갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 킬스위치 발견

Posted by Sakai
2018.07.14 19:41 소프트웨어 팁/보안

오늘은 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 킬스위치 발견이 되었다는 소식입니다. 일단 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4)은 먼저 첫 번째 버전은 파일을 암호화하고. GDCB 확장자로 변경하지만, 이번 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)버전은 기본적으로 기존의 암호화 확장자가 아닌. KRAB로 변경을 합니다. 일단 해당 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)에 감염이 되면 현재로서는 복구 불가입니다.
일단 유포 방식은 기본적으로 흔히 과자라고 부르는 크랙파일을 이용해서 악성코드가 유포되고 있습니다. 그리고 기존의 랜섬웨어 들은 AES, RSA 같은 암호화 알고리즘을 이용했지만, 최근에서는 Salsa20 암호화 알고리즘을 사용하기 시작을 했습니다.

SONY | DSC-H5

일단 해당 랜섬웨어인 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)은 감염이 되면 기본적으로 암호화할 파일의 컴퓨터와 모든 네트워크 공유를 검사를 시작하게 되고 네트워크 공유를 검색할 때 매핑 된 드라이브뿐 아니라 네트워크의 모든 공유가 열거되기 시작을 합니다. 그리고 파일들을 암호화하기 시작을 하면 해당 암호화된 파일은. KRAB확장자로 변경을 합니다.

그리고 암호화하지 않는 확장자는 다음과 같습니다.
 .ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key .idx .mod .mpa .msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs .spl .sys .theme .themepack .exe .bat .cmd .gandcrab .KRAB .CRAB .zerophage_i_like_your_pictures
그리고 암호화하지 않는 폴더들은 다음과 같습니다.

\ProgramData\
\IETldCache\
\Boot\
\Program Files\
\Tor Browser\
\All Users\
\Local Settings\
\Windows\
그리고 나서 러시아 어를 사용하는 국가들은 해당 랜섬웨어는 감염이 되지 않습니다.

러시아 어, 우크라이나어, 벨로루시 어,타직,아르메니아,아제르바이잔,그루지야 어(조지아 어),카자흐스탄,키르기스,투르크멘,우즈벡,타타르,루마니아어,몰도바 입니다.최근 해외 보안 업체인 Fortinet에서 해당 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 작동방식을 역으로 이용해서 해당 랜섬웨어를 예방을 하는 방법을 국내 보안 업체인 안랩에서 파일을 공개했습니다.
즉 해당 랜섬웨어는 Common AppData 폴더에 특별한 규칙을 갖는 무작위 8자리 파일 이름. lock 파일이 발견되면 랜섬웨어가 종료가 되는 것을 역으로 이용하는 방법입니다.
해당 파일의 위치는 다음과 같습니다.
윈도우 XP:C:\Documents and Settings\All Users\Application Data
윈도우 7,윈도우 8,윈도우 10:C:\ProgramData
입니다. 먼저 안랩에서 제공을 하는 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 킬스위치를 제공하는 사이트로 이동합니다.

갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 킬스위치

그리고 나서 해당 부분으로 내려가다 보면 압축파일이 하나가 있을 것입니다. 그리고 나서 압축파일을 풀고 나서 해당 파일을 관리자권한으로 실행을 시켜줍니다. 그리고 나면 끝입니다. 그리고 나서 C:\ProgramData으로 폴더로 이동하면 다음과 같이 426BD648.lock이라는 파일이 생성된 것을 볼 수가 있을 것입니다.

일단 임시적으로 나마 해당 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4)를 임시로 차단할 수가 있겠지만 제일 중요한 것은 항상 주의를 해야 할 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어 종류가 다양하네요..
    • 네~많이 있습니다.교육용 목적으로 제작된 랜섬웨어 제작 프로그램으로도 누구나 만들수가 있으니까요.물론 해당 랜섬웨어를 제작을 하고 유포를 하면 법적 처벌을 받습니다.

GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4) 감염 증상

Posted by Sakai
2018.07.06 03:00 소프트웨어 팁/보안

오늘은 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)이 발견이 되었다는 소식입니다. 일단 첫번쨰 버전은 파일을 암호화하고. GDCB 확장자로 변경하지만, 이번 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)버전은 기본적으로 기존의 암호화 확장자가 아닌. KRAB로 변경을 합니다. 일단 해당 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)에 감염이 되면 현재로서는 복구 불가입니다.

일단 유포 방식은 기본적으로 흔히 과자라고 부르는 크랙파일을 이용해서 악성코드가 유포되고 있습니다. 그리고 기존의 랜섬웨어 들은 AES, RSA 같은 암호화 알고리즘을 이용했지만, 최근에서는 Salsa20 암호화 알고리즘을 사용하기 시작을 했습니다.

일단 해당 랜섬웨어인 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)은 감염이 되면 기본적으로 암호화할 파일의 컴퓨터와 모든 네트워크 공유를 검사를 시작하게 되고 네트워크 공유를 검색할 때 매핑 된 드라이브뿐 아니라 네트워크의 모든 공유가 열거되기 시작을 합니다. 그리고 파일들을 암호화하기 시작을 하면 해당 암호화된 파일은. KRAB확장자로 변경을 합니다.

그리고 파일을 암호화할 때 랜섬웨어는 피해자의 파일에 일어난 일에 대한 정보와 지급 지시를 위해 연결할 TOR 사이트 (gandcrabmfe6mnef.onion) 및 랜섬웨어 개발자가 암호화된 정보를 포함하는 KRAB-DECRYPT.txt이라는 몸값 메모를 생성하며 암호화 키로 복구해야 합니다. 그리고 악성코드에 감염되면 복구 도구인 GandCrab Decryptor를 받으려고 TOR 지불 사이트에 접속을 시도합니다.

그리고 몸값은 언제나 암호화폐 중 하나인 DASH(대쉬)암호화 화폐를 요구합니다. 그리고 악성코드 중 하나인. js파일이 실행이 되면 파일을 삭제합니다. 그리고 파일을 삭제하는 위치는 다음과 같습니다.
C:\Users\{사용자 이름}\AppData\{악성코드 이름}.exe
악성코드 해쉬값:97a910c50171124f2cd8cfc7a4f2fa4f
그리고 악성코드를 컴퓨터에서 재시작을 하면 다시 작동을 하려고 다음과 같이 레지스터리 값을 등록합니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
그리고 랜섬웨어 노트는 다음과 같습니다.

–= GANDCRAB V4 =—
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .KRAB
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
—————————————————————————————-
| 0. Download Tor browser – https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser:
| 4. Follow the instructions on this page
—————————————————————————————-
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
—BEGIN GANDCRAB KEY—
—END GANDCRAB KEY—
—BEGIN PC DATA—
—END PC DATA—

뭐 대충을 랜섬웨어 노트를 해석하면 다음과 같습니다.
모든 파일, 문서, 사진, 동영상을 암호화했고 그리고 .KRAB로 암호화했으며 파일을 복구하는 유일한 방법은 고유 개인 키를 사야 한다는 메시지와 Tor 브라우저를 설치하고 해당 TOR 브라우저에서 링크 열기 그리고 데이터를 변경을 하지 말라고 하면 Windows 명령 프롬프터에서 다음 명령을 관리자를 실행합니다.
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc

sc stop WerSvc
cmd.exe/C bcdedit /set {기본} recoveryenabled No
cmd.exe/C bcdedit /set {기본} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe”/C vssadmin.exe Delete Shadows /All /Quiet
입니다. 해당 명령어들을 보면 기본적으로 시스템 복구시점을 복구할 수가 없게 만들었고 그리고 윈도우 디펜더를 중지시키면 시스템 복구시점을 삭제합니다. 즉 섀도우 볼륨 사본을 삭제하기 때문에 랜섬웨어에 감염이 되면 하드디스크를 포멧하거나 아니면 악성코드 제작자에게 암호화 화폐를 지급하는 방법뿐입니다. 물론 악성코드 제작자에게 암호화 화폐를 보낸다고 100% 복구를 할 수가 있다는 것은 보장할 수가 없습니다. 즉 이런 상황을 맞이하지 않으려면 기본적으로 윈도우 업데이트를 최신으로 유지하고 그리고 백신프로그램은 항상 최신 업데이트 및 실시간 감시를 하면 랜섬웨어 방어프로그램을 설치하는 것도 중요하면 그리고 크랙 프로그램같은것을 함부로 내려받아서 사용하지 말고 유료 프로그램을 정상적으로 구매해서 사용하거나 아니면 유료 프로그램을 대체할 수가 있는 오픈소스프로그램을 사용하는 것도 좋은 방법도 좋다고 생각이 됩니다.

<기타 관련 글>

[소프트웨어 팁/보안] - GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상

[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)변종 발견

[소프트웨어 팁/보안] - 랜섬웨어 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 조심하겠습니다 덕분에 잘 알고 갑니다

MBR를 파괴하는 랜섬웨어-RedEye Ransomware(레드아이 랜섬웨어)

Posted by Sakai
2018.06.12 00:00 소프트웨어 팁/보안

오늘은 컴퓨터 MBR 영역을 파괴하는 랜섬웨어인 RedEye Ransomware(레드아이 랜섬웨어)에 대해 알아보는 시간을 가져 보겠습니다. RedEye Ransomware 는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 돈을 요구하는 악성코드입니다.

일단 해당 RedEye Ransomware(레드아이 랜섬웨어)에 감염이 되면 기본적으로 컴퓨터 파일들을 지우고 MBR(마스터 부트 레코드)를 지우면 컴퓨터를 부팅을 할 수가 없게 만드는 랜섬웨어 입니다.
RedEye Ransomware(레드아이 랜섬웨어)는 파일을 암호화하고 나서. RedEye 확장자로 변경합니다.

파일 크기를 0KB 로 변경을 합니다. 암호화는 AES 암호화 알고리즘을 사용합니다. 해당 랜섬웨어는 악의적인 스크립트를 시작하는 페이로드 드로퍼(payload dropper)가 인터넷에 퍼져 나가고 있으며 해당 파일이 컴퓨터 시스템에 저장되고 어떻게 든 실행 하면 컴퓨터 시스템이 감염됩니다. 일단 기본적으로 윈도우 업데이트는 최신을 유지하면서 의심 가는 파일은 실행하는 것은 삼가야 합니다.
랜섬웨어 노트는 다음과 같습니다.

RedEye Ransomware
All your personal files has been encrypted with an very strong key by RedEye!
(Rijndael-Algorithmus – AES – 256 Bit)
The only way to get your files back is:
– Go to http://redeye85x9tbxiyki.XXXXXon/tbxIyki –개인 ID
and pay 0.1 Bitcoins to the adress below! After that you need to click on
“Check Payment”. Then you will get a special key to unlock your computer.
You got 4 days to pay, when the time is up,
then your PC will be fully destroyed!
Your personal ID: [xxxxxxx]
대충 번역을 하면 다음과 같습니다.
RedEye Ransomware
RedEye는 모든 개인 파일을 매우 강력한 키로 암호화합니다!
(Rijndael-Algorithmus-AES-256 비트)
파일을 다시 가져 오는 유일한 방법은 다음과 같습니다.
- http://redeye85x9tbxiyki.XXXXXXX/tbxIyki로 이동 - 개인 ID를 입력하십시오.
아래 주소에 0.1 비트코인를 지급하십시오! 그 후 클릭해야 합니다.
"지급 확인". 그런 다음 컴퓨터의 잠금을 해제하는 특수 키를 받게 됩니다.
당신은 지급할 사흘이 있고, 시간이 다되면,
그러면 PC가 완전히 파괴될 것입니다!
귀하의 개인 ID: [XXXXX]

일단 기본적으로 비트코인를 지급을 한다고 해당 복원키를 받는다고 보장을 할 수가 없습니다. 그리고 해당 랜섬웨어는 PC 종료를 하거나 해당 랜섬웨어가 제시하는 타이머가 만료되면 컴퓨터가 다시 시작되고 MBR(마스터 부트 레코드)이 시스템에 액세스 할 수 없다고 간주하여 MBR 영역이 교체됩니다. 그리고 운영체제를 재부팅을 하고 나면 다음과 같은 메시지를 볼 수가 있습니다.
RedEye Terminated your computer!
The reason for that could be:
– The time has expired
– You clicked on the ‘Destroy PC’ button
There is no way to fix your PC! Have Fun to try it :)
My YouTube Channel: iCoreX <- Subscribe :P Add me on discord! iCoreX#3333 <- Creator of Jigsaw, Annabelle & RedEye Ransomware! My old discord account named ’ iCoreX#1337’ got terminated by discord.
그리고 암호화하는 파일은 다음과 같습니다.
.bmp, .doc, .docx, .jpg, .png, .ppt, .pptx, .mp3, .xsl, .xslx
RedEye Ransomware(레드아이 랜섬웨어)는 섀도우 볼륨 복사본을 삭제하는 명령어를 다음과 같이 실행을 합니다.
vssadmin.exe delete shadows /all /Quiet를 실행을 합니다.
그래서 시스템복원지점을 만들어 놓았더라도 그렇게 도움이 되지 않습니다. 그래서 미리 중요한 파일은 백업하는 것이 제일 좋은 방법이고 그다음은 윈도우 자동업데이트는 함부로 끄지 말고 UAC도 마찬가지로 끄지 말고 그리고 백신프로그램도 실시간 감시 최신 갱신을 해야 하면 그리고 지난 시간에 소개해 드린 MBRFilter 같은 것을 사용해서 MBR 영역이 파괴되는 것을 차단할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어 피해가 많이 줄어든 거 같아요
    • 그래도 방심하면 랜섬웨어에 감염이 될수가 있으니까 항상 주의를 해야 될것 같습니다.
  2. 와 mbr 영역까지 건드리는 녀석도 있네요..

시리아 난민을 위한 기부금으로 위장한 랜섬웨어-RansSIRIA 랜섬웨어

Posted by Sakai
2018.05.29 00:00 소프트웨어 팁/보안

일단 해당 랜섬웨어는 감염이 되어서 복원화를 하려고 지불을 하는 몸값이 시리아 난민을 위해서 사용이 된다고 하는 랜섬웨어 입니다. 물론 이 말은 거짓말입니다. 해당 랜섬웨어는 WannaPeace 랜섬웨어의 변종이며 브라질 사용자를 공격 대상을 하고 있습니다.
그래서인지 포르투갈어로 돼 있습니다.

해당 랜섬웨어는 사용자 파일을 암호화하는데 약간 시간을 걸리는 이때 가짜 Word 창을 표시합니다.

그리고 파일 암호화가 완료되면 시리아 난민들을 도우려고 사용될 몸값을 지급하기 위한 열정적인 탄원? 을 담는 화면이 표시됩니다.마치 지난 시간에 소개해드린 랜섬웨어중 하나인 GPAA Ransomware(GPAA 랜섬웨어)와 비슷합니다.
랜섬노트 내용은 다음과 같습니다.

Sorry, your files have been locked Permita nos apresentar como Anonymous, e Anonymous apenas. Nós somos uma idéia. Uma idéia que não pode ser contida, perseguida nem aprisionada. Milhares de seres humanos estão nesse momento rufigiados, feridos, com fome e sofrendo... Todos como vítimas de uma guerra que não é nem mesmo deles!!! Mas infelizmente apenas palavras não mudarão a situação desses seres humanos... NÃO queremos os seus arquivos ou lhe prejudicar..., queremos apenas uma pequena contribuição... Lembre-se.., contribuindo você não vai estar apenas recuperando os seus arquivos... ...e sim ajudando a recuperar a dignidade dessas vitimas... nvie a sua contribuição de apenas: Litecoins para carteira/endereço abaixo.

일단 개인적으로 포르투갈 어를 모르는 관계로 번역은 하지 않겠습니다. (죄송합니다.)

[소프트웨어 팁/보안] - 세계 빈곤 퇴치기구(GPAA)를 가장한 랜섬웨어-GPAA Ransomware(GPAA 랜섬웨어)감염 및 증상

그리고 다른 랜섬웨어들은 보통 비트코인으로 지급을 하게 하지만 해당 랜섬웨어인 RansSIRIA은 Litecoins(라이트코인)이라는 가상화폐를 요구합니다. 해당 라이트코인은 2011년 10월 7일, 구글의 전 소프트웨어 엔지니어이자 코인베이스(Coinbase)의 디렉터였던 찰리 리(Charlie Lee) 에 의해 공개된 암호화폐이고 한국에서는 암호화폐 투자자들 사이에서 쓰이는 비공식 약칭은 라코이이라고 한다고 합니다. 일단 암호화폐 시가총액으로 2018년 2월 기준으로는 세계 5위권 내에 든다고 합니다.
그리고 해당 랜섬웨어인 RansSIRIA은 전쟁과 그리고 전쟁에서 오는 공포를 한 여자아이의 시선으로 만들어진 동영상이 담긴 유튜브로 연결되어서 감염된 사용자에게 보여줍니다. (암호 해독 후)즉 리아 난민에 관한 Worldvision 의 기사를 보게 됩니다. 지금 시리아에서 일어나는 현실은 정말로 끔찍합니다. 하지만, 이런 끔찍한 전쟁으로 자신의 이익을 챙기려고 한다는 것이 조금은 슬프기도 합니다. 그리고 해당 랜섬웨어인 RansSIRIA가 암호화하는 파일은 다음과 같습니다.

3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip

일단 이런 랜섬웨어들에 감염이 되지 않으려면 기본적으로 윈도우 업데이트는 기본적으로 자동업데이트를 하고 그리고 백신프로그램은 반드시 설치 실시간 감시 최신업데이트는 해야 하면 랜섬웨어방어 프로그램 등은 필요하면 설치를 해서 사용을 하면 됩니다. 그리고 자신이 사용하는 프로그램은 반드시 최신업데이트와 출처가 불분명한 곳에 프로그램 다운로드 금지 그리고 토렌트 같은 곳은 이용은 자제하는 것이 좋습니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 조심해야겠네요 덕분에 잘 알고 갑니다
    • 기본적인 보안 수칙들을 준수한다고 하면 악성코드에 감염이 되는것을 최소화 할수가 있을것입니다.

StalinLocker Ransomware(스탈린락커 랜섬웨어) 감염 증상

Posted by Sakai
2018.05.16 00:00 소프트웨어 팁/보안

오늘은 지난 시간에 소개해 드린 히틀러 랜섬웨어와 비슷한 랜섬웨어입니다. 일단 해당 랜섬웨어는 러시아인들을 대상으로 하는 랜섬웨어인 StalinLocker Ransomware(스탈린락커 랜섬웨어)에 대해 알아보시겠습니다.

일단 스탈린은 1939년 타임지 선정 올해의 인물, 1942년 타임지 선정 올해의 인물이기도 하며 소련의 초대 공산당 중앙위원회 서기장이며 소련 장관회의 주석이자 블라디미르 레닌 아래에서 러시아 혁명에 동참해서 러시아 제국을 무너트리고 소비에트 연방(소련)을 건국하는데 일조했으며 레닌 사후 교묘하게 권력을 장악해서 소련의 최고의 권력자가 되었으며 그리고 독재를 했으며 정적과 반대자를 비롯한 수많은 사람의 목숨을 숙청이라는 이름으로 죽였으며 구 러시아제국시절의 낙후된 농업사회 기반을 5개년 계획으로 중공업 및 화학공업위주로 발전시켜서 초강대국으로 올라갔으며 절대권력을 했기 때문에 일명 강철의 대원수 또는 조지아의 인간 백정이라는 이명으로 불리고 있습니다.

오늘 소개해 드리는 랜섬웨어인 StalinLocker Ransomware(스탈린락커 랜섬웨어)은 일단 감염이 되면 지정된 시간 10분 정도 시간을 주고 그리고 나서 코드를 입력해야 하면 10분 이내에 입력하지 않으면 컴퓨터에 있는 파일들을 삭제하는 랜섬웨어 입니다. 그리고 스탈린이 나오는 화면과 그리고 소련 국가가 연주됩니다.

일단 해당 랜섬웨어는 다음과 같은 폴더를 생성합니다.
%UserProfile%\AppData\Local 폴더를 생성하고 여기서 USSR_Anthem.mp3을 불러와서 소련 국가가 연주됩니다.
%UserProfile%\AppData\Local\stalin.exe 파일을 생성하고 사용자가 컴퓨터에 로그인할 때 화면에 StalinLocker화면에 생성을 하고 화면을 잠그고 그리고 파일 삭제를 준비합니다.
%UserProfile%\AppData Local\fl.dat를 만들고 기존의 시간에서 3초를 나눈 현재 값으로 사용합니다. 그래서 프로그램을 시작할 때마다 카운트 다운이 상당히 줄어듭니다.
Skype,Discord,Explorer.exe,taskmgr.exe이외의 프로세스를 종료를 시도합니다. 그리고 드라이버 업데이트 라는 예약된 작업을 만들어 Stalin.exe를 시작하려고 시도합니다. 그리고 카운트 다운이 0이 될 때까지 코드를 입력하지 않으면 화면 잠금 장치가 컴퓨터에서 발견 한 각 드라이브 문자의 파일을 모두 삭제하려고 시도하며 이 작업은 A에서 Z까지의 모든 드라이브 문자를 살펴보고 액세스 할 수 있는 드라이브 문자를 삭제하면 됩니다.
그리고 해당 랜섬웨어는 연락처 정보가 없어서 코드를 입력할 수가 없을 것입니다. 그리고 날짜를 계산하는 소련이 건국된 1922년12월30일을 날짜를 계산하는 데 이용합니다.

그리고 구호에 담긴 포스터 배경은 스탈린과 잠금 화면이 표시되면 내용은 다음과 같습니다.
Победа социализма в нашей стране обеспечена
Фундамент социалистической экономики завершен
"Реальность нашего производственного плана - это миллионы трудящихся творящие новую жизнь."
И. Сталин
러시아를 번역기로 돌려보면 다음과 같은 내용을 보여 줍니다.
우리나라 사회주의의 승리가 보장됩니다.
사회주의 경제의 기초가 완성되었습니다.
"우리의 생산 계획의 현실은 새로운 삶을 창조하는 수백만의 노동자들입니다."
스탈린
그리고 잠금 화면은 다음과 같습니다.
그리고 다음 화면은 원본이 되는 배경 화면입니다.

그리고 httpx://yadi.sk/d/Jje1tRgT3VtZgQ에서 USSR_Anthem.mp3를 재생을 합니다.

그리고 바이러스 토탈 결과는 다음과 같습니다. 물론 해당 결과에서는 진단하고 있지 않지만, 지금은 대부분 백신프로그램에서 진단하고 삭제를 합니다.
해시 :SHA256: 853177d9a42fab0d8d62a190894de5c27ec203240df0d9e70154a675823adf04
관련된 레지스터리 파일:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stalin %UserProfile%\AppData\Local\stalin.exe
<기타 관련 글>

[소프트웨어 팁/보안] - 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware) 감염 증상

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 덕분에 좋은 정보 잘 얻어갑니다
  2. 업데이트만 잘해도 랜섬웨어 덜 걸릴텐데 말이죠..
    신규 랜섬웨어 잘 보고 갑니다..
  3. 정말 이런 랜섬웨어 개발하는 사람도 대단하네요. -_-
    • 저도 그렇게 생각을 하고 있습니다.

한국 사용자를 노리는 랜섬웨어-RansomAES(랜섬AES)

Posted by Sakai
2018.05.14 00:01 소프트웨어 팁/보안

RansomAES 는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 돈을 요구하는 랜섬웨어 입니다.모든 파일은 AES 및 RSA 2048 비트 군사 등급 암호화 알고리즘으로 암호화를 진행을 합니다.RansomAES(랜섬AES)는 암화를 진행을 하고 나서 그리고 파일들의 확장자들은 .RansomAES로 변경을 합니다.일단 악성코드 유포는 기본적으로 페이로드 드로퍼(payload dropper) 또는 웹사이트,토렌트등으로 악성코드를 유포를 합니다.

그리고 파일을 암호화를 하고 나서 RansomAES 는 파일을 암호화하고 감염된 컴퓨터 시스템 내부에 지침이 담긴 몸값을 사용자에게 보여 줍니다.그리고 해당 랜섬웨어는 Satyr Ransomware,Spartacus Ransomware를 참고한 랜섬웨어 입니다.
그리고 암호화를 진행을 하는 파일들은 다음과 같습니다.

asp, .aspx, .bmp, .cdr, .cmd, .config, .cpp, .csv, .dbf, .dll, .doc, .docx, .dwg, .exe, .flv, .gif, .html, .hwp, .ini, .jpg, .js, .mdb, .mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .rtf, .sql, .sqlite, .txt, .vbs, .xls, .xlsx, .xml, .zip
생성되는 파일은 다음과 같은 확장자를 보여 줍니다.
당신의 파일이 암호화되었습니다! 당신에 확장자: .AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com 개인 ID KEY:

바이러스 토탈 결과

그리고 생성되는 GUI 화면 내용은 다음과 같습니다.
당신의 모든 파일이 암호화되었습니다!
당신의 파일이 암호화되었습니다! 당신에 확장자:AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com
Bitcoins 에서 암호 해독에 대한 비용을 지불해야합니다. 가격은 당신이 우리에게 어떻게 쓰는지에 달려 있습니다. 지불 후 우리는 당신에게 모든 파일을 해독할수 었는 해독 도구를 드립니다.
지금 위에 있는 개인 ID는 저희 이메일로 ID를 클립으로 복사해서 ID를 주세요.
일단 기본적으로 해당 랜섬웨어 복구를 하기 위한 비트코인 값은 직접적으로 명시되어있지 않고 간단하게 이메일을 통해서 악성코드 제작자와 연락을 하는 방식입니다.
그리고 해당 랜섬웨어에 감염이 되면 Windows 운영 체제에서 모든 섀도우 볼륨 복사본 을 지우도록 명령어를 실행을 합니다.
vssadmin.exe delete shadows /all /Quiet
그리고 현재 대부분의 백신프로그램에서는 탐지가 되고 있습니다.보통 탐지명은 다음과 같습니다.
Artemis!2B745E0A8DAD
Generic.Ransom.WCryG.334FECBF
Ransom_RAMSIL.SM
Trojan ( 0052dbd31 )
Trojan-Ransom.Win32.Spora.fcp
Trojan.IGENERIC
Trojan/Win32.FileCoder.C2493620
W32/Ransom.PLIR-3520
W32/Trojan.HLCA-1666
Win32:Malware-gen
으로 탐지가 되고 있습니다.바이러스 토탈에서는 쉽게 확인을 할수가 있을것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 주변에 항상 현재 진행형이지만 조금은 잠잠해 지더니 한국 사용자를 노리면 랜섬웨어가 있군요.
    조심하고 또 조심해야겠습니다.
    • 항상 주의하는것이 좋은 방법인것 같습니다.
  2. 특히 조심 해야겠군요 잘 알고갑니다

Apophis Ransomware(아포피스 랜섬웨어)감염 증상

Posted by Sakai
2018.05.07 00:00 소프트웨어 팁/보안

오늘은 Apophis Ransomware(아포피스 랜섬웨어)감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 Apophis Ransomware(아포피스 랜섬웨어)은 일단 개인적인 생각으로는 이집트 신화에 등장하는 거대한 독사를 인용해서 만든 랜섬웨어 인 것 같습니다.

일단 아포피는 이집트어로는 아펩(Apep),아페피(Apepi)로 불리고 있으며 거대한 코브라 또는 맹독을 지닌 독사의 모습을 하고 있으며 태양신 라의 숙적 이면서 라가 하늘을 건너는 배에 올라타 하늘을 일주하고 나서 밤에는 지하세계를 통과하게 되는 과정에서 12시간으로 나누어진 밤의 제7시에 그를 공격합니다.

일단 해당 Apophis Ransomware(아포피스 랜섬웨어)는 일단 지난 시간에 소개해 드린 직쏘 랜섬웨어 하고 비슷하게 생겼습니다. 아마도 직쏘 랜섬웨어를 모방했거나 아니면 변형을 한 랜섬웨어가 아닐까 생각이 됩니다.

일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)은 2018년4월쯤에 발견이 된 랜섬웨어로서 앞서 이야기한 것처럼 Jigsaw Ransomware(직쏘 랜섬웨어)의 변종인 것 같습니다. 일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)는 매크로스크립트가 삽입된 .DOCX를 포함해서 악성코드가 배포되는 방식을 취하고 있으면 이메일 형태로도 전파가 되고 있습니다.

일단 다른 직쏘 랜섬웨어 처럼 24시간 안에 몸값을 지급을 요구하면 악성코드가 감염되면 기본적으로 컴퓨터 안에 있는 파일을 검색하고 다음 확장자들을 검색해서 암호화를 진행합니다.
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm. pptx, .prel, .prproj, .ps, .ps, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip
그리고 해당 암호화 방식은 RSA 및 AES 암호화 방식을 사용해서 암호화되므로 사용자는 파일을 사용할 수가 없으면. fun으로 확장자로 변경해버립니다.
그리고 기본적으로 msiexec.exe를 통해서 악성코드는 실행됩니다.
You have been hacked by Apophis Squad!
We have encrypted your files using AES 256, which is NOT easy to reverse! XD
Do not panic, we will let you fix this by sending us a payment.
However I've already encrypted your personal files, so you cannot access them.
Twitter: @apophissquadv2 Web: apophissquad.rx Maker:P13x13t
[1H COUNDDOWN TIMER]
Time till file delete.
{View encrypted files|BUTTON]
Send $500 worth of Bitcoin here:
[34 자리 랜덤 챕터]
[I made a payment, now give me back my files!]
대충 번역을 하면 다음과 같습니다.
당신은 아포피스 분대에 의해 해킹당했습니다!
우리는 AES 256을 사용하여 파일을 암호화했습니다. XD
당황하지 마시고, 우리에게 지급금을 보내 당신이 해결하도록 하겠습니다.
그러나 이미 개인 파일을 암호화했으므로 액세스 할 수 없습니다.
트위터:@apophissquadv2 웹:apophissquad.rx 제조사:P13x13t
[1H COUNDDOWN TIMER]
파일 삭제까지의 시간.
{암호화 된 파일 보기}
여기에 Bitcoin을 500달러 상당 보내십시오.
[34개의 무작위 챕터]
[지급을 했고, 이제 당신의 파일을 돌려줍니다!]
일단 연결이 되는 사이트는 보면 러시아 사이트를 이용하고 있으면 그리고 랜섬웨어 노트 같은 경우 독일 3 제국인 나치를 상징하는 문장이 있는 것으로 보아서 아마도 나치 추종자가 아닐까 생각이 됩니다. 일단 랜섬웨어에 감염이 되는 것을 최소화하려고 하면 기본적으로 윈도우 업데이트는 무조건 해야 하면 백신프로그램, 백신보조프로그램, 랜섬웨어 방어 프로그램 등을 이용해서 방어해야 하면 그리고 기본적으로 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하는 것을 자제해야 할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상

Posted by Sakai
2018.05.01 02:22 소프트웨어 팁/보안

오늘은 최근에 유행하는 랜섬웨어 중 하나인 GandCrab Ransomware(갠드 랜섬웨어)가 새로운 버전인 GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)으로 업데이트가 되었다는 소식입니다. 최근에 켤 스위치가 발표되었지만, 그것도 거의 2주도 안 된 사이에 새로운 버전으로 업데이트가 되었습니다. 일단 GandCrab Ransomware(갠드 랜섬웨어)는 오리지널 버전은 다음과 같은 증상이 있습니다.
섬웨어는 기본적으로 감염되면 확장자를.GDCB으로 변경을 해버립니다. 기본적으로 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)는 기본적으로 스팸메일, 불법다운로드 파일에 있으면 익스플로잇으로도 감염이 되면 해당 GandCrab Ransomware(갠드크랩 랜섬웨어)의 특징 중 하나가 보통 랜섬웨어들은 기본적으로 비트코인이라는 가상화폐를 이용하지만 해당 랜섬웨어는 대쉬이라는 가상화폐를 요구합니다.
그리고 해당 랜섬웨어는 GandCrab Ransomware(갠드드크랩 랜섬웨어)은 기본적으로 해당 감염이 된 환경이 어떤 보안 프로그램이 사용되고 있는지 확인을 하고 샌드박스, 가상환경을 사용하는지 체크를 합니다. 일단 다음 보안 프로그램이 설치돼 있는지 확인을 합니다.
Avast
Avira
Comodo
ESET NOD 32
F-Secure
Kaspersky
McAfee
Microsoft
Norton/Symantec
Panda
Trend Micro

입니다. 여기서 마이크로소프트는 윈도우에 탑재된 윈도우 디펜더 제품을 이야기합니다. 그리고 컴퓨터가 감염되면 기본적으로 다음과 같은 파일들이 암호화됩니다.
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend,.bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des.design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho,.gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost,.otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,.ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
일단 해당 랜섬웨어 배포 방식은 스팸 메일, 이 메일 첨부 파일, 웹사이트 등으로 유포되고 있습니다. 일단 해당 랜섬웨어 제작자는 악성코드를 유포하기 위해서 다양한 방법을 사용합니다. 예를 들어서 사회공학적기법(쉽게 이야기하면 현재 인터넷 또는 사회에서 인기 있는 키워드 또는 정치적 이슈등을 이용을 하는 공격 방식)입니다.그리고 해당 방법이 아니면 소프트웨어프로그램에 악성코드를 삽입하는 방법입니다.

즉 프로그램을 다운로드를 하더라도 공식사이트에서 해야지 악성코드에 감염되는 것을 최소화할 수가 있지만 토렌트 같은 곳이나 출처가 불분명한 사이트에서 프로그램을 다운로드 및 실행을 하는 것은 위험한 행동 중 하나입니다. 아니면 Mozilla Firefox, Safari,Microsoft Edge,Opera,Internet Explorer,Google Chrome 같은 브라우저에서 사용되는 플러그인을 이용하는 방법도 있습니다. 물론 출처가 확실한 곳에서도 악성 플러그인 발견이 되고 있으므로 조심을 해야 할 것입니다. 그리고 Magnitude, RIG,GrandSoft,Exploit Kit들을 활용한 윈도우 취약점 및 브라우저 취약점 등을 활용한 공격입니다. 즉 윈도우 최적화를 한다고 윈도우 업데이트는 꺼버리는 것은 비추천 합니다. 물론 자신이 윈도우 업데이트가 되는 날을 알면 그때만 윈도우 업데이트 켜서 업데이트를 하고 꺼버리면 되겠지만, 보안을 위해서는 보안에 관한 것은 꺼버리는 것은 해서는 안 됩니다.

특히 UAC(사용자계정컨트롤),DEP(데이터실행방지)등과 같은 기능을 꺼버리면 안 됩니다. 일단 해당 GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)에 감염이 되면 먼저 부팅 순서를 변경하면 명령 프롬프트와 PowerShell을 관리자로 사용하여 사용자가 랜섬웨어 복구를 하려고 기본적으로 사용하는 볼륨 섀도 복사본(시스템복원지점)을 제거를 하면 그리고 파일들은 AES-256(CBC 모드)+RSA-2048 암호화 알고리즘을 사용하여 암호화하기 때문에 복구는 해당 랜섬웨어가 잡히지가 않는 이상 복구는 그냥 포기해야 합니다.

[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)변종 발견

[소프트웨어 팁/보안] - 랜섬웨어 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

그래서 백업을 하라고 하는 이유입니다. 그리고 백그라운드에서 random.exe를 실행하며 explorer.exe를 하이재커으로 하여서 시스템을 강제로 다시 시작하여 암호화를 완료할 수 있습니다. 그리고 기본적으로 250개 이상의 파일 형식을 대상으로 공격합니다. 그리고 나서 암호화를 완료되면 CRAB-DECRYPT.txt라는 파일을 형성하면 해당 내용은 다음과 같습니다.

--—= GANDCRAB V3 =—--
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter “username”: 21b1a2d1729f0695
1) Enter “password”: your password
2. Add new account in Psi
3. Add and write Jabber ID:ransomware@sjms any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!
굳이 번역을 하면 다음과 같이 됩니다.
- = GANDCRAB V3 = -
주의!
모든 파일, 사진, 데이터베이스 및 기타 중요한 파일은 암호화되어 있으며 확장자는 .CRAB입니다
파일을 복구하는 유일한 방법은 개인 키를 사는 것입니다. 그것은 우리 서버에 있으며 파일만 복구할 수 있습니다.
키가 있는 서버가 닫힌 네트워크 TOR에 있습니다. 다음과 같은 방법으로 거기에 갈 수 있습니다.
Tor 브라우저 다운로드 - https://www.torproject.org/
1. Tor 브라우저 설치
2. Tor 브라우저 열기
3. TOR 브라우저에서 링크 열기 :
4.이 페이지의 지시 사항을 따르십시오.
우리 페이지에서 지급에 대한 지시 사항을 볼 수 있으며 1 파일을 무료로 해독할 기회를 얻습니다.
우리에게 연락하는 다른 방법은 Jabber messenger를 사용하는 것입니다. 방법을 읽어보십시오.
0. Psi-Plus Jabber 클라이언트 다운로드 : https://psi-im.org/download/
1. 새 계정 등록 : http://sj.ms/register.php
0) "username"을 입력하십시오 : 21b1a2d1729f0695
1) "암호"를 입력하십시오 : 암호
Psi에 새 계정을 추가하십시오.
3. Jabber ID를 추가하고 쓰십시오 : ransomware@sj.ms 모든 메시지
4. 명령 봇을 따르십시오.
주의!
봇입니다! 그것은 인간의 제어 없이 완전히 자동화된 인공 시스템입니다!
우리에게 연락하려면 TOR 링크를 사용하십시오. 우리는 언제든지 해독 가능한 모든 증거를 제공할 수 있습니다. 우리는 대화에 개방적입니다.
jabber 설치 및 사용 방법은 여기를 참고하십시오. http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
주의!
파일을 수정하거나 개인 키를 사용하지 마십시오. 이렇게 하면 데이터가 영구히 손실됩니다!

입니다. 그리고 전에도 소개해 드린 ShadowExplorer(새도우 익스플로워)는 아무런 소용이 없습니다. 앞서 이야기한 것처럼 볼륨 섀도 복사본(시스템복원지점)을 제거를 했기 때문에 아무런 소용이 없습니다.

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

굳이 복구 방법은 일단 포멧을 하고 나서 기존에 볼륨 섀도 복사본(시스템복원지점)을 만들어 놓은 백업파일을 이용해서 복구하거나 외장하드디스크 등에 저장된 복구지점을 통해서 이용하는 방법입니다. 즉 기본적으로 윈도우 업데이트는 기본적으로 자동업데이트로 하고 백신프로그램 설치,최신업데이트 유지,보조백신프로그램 또는 랜섬웨어 방지 프로그램 설치 및 실행 그리고 출처가 불분명한 사이트에서 프로그램, 영화 같은 것을 다운로드 및 실행을 하는 것은 하지 말아야 합니다. 즉 안전하게 사용을 하고 싶으면 윈도우도 공식사이트에서 ISO를 다운로드 및 정품인증을 위해서 윈도우를 구매해서 사용하는 것이 안전할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁] - 윈도우 업데이트 오류코드 0x8024402f 해결방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어 정보 잘 보고 갑니다

GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

Posted by Sakai
2018.04.22 17:08 소프트웨어 팁/보안

오늘은 지난 시간에 소개해 드린 랜섬웨어인 GandCrab Ransomware(갠드 랜섬웨어)버전이 새롭게 업데이트가 된 GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 기본적으로 처음 버전은 다음과 같은 증상을 보입니다.
해당 랜섬웨어는 기본적으로 감염되면 확장자를. GDCB으로 변경을 해버립니다. 기본적으로 해당 GandCrab Ransomware(갠드 크랩 랜섬웨어)는 기본적으로 스팸메일, 불법다운로드 파일에 있으면 익스플로잇으로도 감염이 되면 해당 GandCrab Ransomware(갠드 크랩 랜섬웨어)의 특징 중 하나가 보통 랜섬웨어들은 기본적으로 비트코인 이라는 가상화폐를 이용하지만 해당 랜섬웨어는 대쉬 이라는 가상화폐를 요구합니다.
그리고 해당 랜섬웨어는 GandCrab Ransomware(갠드 크랩 랜섬웨어)은 기본적으로 해당 감염이 된 환경이 어떤 보안 프로그램이 사용되고 있는지 확인을 하고 샌드박스, 가상환경을 사용하는지 체크를 합니다. 일단 다음 보안 프로그램이 설치돼 있는지 확인을 합니다.
Avast
Avira
Comodo
ESET NOD 32
F-Secure
Kaspersky
McAfee
Microsoft
Norton/Symantec
Panda
Trend Micro
입니다. 여기서 마이크로소프트는 윈도우에 탑재된 윈도우 디펜더 제품을 이야기합니다. 그리고 컴퓨터가 감염되면 기본적으로 다음과 같은 파일들이 암호화됩니다.
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend,.bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des.design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho,.gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost,.otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,.ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

등을 암호화합니다. 일단 기본적으로 상당히 많은 확장자가 암호화되는 것을 확인할 수가 있으며
\ProgramData\
\Program Files\
\Tor Browser\
Ransomware
\All Users\
\Local Settings\
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
GDCB-DECRYPT.txt
.sql
해당 랜섬웨어는 Adobe Flash Player의 취약점을 악용하고 있습니다. CVE-2018-4878로 알려졌으면 어도비 플래시 플레이어 익스플로잇이며 Adobe Flash Player 버전 28.0.0.161 취약점을 악용하는 것입니다. 그리고 해당 랜섬웨어는 일단 CRAB-DECRYPT.txt 파일을 만들고 해당 부분에 랜섬웨어 노트를 만듭니다.
그리고 안에 들어 있는 랜섬웨어 내용은 다음과 같습니다.
— “GANDCRAB V2.1 “—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor browser
3. Open link in TOR browser: http://gandcrab2pie73et.onion/xxxxxxxxxx
4. Follow the instructions on this page
If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser:
0. https://gandcrab2pie73et.onion.rip/xxxxxxxxxxxxxx
1. https://gandcrab2pie73et.onion.plus/xxxxxxxxxxxxx
2. https://gandcrab2pie73et.onion.to/xxxxxxxxxxxxxxx
ATTENTION! Use regular browser only to contact us. Buy decryptor only through TOR browser link or Jabber Bot!
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us to use Habber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.orx/download/
1. Register new account: https://sj.ms/register.pxx
0) Enter “username”: xxxxxxxxxxxx
1.Enter “password”: your password
2. Add new account in Psi
3. Add and write Jabber ID: ransomware@sj.ms any message
4. Follow instruction bot
It is a bot! It’s fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availability anytime. We are open to conversations.
DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!
그리고 2018년4월19일에서는 이전 버전과 유사한 템플리트 엔진을 사용을 하면 다음과 같은 메세지를 표시를 합니다.
Payment amount 724.63768116 DSH ($300,000.00)
1. Buy cryptocurrency DASH. Here you can find services where you can do it.
2. Send 724.63768116 DSH to the address:xkdDtXZoFAA3JP89Q4s4E2AcZYcScuD2gn
Attention!
Please be careful and check the address visually after copy-pasting (because there is a probability of a malware on your PC that monitors and changes the address in your clipboard)
If you don’t use TOR browser:
Send a verification payment for a small amount, and then, make sure that the coins are coming, then send the rest of the amount.We won’t take any responsibility if your funds don’t reach us
3. After payment, you will see your transactions below
The transaction will be confirmed after it receives 3 confirmations (usually it takes about 10 minutes)
그리고 새로운 버전은 랜섬웨어에 감염이 된 랜섬웨어 몸값을 할인을 해주는 일종의 프로모션의 기능이 포함되기도 했습니다.
그리고 한국을 대표하는 보안 기업인 안랩에서는 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중인 GandCrab v2.1을 발견했고 윈도우 정상 프로세스(mshta.exe,rundll32.exe,WMIC.exe)를 통해 악의적으로 조작된 사이트로 강제로 이동하게 구성이 되었고 그리고. ldf가 추가된 암호화는 제외되고 확장자 43개를 추가했다고 합니다.

ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou
그리고 해당 갠드 크랩 랜섬웨어는 공개키 기반의 암호화 방식(AES-256)을 사용을 하며 그리고 파일마다 랜덤한 키 바이트를 생성하여 암호화하고 랜덤 키를 다시 공격자의 공개키로 암호화를 진행되는 방식입니다. 그리고 해당 랜섬웨어 예방 방법의 하나인 것은 인터넷에 보면 윈도우 최적화를 한다고 꺼버리는 DEP기능을 정상적으로 돌려주는 것입니다. 기본적으로 DEP기능은 사용이 되게 돼 있지만, 만약 켜두지 않았다면 제어판->시스템->고급 시스템 설정->설정->데이터 실행 방지(DEP)으로 이동을 하고 나서 데이터 실행 방지(DEP)를 필수 Windows 프로그램 및 서비스에만 사용을 선택해줍니다. 그리고 GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)을 무력화할 수가 있는 킬 스위치(Kill-Switch)를 확인을 했다고 하면 안랩에서 제공을 하는 파일 Text.txt를 이용한다고 하면 파일 내부에 10바이트의 특정 데이터가 존재할 때 해당 파일 이하 경로는 암호화하지 않는 것을 확인되었다고 합니다.
안랩 갠드 크랩 랜섬웨어 2.1 버전 예방 텍스트
안랩에서는 해당 Text.txt를 감염을 방지하고 싶은 루트디렉터리에 복사 그리고 붙여 넣기를 해주면 됩니다.
예를 C 드라이버를 암호화하고 싶지 않는다면 C:\에 넣으면 됩니다. 그리고 C 드라이브 하위 암호화 차단을 할 수가 있다고 합니다. 해당 파일은 안랩에서 다운로드 해서 사용을 하면 될 것이면 기본적으로 윈도우 업데이트 및 자신이 사용하는 프로그램들은 최신 업데이트로 유지하면 그리고 보조 백신프로그램 또는 랜섬웨어 방지 프로그램을 설치해서 보호하시면 되고 제일 중요한 것은 윈도우 업데이트 및 프로그램 최신 업데이트 유지 그리고 백신프로그램 실시간 감시 최신업데이트를 유지를 해야 합니다. 일단 기본적으로 한국에서 확산이 되고 있기 때문에 항상 주의하시고 그리고 토렌트 같은 곳에서 파일을 함부로 다운로드 및 설치를 실행하는 것은 자제해야 합니다.

<기타 관련 글>

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)변종 발견

[소프트웨어 팁/보안] - 랜섬웨어 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어 Magniber 랜섬웨어(메그니베르 랜섬웨어)(README.txt) 복구툴 공개

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

강제로 배틀그라운드를 해야 하는 랜섬웨어-PUBG Ransomware

Posted by Sakai
2018.04.16 00:00 소프트웨어 팁/보안

배틀그라운드라는 게임은 블루홀의 자회사인 PUBG주식회사(舊 블루홀 지노게임즈)에서 개발한 MMO 슈팅 게임입니다. 일단 게임을 해보면 일본 영화인 배틀로얄(2000)과 비슷하게 게임이 진행되는 방식입니다. 일단 해당 게임의 기본 사양은 다음과 같습니다.
시스템 최소 요구 사양
운영체제: Windows 7, Windows 8.1, Windows 10(64비트)
CPU: Intel Core i5-4430, AMD FX-6300
RAM: 8GB
VGA: NVIDIA GeForce GTX 960 2GB,AMD Radeon R7 370 2GB
이며 최소한 램은 12GB를 이상 증설을 해서 사용을 해야 합니다. 일단 해당 랜섬웨어인 PUBG Ransomware은  RensenWare Ransomware등과 비슷하게 구성이 돼 있습니다. 즉 해당 랜섬웨인 PUBG Ransomware은 PlayerUnknown의 전장을 플레이하면 PUBG Ransomware가 파일을 해독되는 방식입니다. 일단 해당 랜섬웨어에 감염이 되면 사용자의 컴퓨터에서 사용자의 파일과 폴더를 암호화하고 .PUBG 확장자를 추가하며 파일의 암호화가 끝나면 암호화된 파일의 암호를 해독하는 데 사용할 수 있는 두 가지 방법을 제공하는 화면이 표시됩니다.

[소프트웨어 팁/보안] - 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어)

[소프트웨어 팁/보안] - RensenWare 랜섬웨어 증상과 파일 복구 방법

그리고 랜섬노트의 내용은 다음과 같습니다.
PUBG Ransomware
Your files, images, musics, documents are Encrypted!
Your files is encrypted by PUBG Ransomware!
but don't worry! It is not hard to unlock it.
I don't want money!
Just play PUBG 1 Hours!
Or Restore is [s2acxx56a2sae5fjh5k2gb5s2e ]
As stated in the ransom instructions, the first method that can be used to decrypt the files is to simply enter the "s2acxx56a2sae5fjh5k2gb5s2e" code into the program and click the Restore button.
PUBG Ransomware
파일, 이미지, 음악, 문서가 암호화됩니다!
귀하의 파일은 PUBG Ransomware에 의해 암호화됩니다!
그러나 걱정하지 마라! 잠금을 해제하는 것은 어렵지 않습니다.
나는 돈을 원하지 않아!
PUBG 1시간만 플레이하십시오!
또는 복원은 [s2acxx56a2sae5fjh5k2gb5s2e]입니다.

몸값 지침에 명시된 것처럼 파일을 해독하는 데 사용할 수 있는 첫 번째 방법은 s2acxx56a2sae5fjh5k2gb5s2e 코드를 프로그램에 입력하고 복원 버튼을 클릭하는 것입니다.)
해당 랜섬웨어는 TslGame 이라는 실행 프로세스를 모니터링하며 PlayerUnknown의 전장을 확인합니다. 그리고 몸값 기록에서는 1시간 동안 실행해야 한다고 되어 있지만 3초 동안 실행 파일만 실행하면 됩니다. 그리고 랜섬웨어에 감염이 된 사용자가 게임을 하면 프로세스가 감지되면서 랜섬웨어가 자동으로 피해자의 파일을 해독합니다. 그리고 랜섬웨어는 프로세스 이름만 찾고 게임이 실제로 실행되고 있는지 확인하기 위한 다른 정보는 확인하지 않습니다. 쉽게 이야기하면 TslGame.exe라는 실행 파일을 실행하면 파일을 해독할 수 있습니다.
그리고 해당 랜섬웨어가 암호화하는 파일은 다음과 같습니다.
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg
그리고 해당 랜섬웨어는 진단명은 다음과 같습니다.
Gen:Heur.Ransom.MSIL.1,Ransom.PUBG,Ransom_RAMSIL.SM,Trojan(0050fab71),Trojan-Ransom.Win32.Crypmodadv.xrg,Trojan.Win32.Generic!BT,W32/Trojan.JNOZ-0330,Win32.Trojan,Ransom.Filecoder.P@gen
그리고 이런 랜섬웨어에 감염이 되지 않는 방법은 간단합니다. 기본적으로 윈도우 업데이트,백신프로그램 설치 및 실시간 감시 및 최신 업데이트,보조 백신프로그램 또는 랜섬웨어 방지 프로그램을 설치해서 유지하면서 토렌트 같은 곳 및 그리고 출처가 불분명한 사이트 및 파일은 다운로드 및 실행을 해서는 안 됩니다. 그리고 해당 랜섬웨어 해쉬값은 다음과 같습니다.
해쉬값:SHA256:3208efe96d14f5a6a2840daecbead6b0f4d73c5a05192a1a8eef8b50bbfb4bc1


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 정말 희한한 랜섬웨어 네요
    • 아마도 자신의 실력을 과시하거나 글에도 적은것 처럼 일부러 저런식으로 만든 랜섬웨어들입니다.

백신프로그램-AVG Internet Security 2018 1년 프로모션

Posted by Sakai
2018.04.06 18:40 사이트 리뷰

오늘은 세계적인 보안 업체인 AVG에서 AVG Internet Security 2018 1년 프로모션이 진행이 되고 있습니다. 일단 기본적으로 AVG는 현재 Avast에 인수된 보안 업체이면 본사는 네덜란드에 있는 암스테르담에 있습니다. 일단 해당 보안 업체인 AVG는 1991년 Brno,Jan Gritzbach 및 Tomáš Hofer에 의해 GRISOFT로 시작을 한 보안 업체입니다. 일단 해당 보안 업체에서는 다음과 같은 제품을 제공하고 있습니다.
AVG AntiVirus
AVG Internet Security
AVG TuneUp
등으로 제품을 서비스하고 있습니다. 일단 AVG Internet Security 2018은 기본적으로 Windows 10, Windows 8.1,8, Windows 7, Windows Vista, Windows XP 32 64비트를 지원을 하고 있습니다. 일단 기본적으로 해당 AVG Internet Security 2018 를 사용을 하려면 반드시 AVG 공식홈페이지로 이동합니다. 여기서 AVG Internet Security 평가판을 다운로드를 하는 것이 아니고 먼저 AVG AntiVirus 무료 버전을 다운로드 합니다.

그리고 AVG AntiVirus 무료 버전을 설치합니다. 그리고 나서 내 AVG로 이동하고 나서 내 구독 부분으로 이동합니다.
그리고 나서 IBY9X-ESYXT-W4BZQ-QI4WX-A9LI7-INRS3를 입력을 해줍니다.
그러면 개인적으로 2019년3월30일까지 사용을 할 수가 있는 라이센스가 활성화가 됩니다. 그리고 해당 라이센스가 활성화되면 기본적으로 AVG Internet Security를 사용하는 데 필요한 업데이트 파일을 자동으로 다운로드 및 설치를 할 것입니다.

그리고 AVG Internet Security를 사용하시면 됩니다. 일단은 기본적으로 약 1년 정도 사용을 할 수가 있는 제품이기 때문에 백신프로그램이 필요하신 분들은 한번 이용을 해 보시면 됩니다. 그리고 기본적으로 방화벽,스팸 메일 차단,랜섬웨어 차단, 웹캠을 통한 웹캠 해킹 방어 기능도 사용할 수가 있어서 웹캠을 사용하시는 분들에게 도움이 될 수가 있습니다.

그리고 기본적으로 한글화가 돼 있는 것을 볼 수가 있고 그리고 Avast에 인수된 영향인지 상세한 설정을 보면 Avast 제품과 비슷하여져 있는 것을 볼 수가 있으면 컴퓨터 성능이 좋으면 설정 변경을 해서 보안을 강화할 수가 있습니다.

일단 Avast 제품을 사용해 보신 분들은 설정 부분은 친숙하게 다가올 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 전에 AVG로 못된 바이러스 잡았던 적이 있습니다
    • 개인적으로 괜찮은 백신프로그램이라고 생각이 됩니다.
  2. 무상으로 일 년 동안 사용할 수 있어서 괜찮네요
    • 네~그렇습니다.다만 프로모션은 기술지원을 받을수가 없습니다.
  3. 오늘도 유익한 포스팅이네요. 필요한분들 정보를 받아 가실겁니다. 행복한저녁시간되세요.
    • 주말 마무리 잘 하시고 즐거운 한주가 되세요.
  4. 어베스트 인터넷 시큐리티를 사용하다가 기간이 끝나서
    무료버전사용중인데 avg는 제 컴퓨터에서 뻗었던기억이 있어서 고민해봐야겠네요 ㅎㅎ
    • 일단 사용환경에 맞지 않는다면 사용 안하는것이 좋죠.
  5. 지금도 코드가 적용될련지 모르겠지만 1년 프로모션 괜찮네요.
    • 네~일단 백신프로그램이 필요하신분들에게 도움이 될것입니다.다만 기술지원은 하지 않으므로 한번 사용을 해보고 유료 라이센스를 구매하는것도 괜찮은 방법이라고 생각이 됩니다.

앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

Posted by Sakai
2018.03.21 00:00 소프트웨어 팁/보안

오늘은 앱체크(AppCheck)에서 제공을 하고 잇는 랜섬웨어방어프로그램인 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법에 대해 알아보겠습니다.일단 기본적으로 백신프로그램을 사용을 하다보면 기본적으로 자신이 사용하는 프로그램들이 악성코드가 포함돼 있는지 의심스러울 수가 있고 오진이 발생하는 경우가 있을 것입니다.

이때 기본적으로 사용자가 능동적으로 취할 수가 있는 행동은 기본적으로 해당 보안 업체에 의심파일 및 오진 파일을 신고해야 자신이 사용하는 것과 그리고 다른 사람들도 해당 부분에 대해서 도움이 될 것입니다. 일단 앱체크(AppCheck)은 기본적으로 CheckMAL(체크멀)에서 만든 제품으로 일단 기본적으로 한국어, 일본어, 영어를 지원하면 그리고 Windows 7 SP1 이상에서 지원합니다.

일단 앱체크는 개인(비영리) 사용자는 기능이 제한으로 무료로 제공하고 있으며 모든 기능을 사용하거나 기업 및 공공기관(영리) 등에서 사용하려면 앱체크 프로(AppCheck Pro)를 구매해서 사용하면 됩니다. 자체 개발한 상황 인식 기반 랜섬웨어 행위 탐지 기술인 CARB 엔진을 사용하고 있으며 보조 백신으로 사용되기 때문에 다른 안티바이러스(백신프로그램) 제품과의 충돌은 별로 없습니다. 일단 기본적으로 제공되는 기능들은 다음과 같습니다.

앱 체크 악성코드 의심 신고 및 오진 신고

실시간 보호
랜섬웨어 사전 방어
랜섬웨어 대피소
랜섬웨어 차단 후 자동 치료(유료)
로그 정보 세분화
자동 백업(유료)
폴더 보호
MBR 보호
취약점 공격 보호(일부 기능 유료)

Stable 업데이트(해당 업데이트는 무료 업데이트 보다 24시간 지나고 업데이트가 되는 기능입니다. 즉 업데이트로 인한 오류를 해결하기 위한 기능입니다. 해당 기능은 유료 사용자에게 제공되는 기능입니다.)
그리고 앱체크는 해외 유명 IT 매체 테크레이더에서 2017 최고의 유료 안티랜섬웨어로 지정이 되기도 했습니다.


일단 악성코드 의심파일 및 오진 신고 방법은 간단합니다. 먼저 해당 문의를 접수할 수가 있는 곳으로 접속합니다. 그리고 나서 문의하는 곳이 나올 것입니다. 여기서 해당 의심스러운 파일을 압축합니다.

굳이 비밀번호를 걸어두었다면 반드시 비밀번호를 가르쳐주어야 합니다. 즉 그냥 압축파일로 해서 보내면 됩니다. 그리고 이메일을 입력하고 문의내용에 자기가 아는 내용을 적어주면 악성코드 분석가분들에게 도움이 될 것입니다. 그리고 나서 기다리다 보면 이메일로 해당 문의에 대한 내용을 볼 수가 있으면 모바일로 접속했을 때는 파일을 아직은 첨부를 할 수가 없으므로 반드시 컴퓨터로 접속해서 해당 파일을 보내주면 됩니다. 간단하게 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법에 대해 알아보았습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 저도 한 번 점검해봐야겠는데요 잘 알고 갑니다
  2. 저도 사용하고 있는데요!
    맨날 사용하고있는것만 사용해서그런지
    아직까지 오진은 없네요 ㅎㅎ
    • 네~개인적으로도 사용을 하고 있지만 그렇게 오진은 없는것 같습니다.

애나벨 랜섬웨어(Annabelle Ransomware) 감염 증상

Posted by Sakai
2018.02.26 00:00 소프트웨어 팁/보안

해당 랜섬웨어인 애나벨 랜섬웨어(Annabelle Ransomware)은 공포영화인 애나벨(Annabelle)을 모티브로 제작된 랜섬웨어 입니다. 일단 해당 랜섬웨어인
Annabelle Ransomware은 일단 기본적으로 일단 해당 애나벨 랜섬웨어는 일단 기본적으로 보안 프로그램 종료, Windows Defender 사용 안 함, 방화벽 끄기, 파일 암호화, USB 드라이브를 통한 확산 그리고 다양한 프로그램을 실행할 수 없도록 설정 한 다음 사용자의 컴퓨터를 엉망진창으로 만들려고 만들어진 랜섬웨어 입니다.

일단 기본적으로 보통 랜섬웨어들은 기본적으로 비트코인,대쉬 같은 가상화폐를 요구해서 수익을 창출하는 것보다는 기본적으로 실력 과시에 가깝지 않나 싶습니다. 일단 해당 랜섬웨어는Annabelle Ransomware은 Windows에 로그인할 때 자동으로 시작되도록 구성이 돼 있습니다. 그리고 기본적으로 Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome 등을 강제 종료합니다.

그리고 나서 이미지 파일 실행 레지스트리 항목을 구성하여 위에 나열된 프로그램과 notepad++, 메모장, Internet Explorer, Chrome, Opera, bcdedit 등과 같은 다양한 프로그램을 시작할 수 없도록 막아 버립니다. 그리고 나서 모든 작업이 끝이 나면 파일 확장자 명을 .ANNABELLE 확장자로 변경해버립니다. 그리고 언제나 랜섬웨어들이 하는 것처럼
랜섬 노트를 남겨줍니다.

랜섬 노트 내용은 다음과 같습니다.
What Happened to my files? All your files are encrypted and secured with a strong key. There is no way to get them back without your personal key. How can I get my personal key? Well, you need to pay for it. You need to visit one of the special sites below & then you need to enter your personal ID (you find it on the top) & buy it. Actually it costs exactly 0.1 Bitcoins. How can I get access to the site? You easily need to download the Torbrowser, you can get it from this site: https://www.torproject.org What is goin to happen if I'm not going to pay? If you are not going to pay, then the countdown will easily ran out and then your system will be rboken. If you are going to restart, then the countdown will ran out a much faster. So, its not a good idea to do it. I got the key, what should I do now? Now you need to enter your personal key in the textbox below. Then you will get access to the decryption program. - The darknet sites are not existing, its just an example text. The other things are right, except the darknet thing. Its possible to get the key, but if I going to do a new trojan, or new version of this then I will add real ways to get the key :) If you wanna that I going to do a 2.0 or a new trojan, then write it below in the comments. Thanks If you wanna chat with me, contact me easily in discord: iCoreX#1337

그리고 해당 랜섬웨어는 마스터 부트 레코드(MBR)까지 가짜 부트 로더로 덮어쓰기 기능도 추가로 있기 때문에 정말 감염이 되면 파일 복구는 포기하는 것으로 목적으로 하는 것 같습니다. 그리고 해당 랜섬웨어 제작자하고 대화하고 싶다고 하면 디스코드(Discord)라는 메신저를 사용을 하라고 합니다.
그리고 삭제대상이 되는 폴더는 다음과 같습니다.
%Windows%
%System%
%System32%
%Temp%
%AppData%
%Local%
%LocalLow%

그리고 언제나 랜섬웨어들의 기본적으로 수행하는 시스템 복원지점을 파괴하는 명령어를 실행합니다.
vssadmin delete shadows / all / quiet
그리고 나서 윈도우의 시스템 정상 명령어인 shutdown를 실행을 해서 컴퓨터를 강제 재부팅을 합니다.
C:\Windows\System32\shutdown.exe"-r -t00 -f
그리고 컴퓨터를 다시 부팅을 하기 전에 다음과 같은 메시지를 볼 수가 있습니다.

그리고 컴퓨터 재부팅 후 타이머와 IP 주소가 있는 잠금 화면을 표시하며. 타이머는 시간을 초 단위로 계산되며 잠시 후 다른 요소가 화면에 나타납니다.
타이머가 끝까지 계산되면 BSOD(블루스크린)가 나타나면 다음 MBR이 수정되었다는 화면을 볼 수가 있습니다.

그리고 암호화되는 파일들은 동영상 파일, 사진파일, 문서 파일들입니다. 일단 랜섬웨어에 감염이 되기 싶지 않은 분들은 반드시 윈도우 업데이트,백신프로그램설치,그리고 랜섬웨어 예방 프로그램 설치와 그리고 제일 중요한 것은 토렌트와 같은 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하는 것을 하지 않는 것이 좋습니다.

일단 해당 해쉬값은 다음과 같습니다.
716335ba5cd1e7186c40295b199190e2b6655e48f1c1cbe12139ba67faa5e1ac
관련된 파일은 다음과 같습니다.
Copter.flv.exe
MBRiCoreX.exe
입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

Posted by Sakai
2018.02.19 01:40 소프트웨어 팁/보안

오늘은 최근 한국에서도 퍼지는 랜섬웨어인 GandCrab Ransomware(그랜드크랩 랜섬웨어)에 대해 알아보겠습니다. 해당 랜섬웨어는 기본적으로 감염되면 확장자를. GDCB으로 변경을 해버립니다. 기본적으로 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)는 기본적으로 스팸메일, 불법다운로드 파일에 있으면 익스플로잇으로도 감염이 되면 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)의 특징 중 하나가 보통 랜섬웨어들은 기본적으로 비트코인이라는 가상화폐를 이용하지만 해당 랜섬웨어는 대쉬이라는 가상화폐를 요구합니다.

그리고 해당 랜섬웨어는 GandCrab Ransomware(그랜드크랩 랜섬웨어)은 기본적으로 해당 감염이 된 환경이 어떤 보안 프로그램이 사용되고 있는지 확인을 하고 샌드박스, 가상환경을 사용하는지 체크를 합니다. 일단 다음 보안 프로그램이 설치돼 있는지 확인을 합니다.

Avast
Avira
Comodo
ESET NOD 32
F-Secure
Kaspersky
McAfee
Microsoft
Norton/Symantec
Panda
Trend Micro

입니다. 여기서 마이크로소프트는 윈도우에 탑재된 윈도우 디펜더 제품을 이야기합니다. 그리고 컴퓨터가 감염되면 기본적으로 다음과 같은 파일들이 암호화됩니다.

1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend,.bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des.design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho,.gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost,.otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,.ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

등을 암호화합니다. 일단 기본적으로 상당히 많은 확장자가 암호화되는 것을 확인할 수가 있으며

\ProgramData\
\Program Files\
\Tor Browser\
Ransomware
\All Users\
\Local Settings\
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
GDCB-DECRYPT.txt
.sql

그리고 위에 표시된 폴더들은 감염을 시키지 않거나 폴더 및 파일들은 암호화 대상에서 제외합니다. 일단 암호화했으니까 돈을 받아야 하니까 말이죠. 그리고 랜섬노트를 표시를 합니다.

Welcome!
WE ARE REGRET, BUT ALL YOUR FILES WAS ENCRYPTED!
AS FAR AS WE KNOW:
Country
OS
PC User
Pc Name
PC Group
PC Lang.
HDD
Date of encrypt
Amount of your files
Volume of your files
But don’t worry, you can return all your files! We can help you!
Below you can choose one of your encrypted file from your PC and decrypt him, it is test decryptor for you.
But we can decrypt only 1 file for free.
ATTENTION! Don’t try use third-party decryptor tools! Because this will destroy yourr files!
What do you need?
You need GandCrab Decryptor. This software will decrypt all your encrypted files and will delete GandCrab from your PC. For purchase you need crypto-currency DASH (1 DASH = 760.567$). How to buy this currency you can read it here.
How much money you need to pay? Below we are specified amount and our wallet for payment
Price: 1.5 DASH

일단 DASH이라는 가상화폐를 사용하고 일단 백신프로그램, 분석을 방지하기 위해서 가상환경인지 아닌지 확인을 하는 것을 볼 수가 있어서 조금 더 치밀해진 것을 확인할 수가 있습니다. 그리고 랜섬웨어는 기본적으로 자신을 숨기는 현상을 보이고 있으면 백신프로그램으로 검사하면 탐지를 피하려고 하면 이미 백신프로그램 작동을 중단시키기 때문에 백신프로그램을 무력화합니다. 그리고 앞서 랜섬노트에서도 보이는 것처럼 랜섬웨어는 해당 부분을 검사합니다. 사용자 이름
키보드 유형
컴퓨터 이름
바이러스 백신의 존재 유무
프로세서 유형
IP
OS 버전
디스크 공간
시스템 언어
활성 드라이브
로컬
현재 Windows 버전
프로세서 아키텍처
그리고 해당 랜섬웨어는 키보드 레이아웃이 러시아 어인지를 확인하고 그 결과에 대한 정수 표현을 작성하고 이 모든 정보로 문자열을 작성하며 수집된 정보에 레이블을 지정하기 위해 변수 이름을 쓰는 코드로 사용됩니다.
그리고 랜섬웨어가 건드리는 프로세스 목록입니다.

msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exe
isqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exe
agntsvc.exe
agntsvc.exe
encsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe

입니다. 그리고 개인 키를 생성하고 Advapi32.dll의 API 호출을 사용하여 사용 가능한 표준 Microsoft 암호화 라이브러리를 사용하며 RSA 알고리즘을 사용하여 CryptGenKey 를 호출합니다. 그리고 해당 랜섬웨어의 해쉬값들입니다.
69f55139df165bea1fcada0b0174d01240bc40bc21aac4b42992f2e0a0c2ea1d(GandCrab Ransomware(그랜드크랩 랜섬웨어) 패키지)
ab0819ae61ecbaa87d893aa239dc82d971cfcce2d44b5bebb4c45e66bb32ec51(패키지 풀고 난 후)
일단 기본적으로 보안 업데이트는 기본적으로 하면 랜섬웨어예방프로그램등과 같은 것을 설치를 해두면 도움이 될 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어... ㅠ..ㅠ 무섭네요 ㅠ..ㅠ
    개인은 그냥 포맷하면 된다지만... 기업은...ㅠ..ㅠ
    • 그렇죠.개인은 포멧을 하면 되지만 기업에서 걸리버리면 진짜 문제가 심각해지죠.그래서 미리 예방을 하는것이 중요하다고 생각이 됩니다.
  2. 감염증상을 확인해봐야겠네요
    • 일단 랜섬웨어들은 비슷하니까 항상 예방을 하는것이 좋을것 같습니다.

한국인만 노리는 랜섬웨어-RansomUserLocker Ransomware 감염 증상

Posted by Sakai
2018.02.02 19:59 소프트웨어 팁/보안

오늘은 히든티어로 제작된 RansomUserLocker Ransomware 감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 Hidden Tear(히든티어)라는것은 2015년 8월 중순 GitHub 페이지에 공개돼 있고 누구나 내려받아서 사용할 수가 있는 교육용 랜섬웨어 제작도구입니다. Hidden Tear라는 프로젝트는 전적으로 오픈 소스입니다. 해당 프로그램은 터키의 프로그램 어인 Utku Sen이라는 사람이 제작할 걸로 알고 있습니다.

해당 히든티어는 proof-of-concept은 AES 암호화를 사용하여 감염된 시스템의 데스크톱에서 \ test디렉토리에있는 파일을 인코딩하며 해당 약어는 Advanced Encryption Standard의 약자이며 원래 Rijndael로 알려 진이 알고리즘은 대칭적입니다. 즉, 암호화 및 암호 해독 키가 동일 함을 의미하며 키의 길이는 128,192 또는 256비트가 될 수 있습니다. 그리고 랜섬웨어는 운영자만 사용할 수 있도록 원격 서버에 키를 전송하며 데이터를 복구하려면 감염된 사람이 특수하게 조작한 암호 해독 프로그램과 비밀 키를 처분할 수 있어야 합니다.

또한, 두 가지 전제 조건은 협상 대상이거나 가해자와 사용자 사이의 협상이 되기 마련입니다. 해당 랜섬웨어는 자세한 복구 지침과 관련 하이퍼 링크가 포함된 문서를 바탕 화면에 생성합니다. 그리고 파일 크기 12KB 밖에 되지 않아서 이메일을 통해서 전파가 가능하면 백신프로그램 제작자들은 이를 탐지하기 위해서 고생을 하시고 있습니다.

그리고 해당 히든티어를 통해서 프로그램에 대해서 조금만 알면 랜섬웨어를 만들어서 가상화폐를 얻을 수가 있습니다. 일단 해당 랜섬웨어인 RansomUserLocker Ransomware 은 한국인을 대상으로 제작되었으면 그리고 한국인이 제작했다는 것을 쉽게 파악할 수가 있습니다. 예를 들어 빗썸같은 한국에 있는 가상화폐거래소 주소를 통해서 구매하고 송금하라는 메시지를 볼 수가 있습니다. 그리고 해당 랜섬웨어에 감염이 되면 RansomUserLocker 확장자로 암호화됩니다.

악성코드는 다양한 방법을 사용하여 스팸 메일을 통해 전달될 수 있으며 그 중 하나는 맬웨어 첨부 파일 이 포함 된 메시지를 만드는 데 의존하기도 하면 다른 사회 공학 기법을 사용하여 악성코드 제작들은 희생자를 조작하고 강요하여 상호 작용할 수 있으며 맬웨어 사이트에서 호스팅 되는. RansomUserLocker 바이러스 샘플을 메시지에 연결할 수 있습니다. 일단 여기서 사회공학기법이라는 것은 쉽게 이야기해서 최근에 평창동계올림픽이 열리는데 평창동계올림픽으로 속인 가짜 사이트 또는 악성코드를 만들어서 사용자가 실행하는 방식입니다. 즉 사람들이 관심이 있는 부분을 이용하는 방법입니다. 그래서 함부로 클릭을 하거나 사이트에 들어가지 말라는 이유입니다.
염이 발생하면 실행되는 첫 번째 작업 중 하나는 정보 수집 모듈입니다. 해당 랜섬웨어 자체는 컴퓨터 호스트에서 중요한 정보를 수집하기 위해서 작업을 수행하며 대개 두 가지 주요 유형으로 분류됩니다.
익명의 통계: 범죄자는 공격 캠페인의 효율성을 결정하는 데 유용한 정보를 수집할 수 있습니다.
개인 구별 정보: 이 유형의 데이터는 사용자 신원을 직접 노출하는 데 사용될 수 있습니다. 악성코드 엔진은 피해자의 이름, 주소, 전화번호, 관심사 및 암호와 관련된 문자열을 검색할 수 있습니다.
그리고 정보 수집 엔진은 개별 컴퓨터 호스트에 할당된 고유한 피해자 ID를 계산하기 위해 추출된 정보를 사용하며 구성에 따라 데이터는 모듈이 실행을 완료하거나 네트워크 연결이 완료되고 해커 운영자에게 릴레이 될 수 있습니다. 그리고 해당 랜섬웨어는 분석을 당하는 것을 싫어해서 샌드 박스 및 디버그 환경 및 가상 컴퓨터상태에서 감염되었는지 검사도 합니다.

그리고 해당 랜섬웨어가 감염이 되면 다음 파일들을 암호화합니다.

.asp, .aspx, .bat, .bmp, .csv, .doc, .docx, .html, .hwp, .java, .jpg, .kys, .mdb, .mp3, .odt,.pdf, .php, .png, .ppt, .pptx, .psd, .rtf, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml, .zip

그리고 랜섬웨어 노트는 다음과 같습니다.

당신의 컴퓨터가 랜섬웨어 감염되었습니다.
1. 당신의 컴퓨터에 무슨 일이 일어났나?
당신의 개인적 파일 예를 들어 사진, 문서, 비디오 및 기타 중요한 파일을 비롯한 개인 파일은 강력한 암호화 알고리즘인 RSA-2048로 암호화되었습니다. RSA 알고리즘은 컴퓨터의 공개 키와 개인 키를 생성합니다. 공개 키는 파일을 암호화하는 데 사용되었습니다.
개인 키는 파일의 암호를 해독하고 복원하는 데 필요합니다.
당신의 개인 키는 우리의 서버에 저장되었습니다. 그리고 장단 하건대 개인키가 없이는 절대 복호화가 이루어지지 않습니다.
RSA 알고리즘: https://namu.wiki/w/RSA%20암호화
2. 어떻게 당신의 파일을 복호화 하나요?
당신은 "24" 시간 안에 지급하셔야 합니다.
만약 그 시간 안에 지급하지 않으면 당신의 개인키는 자동으로 우리의 서버로부터 지워지게 됩니다.
그렇게 되며 그 누구도 당신의 파일을 영원히 복호화할 수가 없습니다.
시간을 낭비하지 마세요.
3. 개인 키를 위해 지급하는 방법은 어떻게 되나요?
세 가지 스텝을 따라 당신의 파일을 복구하세요.
1). 지급은 비트코인 만으로만 가능합니다. 따라서 1 BTC를 구입 한 후 아래 주소로 보내주십시오. 그 후 화면 (랜섬노트)비트코인 주소(Bitcoin Adress)로 1비트코인(1BTC)를 송금하세요.
2). 당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요.
Official Mail:owerhacker@hotmail.com
당신의 개인 ID(Personal ID)를 반드시 확인하세요.
3) 지급을 완료하시고 메일을 보내 시주 시면 당일의 당신의 메일로 암호 해독기와 개인 키를 받게 됩니다.
4.비트코인은 어떻게 구매하나요?
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
비트코인 구매방법
1) 코빗(KoBit)
공식주소:www.localbitcoins.com
2)코인원(CoinOne)
공식주소:www.coinone.com
3)빗썸(Bithumb)
공식주소:www.bithumb.com
4)비트코인을 송금하시고 메일로 개인ID(Personal ID)를 코리아 공식메일 주소로 보내주세요.
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
라고 적혀져 있습니다. 그런데 이게 한가지 알고 보면 저번에 소개해 드린 랜섬웨어인 koreanLocker Ransomware를 보면 일단 이메일 주소는 바뀌었고 비트코인 주소는
Email:powerhacker03@hotmail.com
BTC:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
인 것으로 보면 일단 비트코인 주소가 같은 것으로 보면 일단 해당 랜섬웨어 제작자는 같은 것을 볼 수가 있습니다. 그리고 영어로 번역하면 다음과 같습니다.
1. What's wrong with your computer?
Your personal files, including your photos, documents, videos and other important files have been encrypted with RSA-2048, a strong encryption algorithm. The RSA algorithm generates public and private keys for your computer. The public key was used to encrypt files. A private key is needed to decrypt and restore files. Your private key is stored on our secret server. No one can recover your files without this key.
2. How do I decrypt my files?
To decrypt and restore files, you must pay for the secret key and decryption. You only have 24 hours to make a payment. If payment is not made during this time, then your private key will be automatically deleted from our server. Do not waste your time, because there is no other way to recover your files, other than paying for foreclosures.
3. How do I pay for my private key?
Follow these steps to pay and restore files:
1). Payment is possible only in bitcoins. Therefore, please buy 1 BTC, and then send it to the address below.
2). Send your ID (Personal ID) to our official email address below:
Official Mail: owerhacker@hotmail.com
Be sure to check your personal information. Please refrain from insults and send me an email the same day.
Your personal ID is listed in the title of this screen.
3). You will receive a decryptor and private key to restore all files in one working day.
4. How to find and buy bitcoins?
Buy and send 1 bitcoin to our bitcoin-purse: 1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
Please buy bitcoins and send your ID by mail to our official email address.
We are not good people. But we must keep in the area where we do it.'

일단 이메일 주소만 바뀌었을 뿐 내용도 비슷합니다. 다만, 지난 koreanLocker Ransomware 랜섬웨어 노트 내용에서 조금 발전한 모습을 볼 수가 있습니다. koreanLocker Ransomware 랜섬웨어 노트는 다음과 같습니다.

------------------ koreanLocker Ransomware ------------------
당신의 컴퓨터가 랜섬웨어에 감염되었습니다.
당신의 개인적 파일, 예를 들어 사진, 문서, 비디오 외 다른 중요한 문서들이 RSA-2048이란 강력한 암호화 알고리즘을 이용하여 암호화되었습니다.
당신의 개인키는 우리의 서버에 생성되어 저장되었습니다.
그렇게 되면 그 누구도 당신의 파일을 영원히 복호화할 수 없습니다.
그리고 장담하건대 개인키가 없이는 절대 복호화가 이루어지지 않습니다.
다시 한 번 말하지만 비트코인을 지급하는 것 외해 복호화하는 방법은 존재하지 않습니다.
당신에게 할당된 비트코인 주소를 반드시 확인하세요. 한 글자라도 틀리게 입력하여 보내시면 복구가 되지 않고 당신의 비트코인은 사라지게 됩니다.
당신은 24시간 안에 지급하셔야 합니다.
당신의 개인 ID(personal ID)를 반드시 확인하세요.
만약 그 시간 안에 지급하지 않으면 당신의 변경하기는 자동으로 우리의 서버에서 지워지게 됩니다.
명심하세요.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
세 가지 스텝을 따라 당신의 파일을 복구하세요.
시간을 낭비하시지 마세요.
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (.txt)를 보실 수 있습니다.
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달렸음을 명심하시기 바랍니다.
추가정보:
1). 지급은 비트코인 만으로만 가능합니다. 따라서 1비트코인(1BTC)를 비트코인 거래소를 통하여 구매하세요. 그 후 화면(랜섬노트)비트코인 주소(Bitcoin Address)로 1비트코인(1BTC)를 송금하세요.
2). 당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요.
3). 지급을 완료하시고 메일을 보내 시주 시면 당일의 메일로 복호화툴과 개인키를 보내드립니다.
4) 비트코인을 송금하시고 메일로 개인 ID(Personal ID)를 코리아 공식메일 주소로 보내주세요.
***
개인키(Private Key)는 당신의 파일을 복호화하여 복구하는데 아주 중요한 키입니다.
공개키(Public key)는 당신의 파일을 암호화하는 데 사용되었습니다.
공식주소: www.bithumb.com
공식주소: www.coinone.com
공식주소: www.localbitcoins.com
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Official Mail: powerhacker03@hotmail.com
***
Best Regards
Korean Ransomware Team
------------------ koreanLocker Ransomware ------------------

그리고 한국인들이 가장 많이 사용이 되는 나무위키에 있는 RSA 관련 글을 링크를 해두어서 사용자들에게 공포를 조장하고 비트코인을 요구하는 것은 똑같은 수법입니다.

그리고 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내기 위해서 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다.

그리고 랜섬웨어에 걸리면 절대로 랜섬웨어 제작자 한테 가상화폐를 보내지 마세요.그러면 또 다시 이 같은 범죄는 계속 이어질것입니다.그리고 랜섬웨어에 걸리기 전에 외장하드디스크 하나 장만 해서 그곳에서 백업을 해두세요.

그것이 그나마 안전한 방법이며 랜섬웨어 방지 프로그램은 항상 설치해서 사용을 하시길 바랍니다.그리고 백업프로그램은 윈도우 백업을 이용하거나 인터넷에 백업 전문 프로그램 무료 버전과 유료버전이 있으니 자신이 원하는 것을 선택해서 백업을 하시면 되고 하드디스크가 씨게이트 또는 WD같은 경우에는 백업프로그램을 홈페이지에서 일부 기능이 제한된 백업프로그램을 다운로드 해서 백업과 복원이 가능 합니다.

<기타 관련 글>

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 소개] - 무료 하드디스크 백업 프로그램-AOMEI Backupper Standard Edtion

[소프트웨어 소개] - 컴퓨터 드라이브 백업 도구-Double Driver

[소프트웨어 팁] - Seagate DiscWizard(씨게이트 디스크 위자드)를 활용한 하드디스크 백업하기

[소프트웨어 팁] - Windows 7 시스템 이미지 백업하기!

[소프트웨어 팁] - 원도우에서 복구 파티션을 만드는 방법

[소프트웨어 팁/보안] - 히든티어로 제작된 변종 카카오톡 랜섬웨어 감염 증상

[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

히든티어로 제작된 변종 카카오톡 랜섬웨어 감염 증상

Posted by Sakai
2018.02.02 00:05 소프트웨어 팁/보안

오늘은 오픈소스 형태로 공개된 교육용 랜섬웨어 제작프로그램인 히든티어(Hidden Tear)이라는 것은 교육용으로 제작되고 있는 랜섬웨어 제작도구입니다. GitHub에서도 공개돼 있습니다. 덕분에 랜섬웨어 제작은 증가하고 있어서 백신프로그램 제작 업체들은 긴장하게 된 프로그램이라고 샐 수가 있습니다. 그래서 덕분에 누구나 쉽게 랜섬웨어를 만들어서 악성코드를 퍼뜨려서 가상화폐를 송금하는 데 이용을 하고 있습니다.
오늘 소개해 드리는 랜섬웨어는 지난 시간에 소개해 드렸던 랜섬웨어인 카카오톡 변종 랜섬웨어입니다.

가장 최근에 나온 아주 따끈한 랜섬웨어라고 할 수가 있습니다. 일단 기본적으로 한국인을 대상으로 제작되었다고 생각이 됩니다. 정식 이름은 변종 KOREAN 랜섬웨어입니다. 이번에 제작된 카카오 톡 랜섬웨어는 일단 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분이 비슷합니다.
해당 랜섬웨어는 Hidden-Tear 오픈 소스 기반으로 제작되었으며 랜섬웨어는 바탕 화면 경로에 있는 파일 중 아래에 해당하는 확장자만 AES 알고리즘으로 구성돼 있습니다. 해당 AES 암호 알고리즘을 이용해서 기존파일명 기존확장자명.암호화됨 으로 암호화를 진행하고 비트코인을 요구합니다. 대략 가상화폐를 한화으로 환전을 했다고 하면 약 13,500,000원 정도 될 것으로 생각합니다.

해당 랜섬웨어가 암호화하는 대상은 다음과 같습니다.
.txt,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.sln,.php,.asp,.aspx,.html,.xml,.psd,.URL,.kys,.bat,.java,.hwp,.zip,.mp3,.bmp,.rtf,.pdf입니다.

그리고 지난 2016년 8월에 발견된 악성코드과 비교하여 보면 토르 사이트 주소는 같고 폰트와 이미지, 암호화 대상 확장자 등 바뀌었으며 특히 기존에는 %위로 사용을 했지만 이제는  응위 로 작성되었으면 해당 랜섬웨어 제작자가 이번에 조금 변화를 준 것을 확인할 수가 있습니다.
C:\Users\test\Desktop\소스\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\KakaoTalk.pdb
C:\Users\power\Desktop\VapeHacksLoader\obj\Debug\Minecraft.pdb

랜섬웨어 제작자 고객 센터 이메일 주소: powerhacker03@hotmail.com
토르 사이트:http://2dasasfwt225dfs5mom.onion.city
그리고 암호화에 사용하는 확장자가 암호화됨이라는 한국어인 점과 한국에서 사용하는 메신저 앱인 카카오 톡 이미지를 사용하고 한국에서 만든 나무 위키를 이용한다는 점 비트 코인 구매 방법으로 한국에 있는 가상화폐 거래소 등을 이용하는 점에서 한국인이 제작한 것 확률이 매우 높습니다. 일단 지난 카카오톡 랜섬웨어하고 제작자는 같습니다.

일단 기본적으로 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내려고 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다. 일단 해당 랜섬웨어 제작자는 지난주에 소개해 드린 koreanLocker Ransomware등의 많은 랜섬웨어를 제작을 한 것을 알 수가 있습니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어)

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 악성코드 수동 제거 프로그램-Adwcleaner 7.0 업데이트

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 모바일도 안심해서는 안되겠군요
    • 해당 랜섬웨어는 모바일용이 아니라 컴퓨터에 감염이 되는 랜섬웨어 입니다.
  2. 교육용 랜섬웨어 제작툴이 엄한데 사용되고있나보네요;;
    • 원래는 교육용인데 그걸을 악용한것이죠.우리가 살아가는것도 마찬가지이죠.원래는 좋은 의도로 만들었는데 이것을 범죄에 이용을 하는것과 비슷하지 않을까 생각이 됩니다.

카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

Posted by Sakai
2018.01.23 16:34 소프트웨어 팁/보안

오늘은 간단하게 한국의 유명 메신저인 카카오톡을 사칭하는 랜섬웨어인 KOREA Ransomware(한국 랜섬웨어)에 대해 알아보는 시간을 가져 보겠습니다. 먼저 오늘은 오리지널 버전부터 시작하겠습니다. 해당 KOREA Ransomware(한국 랜섬웨어)은 일단 지난 시간에 소개해 드린 한국스타일랜섬웨어하고 제작자가 동일한것으로 판단이 됩니다.

일단 이메일 주소가 똑같기 때문입니다. AES-256 알고리즘을 통해 파일의 내용을 암호화하는 Ransomware 유형의 트로이 목마입니다. 먼저 해당 랜섬웨어에 감염이 되면 랜섬웨어는 다음과 같이 파일을 만들기 시작을 합니다.
C:\Users\W7_MMD\Desktop\ReadMe.txt이라는 파일을 생성합니다. 그리고서 해당 랜섬웨어는 CreatePassword () 함수를 통해 15바이트 길이의 암호를 생성하여 실행을 시작합니다.

[보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

그리고 다음의 파일을 암호화합니다.
.txt,.doc,.doc,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.hwp,.pdf,.php,.asp,.aspx,.html,.xml,.psd
그리고 나서 EncryptFile 함수를 사용하여 시스템 바탕 화면에 있는 파일의 내용을 수정을 시도합니다. 사용자에게 알리는 것은 2가지로 알려줍니다.

첫 번째 알림용 화면은 카카오 톡 캐릭터를 이용해서 해골이 있는 부분 그리고 두 번째 화면은 결제용으로 사용자에게 알려줍니다.
내용은 다음과 같습니다.
당신의 파일이 암호화되었습니다. 토르 브라우저를 다운로드하고 httx://www.torproject.org/projects/torbrowser.html.en
httx://t352fwt225ao5mom.onion
당신의 키를 입력하세요. 그 후 결제 프로세스를 진행하십시오.
그리고 두 번째인 결제 화면에서는 당신은 파일이 암호화되었습니다. 아래 주소로 가서 암호화를 풀기 위한 정보 확인을 할 수가 있습니다.
2dasasfwt225dfs5mom.onion
% 위 사이트를 가려면 Tor브라우저가 필요함
1246C9FE1BD1FBE35D9E193A352970456975E4F905C7AF1103071BA700814231
으로 구성이 돼 있습니다.

그리고 사이트 t352fwt225ao5mom.onion에서 25개 언어로 인터페이스 언어를 선택할 수가 있으며 CryMIC 에서 해독서비스를 생각이 들기도 하는 랜섬웨어입니다. 그리고 해당 랜섬웨어 제작자는 약 2개월 동안 일하고 있었던 것을 확인할 수가 있습니다.
일단 기본적으로 이메일 및 악의적인 첨부파일을 통해서 전파가 됩니다. 그리고 마지막으로 원래 실행 파일의 복사본은 cmd.exe 명령 프롬프트를 통해 삭제됩니다.

네트워크 연결 및 연결 :
이메일:powerhacker03@hotmail.com
httx://www.torproject.org/projects/torbrowser.html.en
httx //t352fwt225ao5mom.onion
httpx://2dasasfwt225dfs5mom.onion.city

dkqskej,

입니다. 그리고 지난 시간에 소개해 드린 KoreaLock한국스타일 랜섬웨어 하고 악성코드 제작자 이메일이 똑같아서 해당 랜섬웨어는 한국인이 만들 것으로 추정됩니다.

그리고 랜섬웨어 메시지 내용은 다음과 같습니다.
당신의 파일이 암호화되었습니다. 비밀번호라는 메시지를 볼 수가 있습니다.

바이러스토탈 결과

Korean-HT.exe
MD5: 913031b8d460367501a8e84c4143d627
SHA1: f7a78789197db011b55f53b30d533eb4297d03cd
SHA256: 1ad95b74b1e10f41b4ac7d2ee96c74e99f237e1e5717d9e59273a81477d8c9b6
Korean-HT2.exe
MD5: e9dd12f20b0359266e2e151f64231e50
SHA1: ab5dc6e44029dc56d0dd95b75c3db901b7fe629a
SHA256: 8997e8d0cdefde1dbd4d806056e8509dea42d3805f4ac77cff7021517ad1ba06
입니다.

<기타 관련 글>

[보안] - 랜섬웨어 예방 프로그램-RansomStopper

[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 아하하; 이제는 카톡 랜섬웨어인가요.. 별게 다 나오네요..
    • 예전 부터 있었습니다.이거는 최근 변종된 것이 아니고 2016년쯤에 나온 랜섬웨어 입니다.
  2. 역시 유명한 카카오톡을 이용한 랜섬웨어도 나왔네요
  3. 카카오톡을 이용한 랜섬웨어도 있군요..
  4. 랜섬웨어... 헐...
    • 다양한 랜섬웨어가 있는것 같습니다.

MoneroPay Ransomware(모네로페이 랜섬웨어)감염 증상

Posted by Sakai
2018.01.19 00:01 소프트웨어 팁/보안

오늘은 MoneroPay Ransomware(모네로페이 랜섬웨어)감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 최근에 전 세계적으로 가상화폐투자에 관심이 많이 있고 각국 정부에서는 통제하니 안 하니 가상화폐거래소를 폐쇄하니 안 하니 등으로 많은 소식이 있고 뉴스에서도 많이 나옵니다. 일단 랜섬웨어는 기본적으로 컴퓨터를 감염해서 파일을 암호화해서 사용자에게 가상화폐를 송금을 요구합니다. 물론 이전까지 많이 사용이 되는 것이 비트코인이었지만 최근에는 모네로(Monero)로 요구를 많이 하고 있습니다.

일단 해당 랜섬웨어는 PLANETARY , Krypton , SERVER , Cryptedx 등과 유사점이 있습니다. 악성코드 서로 다른 사이버 범죄자에 의해 개발되었지만 모두 데이터를 암호화하고 몸값 요구를 하는 같은 행동을 보이며 유일한 주요 차이점은 몸값의 크기와 사용되는 암호화 알고리즘 유형이며. 안타깝게도 대부분 악성코드는 고유한 암호 해독 키를 생성하는 암호(예:RSA, AES 등)를 사용합니다.

Ransomware(랜섬웨어)의 악성코드는 다양한 방식으로 확산하지만 가장 널리 사용되는 5가지 유형은 다음과 같습니다.

1: 트로이 목마, 2: 가짜 소프트웨어 업데이트 도구, 3: 제삼자 소프트웨어 다운로드 소스, 4: 피어 투 피어 (P2P)네트워크. 5: 스팸 이메일. 트로이 목마는 매우 간단하게 작동합니다. 악성코드가 컴퓨터에 침투하도록 백도어 를 열도록 설계되었으며 가짜 소프트웨어 업데이트 프로그램은 오래된 소프트웨어 버그 및 결함을 악용하여 시스템을 감염시킵니다.

P2P 같은 경우에는 토렌트,eMule 같은 곳을 통해서 감염됩니다. 일단 해당 랜섬웨어는 기본적으로 파일이 암호화 되면 .encrypted 확장자를 각 파일의 이름에 추가합니다.

그리고 나서 MoneroPay Ransomware(모네로페이 랜섬웨어)는 몸값을 받으려고 다음과 같은 랜섬노트를 보여 줍니다.

Your files are encrypted
 If you close this window, you can always restart and it should appear again.
All your files have been encrypted by us. This means you will be unable to access or use them. In order to retrieve them, you must send 0.3 monero (about $120 USD) to: 46FXmRvyffu59NNUs95rHx5cVQqU2z2zQD5qP7w
YfDiGaGjBGtP7cf8EhaQ1qy7wqV7bcNnrNUf2n1gugrQmKPG8U6AqHwy
Make sure you include your payment ID:
Use CTRL+C to copy both
IF YOU DO NOT INCLUDE YOUR PAYMENT ID, YOUR FILES CANNOT BE DECRYPTED. Do not waste your time -- only we can decrypt your files.
파일이 암호화되어 있습니다.
이 창을 닫으면 언제든지 다시 시작할 수 있으며 다시 표시되어야 합니다.
모든 파일은 우리에 의해 암호화되었습니다. 즉, 액세스하거나 사용할 수 없게 됩니다. 그들을 검색하려면 0.3 monero (약 $ 120 USD)를 다음으로 보내야 합니다 : 46FXmRvyffu59NNUs95rHx5cVQqU2z2zQD5qP7w
YfDiGaGjBGtP7cf8EhaQ1qy7wqV7bcNnrNUf2n1gugrQmKPG8U6AqHwy
지급 ID를 포함해야 합니다.
Ctrl + C를 사용하여 둘 다 복사하십시오.
지불 ID가 포함되어 있지 않으면 파일을 기각할 수 없습니다. 시간을 낭비하지 말고 파일을 해독할 수 있습니다.
지급한 경우 DECRYPT 버튼을 클릭하여 파일을 정상 상태로 되돌립니다. 비용을 지급하면 파일을 돌려 드리겠습니다.
라는 메시지를 볼 수가 있습니다.

바이러스토탈 결과

암호화하는 파일들은 다음과 같습니다.
암호화할 파일 확장명 목록 :
MS 오피스 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 등입니다.
그리고 해당 랜섬웨어와 관련이 있는 파일들은 다음과 같습니다.
spritecoind.exe
spritecoinwallet.exe
그리고 가짜 가상화폐인 SpriteCoin을 생성하기 위해 배포판의 일부로 배포됩니다. 설치 과정에서 암호화가 시작됩니다. 그리고 있지도 않은 가상화폐에 대한 메시지도 함께 보여 줍니다. 즉 가짜 가상화폐인 SpriteCoin도 보여주고 모네로 가상화폐를 얻으려고 파일을 암호화합니다. 일단 최근에 다양한 방식으로 랜섬웨어들이 나오고 있으니까 항상 조심해서 컴퓨터를 사용해야 할 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬 웨어를 오랜만에 보니 다시 한 번 점검해 볼 필요가 있다고 생각이 드는군요
    • 미리 조심을 하는것이 좋을것 같습니다.웹하드,토렌트,이뮬같은 출처가 불분명한곳에서는 다운로드를 피하고 그리고 기본적으로 윈도우 업데이트와 백신프로그램은 항상 사용을 하는것이 안전하게 컴퓨터를 사용을 하는 방법이 아닐까 생각이 됩니다.
  2. 스킨을 바꾸셨군요.
    스킨이 너무 이쁘세요.
    랜섬웨어 항상 조심해야겠습니다.
    • 사실상 예전으로 돌아간것이죠.랜섬웨어는 항상 조심해야 될것 같습니다.

Call of Duty WWII(콜오브 듀티 월드워 2)로 위장한 랜섬웨어 WinLock2 Ransomware

Posted by Sakai
2018.01.12 16:06 소프트웨어 팁/보안

해당 랜섬웨어인 WinLock2 Ransomware 은 체코 경찰이 보내는 것처럼 보이는 경고 메시지로 사용자를 일단 겁을 주는 랜섬웨어 입니다. 일단 해당 랜섬웨어에 감염이 되면 유로폴(Europol)과 체코 경찰의 로고는 사기성 경고를 추가해서 피해자가 불법적으로 취득한 콘텐츠 사용에 대한 고소장이 제시되어서 해당 사법 기관에서 발급되었다고 믿게 하는 목적이 있습니다.

실제로 경찰이나 Europol은 사용자에게 컴퓨터가 잠겨 있음을 알리는 허가 없이 컴퓨터에 액세스하지 않습니다. 해당 랜섬웨어 WinLock2 Ransomware의 목적은 경고 메시지를 보여주고 사용자가 해당 경고를 통해서 화면을 잠그고 돈을 입금하게 하는 수법을 사용하고 있습니다. 해당 공격자는 데이터 복원이나 데이터 액세스에 관심이 없습니다.

오직 사용자의 돈을 받으려고 혈안이 되어 있을 뿐이죠. WinLock2 ransomware는 약 47 달러인 1,000개의 체코 크라운의 몸값을 요구하며 공격자의 요구 사항에 따르면, 돈은 은행 계좌 없이 작동하는 Paysafecard 서비스를 사용하여 제출해야 하며 송금을 하려면 송금인이 바우처를 사고 16자리 코드를 판매자 또는 서비스 제공 업체에 보내야 합니다. 비용을 지급하지 않아도 컴퓨터를 잠금 해제할 수 있기 때문에 돈을 지급할 수 있다고 하더라도 돈을 지출하지 말 것을 권합니다. 일단 컴퓨터가 잠금이 활성화되면 가장 기본적으로 비활성 컴퓨터의 잠금을 해제하려면 16자의 PIN 코드를 입력하고 제출 버튼을 클릭하세요.

1234567890123456처럼 간단하게 다른 변형을 시도해 볼 수도 있습니다. WinLock2 ransomware는 Windows 레지스트리에 자동 시작 값을 만들어 시스템을 재부팅 할 때마다 기만적인 경고가 시작되도록 합니다. 더 중요한 것은 감염의 실행 파일을 삭제하여 더 많은 손상을 가져올 수 있는 방식으로 업데이트되지 않도록 하는 것입니다.
기본적으로 HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Run 에 해당 값을 등록된 것을 삭제하시면 됩니다. 그리고 해당 악성코드는 실행 파일은 Call of Duty : WWII(콜오브 듀티 월드워 2)로 확산이 되고 있습니다. 즉 불법적인 경로인 토렌트, 웹하드 같은 곳에서 게임을 내려받기하지 말고 정식적으로 구매해서 사용하는 것이 가장 안전한 방법입니다. 이상 간단하게 WinLock2 Ransomware에 대해 적어 보았습니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

MadBit Ransomware 감염 증상 및 예방 방법

Posted by Sakai
2018.01.10 00:00 소프트웨어 팁/보안

오늘은 간단하게  MadBit Ransomware 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 먼저 Ransomware (랜섬웨어)라고 하는 것은 간단하게 이야기하면 먼저 AES 및 RSA 같은 암호화 알고리즘을 이용해서 사용자의 컴퓨터에 있는 사진, 동영상 파일들을 암호화해서 해당 감염된 사용자에게 옛날에는 현금을 요구했지만, 최근에는 가상화폐인 비트코인을 요구하는 악성코드입니다.

먼저 해당 랜섬웨어인 MadBit는 파일은 AES 군사 등급 암호화 알고리즘으로 파일을 잠그며 MadBit cryptovirus는 데이터와 파일을 암호화하고. enc 확장자를 각 파일에 추가를 진행합니다.
일단 기본적으로 MadBit Ransomware은 기본적으로 스팸 메일, 이메일 첨부 파일 등으로 전파가 되는 랜섬웨어 입니다.MadBit ransomware는 다양한 방식으로 감염을 확산이 되고 있으며 랜섬웨어에 대한 악의적인 스크립트를 시작하는 페이로드 드로퍼 (payload dropper)를 통해서 인터넷을 통해서 악성코드가 유포됩니다. 물론 MadBit ransomware는 우리가 사용하는 트위터, 인스타그램, 페이스북 등 SNS를 통해서 전파도 가능한 랜섬웨어 입니다.
MadBit ransomware는 Windows 레지스트리에 항목을 만들어서 지속성을 유지하면서 Windows 환경에서 프로세스를 시작하거나 제어를 할 수 있습니다. 이러한 항목은 일반적으로 Windows 운영 체제를 시작할 때마다 자동으로 악성코드를 시작하도록 설계돼 있었습니다.
그리고 몸값을 받으려고 랜섬웨어 노트를 보여 주며 제목은 다음과 같습니다.

madbit encryptor: Hello, you are encrypted!이라는 메시지를 볼 수가 있습니다. 그리고 나서 몸값을 받기 위한 랜섬웨어 노트를 사용자에게 보여줍니다.

***!WARNING!***
***YOUR COMPUTER ARE INFECTED***
***ALL DATABASES, SITES AND USERS HOME FILES HAVE BEEN ENCRYPTED***
================================================
>>>You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.<<< ***After payment we will send you the decryption tool ,that will decrypt all your files.*** ===FREE DECRYPTION AS GUARANTEE=== ===Before paying you can send to us up to 1 files for free decryption=== Please note: that files must NOT contain valuable information and their total size must be less than 1Mb === Important information === YOUR COMPUTER UID : COPY&SEND YOUR UID TO EMAIL'S : adaline.lowell.85@mail.ru ================================================ ***!WARNING!*** ===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===
The following e-mail address is used to contact the cybercriminals:
adaline.lowell.85@mail.ru
굳이 한국어로 번역하면 다음과 같은 내용이 될 것입니다.
***!경고!***
*** 귀하의 컴퓨터가 감염되었습니다 ***
*** 모든 데이터베이스, 사이트 및 사용자 홈 파일은 암호화되었습니다 ***
======================================================================================================
>>> Bitcoins에서는 암호 해독에 대한 비용을 지급해야 합니다. 가격은 당신이 우리에게 쓰는 속도에 달렸습니다. <<< *** 지불 후 모든 파일을 해독할 수 있는 해독 도구를 보내드립니다. *** === 보장된 무료 진술 ============================================================================================================================ 지급하기 전에 무료 암호 해독을 위해 최대 1개의 파일을 보낼 수 있습니다.
===주의 사항 : 파일에 유용한 정보가 없어야 하며 총 크기는 1Mb보다 작아야 합니다.
=== 중요 정보 === 사용자 컴퓨터 UID : 복사 및 보내기 이메일로 이동 : adaline.lowell.85@mail.ru ==================================== ======
경고! *** === ****rnadbit***madbit***madbit***madbit***madbit ***rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit **** ===
adaline.lowell.85@mail.ru

이라는 메시지를 볼 수가 있으면 이메일은 해당 랜섬웨어 제작자와 연락을 하려고 사용이 되는 이메일입니다.
암호화할 파일 확장명 목록 :
MS Office 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 아카이브 등입니다.
Ransomware 관련 파일은 다음과 같습니다.
WindowsProcessor.exe(Cmd.exe)
그리고 랜섬웨어가 사용하는 위치는 다음과 같습니다.
\Desktop\
\User_folders\
그리고 사용자가 윈도우에서 기본적으로 설치되어서 작동하는 윈도우 복원지점을 통해서 파일을 복구하는 것을 막으려고 랜섬웨어는 다음의 명령어를 통해서 해당 윈도우 복원지점을 삭제합니다.
vssadmin.exe delete shadows /all /Quiet
이런 랜섬웨어에 감염이 되지 않으려면 일단 기본적으로 윈도우 업데이트는 최신 상태를 유지하고 그리고 백신프로그램은 반드시 설치 및 실시간 감시 최신갱신을 유지해야 하면 그리고 토렌트 같이 출처가 불분명한 사이트에서 파일을 내려받기 및 설치 그리고 이메일에서 링크 같은 것은 함부로 눌리거나 파일을 내려받기해서 실행하는 것에 대해서 주의해야 합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로