일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법

Posted by Sakai
2017.11.07 00:00 보안

오늘은 일본 기업을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 최근에 랜섬웨어들은 특정 지역을 노리는 랜섬웨어들이 많이 발생을 하고 있습니다. 지난 시간에 소개해 드린 배드래빗 랜섬웨어 등과 같이 특정 국가를 대상으로 하는 공격들입니다.

보통은 랜섬웨어는 특정 국가가 아닌 여러 국가의 표적으로 공격하였지만, 최근에는 특정 국가나 특정 언어를 사용하는 사용을 하는 맞춤형으로 랜섬웨어가 진화를 하고 있습니다. 일단 ONI Ransomware은 아마도 개인적인 추측으로는 일본어에서 귀신을 뜻하는 鬼(おに)에서 이름을 붙였는지 모르겠습니다. 일단 해당 랜섬웨어인 ONI Ransomware(오니 랜섬웨어)은 기본적으로 스피어 피싱입니다.즉 간단하게 이야기하면 특정 대상을 노려서 해당 대상을 공격하는 방법으로서 먼저 이메일에 악의적으로 조작된 워드 파일이 포함된 압축파일인 zip 파일이 포함돼 있고 사용자가 해당 파일을 무의식적으로 해당 파일을 다운로드하고 나서 압축을 풀고 해당 파일을 실행을 시켜주면 악성코드는 Ammyy Admin RAT에 접속을 시도합니다.

그리고 나서 VBScript 스크립트를 다운로드 해서 실행을 합니다.Ammyy Admin은 합법적으로 제작된 원격 관리 도구이지만 해당 원격관리도구를 악용하는 것입니다. 컴퓨터가 감염되면 도메인 관리자 계정 및 서버에 대한 액세스 권한을 얻으려고 노력을 합니다. 그리고 공격자가 도메인 서버에 액세스 할 때 그룹 정책 스크립트를 사용해서 460가지가 넘는 다양한 이벤트 로그를 정리 한 일괄적으로 처리 파일을 실행하여 해당 작업을 처리합니다. 그리고 해당 랜섬웨어인 ONI Ransomware는 컴퓨터를 무사히 감염시키면 파일 확장자를 .oni 확장명으로 변경합니다. 그리고 암호화된 폴더 안에는 !!! README !!!! .html이라는 파일을 만들고 몸값을 지급하는 메시지와 함께 랜섬웨어 제작자에게 연락할 수가 있는 이메일 주소를 남겨줍니다.

그리고 마스터 부트 레코드(master boot record, MBR) 또는 파티션 섹터(partition sector)를 윈도우 부팅 전에 표시되는 암호화도 진행합니다. 그래서 MBR-ONI이라고도 불리고 있습니다. 만약 복구를 하고 싶은 경우에는 해당 랜섬웨어 제작자한테 비트코인을 제공을 하면 해당 암호화를 풀 수 있는 랜섬웨어 입니다. 물론 랜섬웨어 제작자에게 비트코인을 제공을 하는 것은 좋지 않습니다. 즉 예방이 중요한 이유가 이런 것입니다.

랜섬 노트 내용은 다음과 같습니다.

重要な情報!
すべてのファイルは,RSA-2048およびAES-256暗号で暗号化されています。心配しないで、すべてのファイルを元に戻すことができます。すべてのファイルを素早く安全に復元できることを保証します。ファイルを回復する手順については、お問い合わせ。信頼性を証明するために、2ファイルを無料で解読できます。ファイルと個人IDを私たちにお送りください。 (ファイルサイズ10MB未満、機密情報なし)連絡先hyakunoonigayoru@yahoo.co.jp
중요한 정보!
모든 파일은 RSA-2048 및 AES-256 암호로 암호화되어 있습니다. 걱정하지 마세요 모든 파일을 복구 할 수 있습니다. 모든 파일을 빠르고 안전하게 복구 할 수 있는지 확인합니다. 파일을 복구하는 방법은 문의. 신뢰성을 증명하기 위해 두 파일을 무료로 읽을 수 있습니다. 파일과 개인 ID를 우리에게 보내주십시오. (파일 크기 10MB 미만 기밀 정보 없음) 연락처 hyakunoonigayoru@yahoo.co.jp

일단 이런 랜섬웨어에 감염이 되지 않으려면 기본적으로 윈도우 보안 업데이트를 최신으로 유지하면 백신프로그램 설치 및 최신 업데이트 유지, 실시간 감시를 해야 하며 보조 백신프로그램 또는 랜섬웨어 차단 프로그램으로 컴퓨터를 보호해야 하면 기본적으로 어도비플래시플레이어(Adobe Flash Player)같은 경우에도 마찬가지로 최신 업데이트를 유지를 해야 하면 토렌트 같은 곳에서 함부로 파일을 내려받아서 실행하는 행위 모르는 사람에게서 온 이메일 같은 것도 함부로 실행을 하지 말아야 랜섬웨어 같은 악성코드를 예방할 수가 있습니다.

<기타 관련 글>

[보안] - Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법

[보안] - Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법

[보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

[보안] - 우크라이나를 겨냥한 XData 랜섬웨어 감염 증상 및 예방 방법

[보안] - XData Ransomware(XData 랜섬웨어)에 대한 마스터 암호화 해독 도구 발표

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[보안] - Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어) 감염 증상 및 예방 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)



신고

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
이 댓글을 비밀 댓글로
  1. 일본에 사시는분들에게는 정말 조심해야겠군요.
    • 굳이 일본에 사시는 분들이 아니더라도 일본어에 관심이 있거나 일본에서 거래를 하시는 다른 분들도 해당 랜섬웨어에 걸릴수가 있으니까 항상 조심하는것이 좋을것 같습니다.
  2. 한 번 점검해봐야 겠네요 좋은 정보 잘 보고 갑니다
    • 항상 악성코드에 감염이 되는것을 최소화 할려면 예방이 중요하다고 생각이 됩니다.
  3. 일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법 포스트 잘 읽고 갑니다.