 효과적인 것은 아니다. 기본 보안 수칙과 병행되어야 하며, 단지 추가적인 보호 수단일 뿐이다.

8. 설정 바꾸는 방법

실수로 언어가 러시아어로 바뀌더라도 윈도우 키 + 스페이스바로 원래 언어로 쉽게 전환 가능하다.

9. 악성코드 제작자가 언어체크를 무시할 수도 있음

일부 최신 버전은 언어체크를 생략하기도 한다. 하지만 언어체크를 없애면 해커 입장에서 법적 리스크가 커진다.

10. 언어 설정은 해커 입장에서 중요한 방패

러시아의 법적 환경상, 악성코드는 외국 시스템만 타깃팅하도록 제한하고 있으며, 이를 우회하면 법적 위험이 생긴다.

11. 레지스트리 조작으로도 효과 가능

키보드 언어 설정 없이도, 윈도우 레지스트리에 해당 국가 언어가 설정된 것처럼 꾸미는 간단한 스크립트도 공개되어 있다.

12. 수동으로 키보드 언어 추가하는 방법

윈도우 설정 > 시간 및 언어 > 언어 항목에서 원하는 키보드 언어를 추가하고, 재부팅하면 적용된다.