GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4) 감염 증상

Posted by Sakai
2018.07.06 03:00 소프트웨어 팁/보안

오늘은 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)이 발견이 되었다는 소식입니다. 일단 첫번쨰 버전은 파일을 암호화하고. GDCB 확장자로 변경하지만, 이번 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)버전은 기본적으로 기존의 암호화 확장자가 아닌. KRAB로 변경을 합니다. 일단 해당 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)에 감염이 되면 현재로서는 복구 불가입니다.

일단 유포 방식은 기본적으로 흔히 과자라고 부르는 크랙파일을 이용해서 악성코드가 유포되고 있습니다. 그리고 기존의 랜섬웨어 들은 AES, RSA 같은 암호화 알고리즘을 이용했지만, 최근에서는 Salsa20 암호화 알고리즘을 사용하기 시작을 했습니다.

일단 해당 랜섬웨어인 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)은 감염이 되면 기본적으로 암호화할 파일의 컴퓨터와 모든 네트워크 공유를 검사를 시작하게 되고 네트워크 공유를 검색할 때 매핑 된 드라이브뿐 아니라 네트워크의 모든 공유가 열거되기 시작을 합니다. 그리고 파일들을 암호화하기 시작을 하면 해당 암호화된 파일은. KRAB확장자로 변경을 합니다.

그리고 파일을 암호화할 때 랜섬웨어는 피해자의 파일에 일어난 일에 대한 정보와 지급 지시를 위해 연결할 TOR 사이트 (gandcrabmfe6mnef.onion) 및 랜섬웨어 개발자가 암호화된 정보를 포함하는 KRAB-DECRYPT.txt이라는 몸값 메모를 생성하며 암호화 키로 복구해야 합니다. 그리고 악성코드에 감염되면 복구 도구인 GandCrab Decryptor를 받으려고 TOR 지불 사이트에 접속을 시도합니다.

그리고 몸값은 언제나 암호화폐 중 하나인 DASH(대쉬)암호화 화폐를 요구합니다. 그리고 악성코드 중 하나인. js파일이 실행이 되면 파일을 삭제합니다. 그리고 파일을 삭제하는 위치는 다음과 같습니다.
C:\Users\{사용자 이름}\AppData\{악성코드 이름}.exe
악성코드 해쉬값:97a910c50171124f2cd8cfc7a4f2fa4f
그리고 악성코드를 컴퓨터에서 재시작을 하면 다시 작동을 하려고 다음과 같이 레지스터리 값을 등록합니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
그리고 랜섬웨어 노트는 다음과 같습니다.

–= GANDCRAB V4 =—
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .KRAB
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
—————————————————————————————-
| 0. Download Tor browser – https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser:
| 4. Follow the instructions on this page
—————————————————————————————-
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
—BEGIN GANDCRAB KEY—
—END GANDCRAB KEY—
—BEGIN PC DATA—
—END PC DATA—

뭐 대충을 랜섬웨어 노트를 해석하면 다음과 같습니다.
모든 파일, 문서, 사진, 동영상을 암호화했고 그리고 .KRAB로 암호화했으며 파일을 복구하는 유일한 방법은 고유 개인 키를 사야 한다는 메시지와 Tor 브라우저를 설치하고 해당 TOR 브라우저에서 링크 열기 그리고 데이터를 변경을 하지 말라고 하면 Windows 명령 프롬프터에서 다음 명령을 관리자를 실행합니다.
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc

sc stop WerSvc
cmd.exe/C bcdedit /set {기본} recoveryenabled No
cmd.exe/C bcdedit /set {기본} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe”/C vssadmin.exe Delete Shadows /All /Quiet
입니다. 해당 명령어들을 보면 기본적으로 시스템 복구시점을 복구할 수가 없게 만들었고 그리고 윈도우 디펜더를 중지시키면 시스템 복구시점을 삭제합니다. 즉 섀도우 볼륨 사본을 삭제하기 때문에 랜섬웨어에 감염이 되면 하드디스크를 포멧하거나 아니면 악성코드 제작자에게 암호화 화폐를 지급하는 방법뿐입니다. 물론 악성코드 제작자에게 암호화 화폐를 보낸다고 100% 복구를 할 수가 있다는 것은 보장할 수가 없습니다. 즉 이런 상황을 맞이하지 않으려면 기본적으로 윈도우 업데이트를 최신으로 유지하고 그리고 백신프로그램은 항상 최신 업데이트 및 실시간 감시를 하면 랜섬웨어 방어프로그램을 설치하는 것도 중요하면 그리고 크랙 프로그램같은것을 함부로 내려받아서 사용하지 말고 유료 프로그램을 정상적으로 구매해서 사용하거나 아니면 유료 프로그램을 대체할 수가 있는 오픈소스프로그램을 사용하는 것도 좋은 방법도 좋다고 생각이 됩니다.

<기타 관련 글>

[소프트웨어 팁/보안] - GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상

[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)변종 발견

[소프트웨어 팁/보안] - 랜섬웨어 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 조심하겠습니다 덕분에 잘 알고 갑니다

당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법

Posted by Sakai
2018.06.25 00:00 소프트웨어 팁/보안

오늘은 당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법에 대해 알아보겠습니다. 일단 해당 메시지는 간단하게 이야기하면 자신의 컴퓨터가 악성코드 감염 의심이 되어서 한국인터넷진흥원에 신고 접수가 되었다는 메시지를 볼 수가 있습니다. 해당 부분은 진짜 악성코드 및 좀비 PC(좀비 컴퓨터)에 감염이 되어서 진짜 신고가 되는 경우가 있고 자신이 컴퓨터를 정말로 컴퓨터를 잘 관리하고 있는데 IP 주소 때문에 생기는 경우가 있습니다. 일명 복불복입니다. 저 경우에는 ProcessMonitor,ProcessExplorer 등으로 관리하고 있습니다.

그리고 제가 사용하는 노트북은 블로그 전용으로만 사용하기 때문에 악성코드에 감염될 수가 없는 상태이면서 해당 IP 주소를 약 1년 전쯤부터 할당받아서 사용하다가 갑자기 저러니까 조금 당황하였습니다.

일단 기본적으로 자신의 컴퓨터 관리를 잘하고 계시면 간단하게 복불복에 걸린 것이고 관리에 소홀하게 사용을 하고 있으면 예를 들어 윈도우 업데이트 따위는 귀찮고 백신프로그램 실시간 감시 및 최신 업데이트를 사용을 하지 않거나 사용을 하더라도 토렌트를 이용을 하고 계시는 분들은 한번 의심을 해보아야겠습니다. 그리고 당연히 윈도우 정품 구매를 하지 않고 불법인증 툴을 사용해서 인증하신 분들은 한번 의심해야 할 것입니다.

해당 당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법은 간단합니다. 일단 악성코드치료용 전용백신프로그램을 다운로드해서 실행을 시켜줍니다. 그리고 나서 악성코드가 검출되면 악성코드를 제거하면 됩니다.

만약 컴퓨터 보안에 관심을 많이 두고 있고 정말 잘 관리를 하고 있다고 하면 IP 주소를 변경하시면 됩니다. 기본적으로 그냥 통신사에서 제공하는 공유기에 연결이 돼 있으면 공유기 모뎀을 약 1~3시간 정도 꺼주면 IP 주소가 재할당이 되어서 사용을 하면 되고 이런 환경이 아닌 공유기를 따로 사용을 해서 연결이 돼 있으면 공유기 MAC 주소를 살짝 변경을 해주시면 됩니다. 그러면 새로운 IP 주소를 할당돼 있을 것입니다.

아니면 두 개의 모뎀을 약 12시간 정도 꺼두고 있으면 IP 주소는 바뀌어 있을 것입니다. 해당 방법은 잠잘 때 공유기 꺼두고 아침에 일어나면 대부분 변경이 돼 있을 것입니다. 가장 쉬운 방법은 MAC 주소를 변경하는 방법일 것입니다. 일단 해당 방법으로 해당 부분을 해결할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 덕분에 좋은 정보 잘 얻어갑니다 조심할게요
    • 항상 미리 예방을 하는것이 중요하다고 생각이 됩니다.

윈도우 10에서 Internet Explorer 11 아이콘 및 글꼴 누락 해결방법

Posted by Sakai
2018.05.28 00:00 소프트웨어 팁

오늘은 윈도우 10에서 Internet Explorer 11 아이콘 및 글꼴 누락 해결방법에 대해 알아보는 시간을 가져 보겠습니다.
윈도우 10 에서 Internet Explorer 11을 사용할 때 하나 이상의 그래픽 아이콘이나 일부 글꼴이 웹 페이지에 없음이 발생을 할 수가 있습니다. 물론 발생을 하지 않는 분들도 있을 수가 있습니다.
해당 문제는 윈도우 10에서 신뢰할 수 없는 글꼴을 차단하도록 설정되었거나 일부 보안 완화 옵션이 설정된 경우 발생을 하는 문제입니다. 해당 문제를 해결하는 방법은 3가지 방법이 있습니다.
먼저 그룹 정책 사용입니다.
그룹 정책 설정은 신뢰할 수 없거나 공격자가 제어하는 ​​글꼴 파일에서 비롯된 공격으로부터 사용자를 보호하며 그러나 Windows 10 1703 보안 구성 기준의 출시와 함께 스트러스트되지 않은 글꼴 차단 그룹 정책 설정을 사용하도록 권장 사항을 제거하기로 했고 따라서 다운로드 및 삽입 글꼴을 차단하는 데 가장 눈에 띄는 단점 중 하나는 그래픽 아이콘이 많은 웹 사이트가 의존하기 때문에 사라지는 그래픽 아이콘이며 이를 차단하면 조금 불편하기도 합니다.
해당 문제를 해결하려면 GPO를 통해 인터넷, 제한된 영역(기본적으로 설정됨)에서 글꼴 다운로드 IE 설정 허용을 구성하고 영향을 받는 웹 사이트를 신뢰할 수 있는 사이트 또는 로컬 인트라넷 영역에 추가해야 합니다.

먼저 그룹정책 관리자를 실행하고 다음으로 이동합니다.
컴퓨터 구성->관리 템플릿->Windows 구성 요소->Internet Explorer->인터넷 제어판->보안 페이지 ->인터넷 영역으로 이동합니다.
그리고 나서 오른쪽에서 글꼴 다운로드 허용을 두 번 클릭하고 사용을 선택합니다.
그리고 나면 다음과 같은 설명을 볼 수가 있을 것입니다.
해당 영역의 페이지에서 HTML 글꼴을 다운로드할 수 있는지를 관리합니다.
이 정책 설정을 사용하면 HTML 글꼴을 자동으로 다운로드할 수 있습니다. 이 정책 설정을 사용하도록 설정하고 드롭다운 상자에서 프롬프트를 선택하면 HTML 글꼴 다운로드를 허용할지 확인하는 메시지가 사용자에게 나타납니다.
이 정책 설정을 사용하지 않으면 HTML 글꼴을 다운로드할 수 없습니다.
이 정책 설정을 구성하지 않으면 HTML 글꼴을 자동으로 다운로드할 수 있습니다.
This policy setting allows you to manage whether pages of the zone may download HTML fonts. If you enable this policy setting, HTML fonts can be downloaded automatically. If you enable this policy setting and Prompt is selected in the drop-down box, users are queried whether to allow HTML fonts to download. If you disable this policy setting, HTML fonts are prevented from downloading.

그리고 설정을 저장하고 종료를 하면 됩니다.
만약 그룹정책편집기를 사용할 수가 없는 경우에는 레지스터리 편집기를 사용해서 편집해야 합니다. 먼저 레지스터리 편집기를 실행하려면 윈도우 키+R를 눌러 실행을 실행하고 regedit를 입력을 하면 레지스터리 편집기를 실행할 수가 있습니다. 그리고 다음 위치로 이동합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel으로 이동을 합니다. 그리고 새로 만들기에서 해당 MitigationOptions_FontBocking을 만들데 DWORD값을 만들고 나서 값을 1000000000000로 지정을 하고 컴퓨터를 재부팅 합니다.
만약 해당 방법으로 되지가 않으면 마지막 방법을 사용해 봅니다.
백신프로그램 잠시 중지해보기
Windows 10의 Internet Explorer 11에서 누락 된 아이콘 문제를 해결하는 데 도움이 되지 않으면 백신프로그램을 사용하지 않도록 설정해보는 방법입니다. 가끔은 IE11 브라우저에 글꼴 및 아이콘이 표시되지 않도록 하는 것으로 알려졌습니다. 물론 해당 방법은 컴퓨터의 보안을 담당하는 백신프로그램을 중지하는 부분이라서 조금은 위험한 방법일 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 좋은 팁 잘 알고 갑니다 즐거운 한주 보내세요

StalinLocker Ransomware(스탈린락커 랜섬웨어) 감염 증상

Posted by Sakai
2018.05.16 00:00 소프트웨어 팁/보안

오늘은 지난 시간에 소개해 드린 히틀러 랜섬웨어와 비슷한 랜섬웨어입니다. 일단 해당 랜섬웨어는 러시아인들을 대상으로 하는 랜섬웨어인 StalinLocker Ransomware(스탈린락커 랜섬웨어)에 대해 알아보시겠습니다.

일단 스탈린은 1939년 타임지 선정 올해의 인물, 1942년 타임지 선정 올해의 인물이기도 하며 소련의 초대 공산당 중앙위원회 서기장이며 소련 장관회의 주석이자 블라디미르 레닌 아래에서 러시아 혁명에 동참해서 러시아 제국을 무너트리고 소비에트 연방(소련)을 건국하는데 일조했으며 레닌 사후 교묘하게 권력을 장악해서 소련의 최고의 권력자가 되었으며 그리고 독재를 했으며 정적과 반대자를 비롯한 수많은 사람의 목숨을 숙청이라는 이름으로 죽였으며 구 러시아제국시절의 낙후된 농업사회 기반을 5개년 계획으로 중공업 및 화학공업위주로 발전시켜서 초강대국으로 올라갔으며 절대권력을 했기 때문에 일명 강철의 대원수 또는 조지아의 인간 백정이라는 이명으로 불리고 있습니다.

오늘 소개해 드리는 랜섬웨어인 StalinLocker Ransomware(스탈린락커 랜섬웨어)은 일단 감염이 되면 지정된 시간 10분 정도 시간을 주고 그리고 나서 코드를 입력해야 하면 10분 이내에 입력하지 않으면 컴퓨터에 있는 파일들을 삭제하는 랜섬웨어 입니다. 그리고 스탈린이 나오는 화면과 그리고 소련 국가가 연주됩니다.

일단 해당 랜섬웨어는 다음과 같은 폴더를 생성합니다.
%UserProfile%\AppData\Local 폴더를 생성하고 여기서 USSR_Anthem.mp3을 불러와서 소련 국가가 연주됩니다.
%UserProfile%\AppData\Local\stalin.exe 파일을 생성하고 사용자가 컴퓨터에 로그인할 때 화면에 StalinLocker화면에 생성을 하고 화면을 잠그고 그리고 파일 삭제를 준비합니다.
%UserProfile%\AppData Local\fl.dat를 만들고 기존의 시간에서 3초를 나눈 현재 값으로 사용합니다. 그래서 프로그램을 시작할 때마다 카운트 다운이 상당히 줄어듭니다.
Skype,Discord,Explorer.exe,taskmgr.exe이외의 프로세스를 종료를 시도합니다. 그리고 드라이버 업데이트 라는 예약된 작업을 만들어 Stalin.exe를 시작하려고 시도합니다. 그리고 카운트 다운이 0이 될 때까지 코드를 입력하지 않으면 화면 잠금 장치가 컴퓨터에서 발견 한 각 드라이브 문자의 파일을 모두 삭제하려고 시도하며 이 작업은 A에서 Z까지의 모든 드라이브 문자를 살펴보고 액세스 할 수 있는 드라이브 문자를 삭제하면 됩니다.
그리고 해당 랜섬웨어는 연락처 정보가 없어서 코드를 입력할 수가 없을 것입니다. 그리고 날짜를 계산하는 소련이 건국된 1922년12월30일을 날짜를 계산하는 데 이용합니다.

그리고 구호에 담긴 포스터 배경은 스탈린과 잠금 화면이 표시되면 내용은 다음과 같습니다.
Победа социализма в нашей стране обеспечена
Фундамент социалистической экономики завершен
"Реальность нашего производственного плана - это миллионы трудящихся творящие новую жизнь."
И. Сталин
러시아를 번역기로 돌려보면 다음과 같은 내용을 보여 줍니다.
우리나라 사회주의의 승리가 보장됩니다.
사회주의 경제의 기초가 완성되었습니다.
"우리의 생산 계획의 현실은 새로운 삶을 창조하는 수백만의 노동자들입니다."
스탈린
그리고 잠금 화면은 다음과 같습니다.
그리고 다음 화면은 원본이 되는 배경 화면입니다.

그리고 httpx://yadi.sk/d/Jje1tRgT3VtZgQ에서 USSR_Anthem.mp3를 재생을 합니다.

그리고 바이러스 토탈 결과는 다음과 같습니다. 물론 해당 결과에서는 진단하고 있지 않지만, 지금은 대부분 백신프로그램에서 진단하고 삭제를 합니다.
해시 :SHA256: 853177d9a42fab0d8d62a190894de5c27ec203240df0d9e70154a675823adf04
관련된 레지스터리 파일:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stalin %UserProfile%\AppData\Local\stalin.exe
<기타 관련 글>

[소프트웨어 팁/보안] - 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware) 감염 증상

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 덕분에 좋은 정보 잘 얻어갑니다
  2. 업데이트만 잘해도 랜섬웨어 덜 걸릴텐데 말이죠..
    신규 랜섬웨어 잘 보고 갑니다..
  3. 정말 이런 랜섬웨어 개발하는 사람도 대단하네요. -_-
    • 저도 그렇게 생각을 하고 있습니다.

한국 사용자를 노리는 랜섬웨어-RansomAES(랜섬AES)

Posted by Sakai
2018.05.14 00:01 소프트웨어 팁/보안

RansomAES 는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 돈을 요구하는 랜섬웨어 입니다.모든 파일은 AES 및 RSA 2048 비트 군사 등급 암호화 알고리즘으로 암호화를 진행을 합니다.RansomAES(랜섬AES)는 암화를 진행을 하고 나서 그리고 파일들의 확장자들은 .RansomAES로 변경을 합니다.일단 악성코드 유포는 기본적으로 페이로드 드로퍼(payload dropper) 또는 웹사이트,토렌트등으로 악성코드를 유포를 합니다.

그리고 파일을 암호화를 하고 나서 RansomAES 는 파일을 암호화하고 감염된 컴퓨터 시스템 내부에 지침이 담긴 몸값을 사용자에게 보여 줍니다.그리고 해당 랜섬웨어는 Satyr Ransomware,Spartacus Ransomware를 참고한 랜섬웨어 입니다.
그리고 암호화를 진행을 하는 파일들은 다음과 같습니다.

asp, .aspx, .bmp, .cdr, .cmd, .config, .cpp, .csv, .dbf, .dll, .doc, .docx, .dwg, .exe, .flv, .gif, .html, .hwp, .ini, .jpg, .js, .mdb, .mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .rtf, .sql, .sqlite, .txt, .vbs, .xls, .xlsx, .xml, .zip
생성되는 파일은 다음과 같은 확장자를 보여 줍니다.
당신의 파일이 암호화되었습니다! 당신에 확장자: .AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com 개인 ID KEY:

바이러스 토탈 결과

그리고 생성되는 GUI 화면 내용은 다음과 같습니다.
당신의 모든 파일이 암호화되었습니다!
당신의 파일이 암호화되었습니다! 당신에 확장자:AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com
Bitcoins 에서 암호 해독에 대한 비용을 지불해야합니다. 가격은 당신이 우리에게 어떻게 쓰는지에 달려 있습니다. 지불 후 우리는 당신에게 모든 파일을 해독할수 었는 해독 도구를 드립니다.
지금 위에 있는 개인 ID는 저희 이메일로 ID를 클립으로 복사해서 ID를 주세요.
일단 기본적으로 해당 랜섬웨어 복구를 하기 위한 비트코인 값은 직접적으로 명시되어있지 않고 간단하게 이메일을 통해서 악성코드 제작자와 연락을 하는 방식입니다.
그리고 해당 랜섬웨어에 감염이 되면 Windows 운영 체제에서 모든 섀도우 볼륨 복사본 을 지우도록 명령어를 실행을 합니다.
vssadmin.exe delete shadows /all /Quiet
그리고 현재 대부분의 백신프로그램에서는 탐지가 되고 있습니다.보통 탐지명은 다음과 같습니다.
Artemis!2B745E0A8DAD
Generic.Ransom.WCryG.334FECBF
Ransom_RAMSIL.SM
Trojan ( 0052dbd31 )
Trojan-Ransom.Win32.Spora.fcp
Trojan.IGENERIC
Trojan/Win32.FileCoder.C2493620
W32/Ransom.PLIR-3520
W32/Trojan.HLCA-1666
Win32:Malware-gen
으로 탐지가 되고 있습니다.바이러스 토탈에서는 쉽게 확인을 할수가 있을것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 주변에 항상 현재 진행형이지만 조금은 잠잠해 지더니 한국 사용자를 노리면 랜섬웨어가 있군요.
    조심하고 또 조심해야겠습니다.
    • 항상 주의하는것이 좋은 방법인것 같습니다.
  2. 특히 조심 해야겠군요 잘 알고갑니다

Apophis Ransomware(아포피스 랜섬웨어)감염 증상

Posted by Sakai
2018.05.07 00:00 소프트웨어 팁/보안

오늘은 Apophis Ransomware(아포피스 랜섬웨어)감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 Apophis Ransomware(아포피스 랜섬웨어)은 일단 개인적인 생각으로는 이집트 신화에 등장하는 거대한 독사를 인용해서 만든 랜섬웨어 인 것 같습니다.

일단 아포피는 이집트어로는 아펩(Apep),아페피(Apepi)로 불리고 있으며 거대한 코브라 또는 맹독을 지닌 독사의 모습을 하고 있으며 태양신 라의 숙적 이면서 라가 하늘을 건너는 배에 올라타 하늘을 일주하고 나서 밤에는 지하세계를 통과하게 되는 과정에서 12시간으로 나누어진 밤의 제7시에 그를 공격합니다.

일단 해당 Apophis Ransomware(아포피스 랜섬웨어)는 일단 지난 시간에 소개해 드린 직쏘 랜섬웨어 하고 비슷하게 생겼습니다. 아마도 직쏘 랜섬웨어를 모방했거나 아니면 변형을 한 랜섬웨어가 아닐까 생각이 됩니다.

일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)은 2018년4월쯤에 발견이 된 랜섬웨어로서 앞서 이야기한 것처럼 Jigsaw Ransomware(직쏘 랜섬웨어)의 변종인 것 같습니다. 일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)는 매크로스크립트가 삽입된 .DOCX를 포함해서 악성코드가 배포되는 방식을 취하고 있으면 이메일 형태로도 전파가 되고 있습니다.

일단 다른 직쏘 랜섬웨어 처럼 24시간 안에 몸값을 지급을 요구하면 악성코드가 감염되면 기본적으로 컴퓨터 안에 있는 파일을 검색하고 다음 확장자들을 검색해서 암호화를 진행합니다.
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm. pptx, .prel, .prproj, .ps, .ps, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip
그리고 해당 암호화 방식은 RSA 및 AES 암호화 방식을 사용해서 암호화되므로 사용자는 파일을 사용할 수가 없으면. fun으로 확장자로 변경해버립니다.
그리고 기본적으로 msiexec.exe를 통해서 악성코드는 실행됩니다.
You have been hacked by Apophis Squad!
We have encrypted your files using AES 256, which is NOT easy to reverse! XD
Do not panic, we will let you fix this by sending us a payment.
However I've already encrypted your personal files, so you cannot access them.
Twitter: @apophissquadv2 Web: apophissquad.rx Maker:P13x13t
[1H COUNDDOWN TIMER]
Time till file delete.
{View encrypted files|BUTTON]
Send $500 worth of Bitcoin here:
[34 자리 랜덤 챕터]
[I made a payment, now give me back my files!]
대충 번역을 하면 다음과 같습니다.
당신은 아포피스 분대에 의해 해킹당했습니다!
우리는 AES 256을 사용하여 파일을 암호화했습니다. XD
당황하지 마시고, 우리에게 지급금을 보내 당신이 해결하도록 하겠습니다.
그러나 이미 개인 파일을 암호화했으므로 액세스 할 수 없습니다.
트위터:@apophissquadv2 웹:apophissquad.rx 제조사:P13x13t
[1H COUNDDOWN TIMER]
파일 삭제까지의 시간.
{암호화 된 파일 보기}
여기에 Bitcoin을 500달러 상당 보내십시오.
[34개의 무작위 챕터]
[지급을 했고, 이제 당신의 파일을 돌려줍니다!]
일단 연결이 되는 사이트는 보면 러시아 사이트를 이용하고 있으면 그리고 랜섬웨어 노트 같은 경우 독일 3 제국인 나치를 상징하는 문장이 있는 것으로 보아서 아마도 나치 추종자가 아닐까 생각이 됩니다. 일단 랜섬웨어에 감염이 되는 것을 최소화하려고 하면 기본적으로 윈도우 업데이트는 무조건 해야 하면 백신프로그램, 백신보조프로그램, 랜섬웨어 방어 프로그램 등을 이용해서 방어해야 하면 그리고 기본적으로 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하는 것을 자제해야 할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

Internet Explorer 브라우저 원격 코드 실행 취약점 주의(2018.4.20)

Posted by Sakai
2018.04.26 01:09 소프트웨어 팁/보안

마이크로소프트에서 제공하는 Internet Explorer 브라우저(인터넷 익스플로워)에 대한 새로운 취약점이 발견되었다는 소식입니다. 일단 해당 취약점은 중국 보안 업체인 Qihoo 360 Core에서 발견한 취약점으로 아직은 해당 보안 취약점을 발견해서 마이크로소프트에 보고한 상황입니다. 일단 해당 취약점은 현재 실제 공격을 이루어지고 있으며 Office 문서를 악용하는 공격 방식입니다.

Qihoo 360 Core에서는 제로 데이(zero-day)가 Internet Explorer 및 IE 커널을 사용하는 다른 모든 응용 프로그램의 최신 버전에 영향을 미치는 double kill 취약점을 이용한다고 합니다. 일단 악의적으로 제작된 오피스 문서를 열며 모든 익스플로잇 코드와 악의적인 페이로드가 원격 서버에서 로드되는 형식입니다.

더 자세한 내용(중국어)

APT은 인터넷 익스플로러 커널 코드의 제로 데이 취약점을 이용해 피해자를 악성 코드에 감염되는 방식입니다. 그리고 해당 공격 방식은 윈도우에 기본적으로 있는 UAC 우회, 파일리스 실행 및 스테가노그래피를 사용을 사용하는 방식입니다.

그리고 Windows는 해당 보고된 보안 문제를 조사하고 가능한 한 빨리 영향을 받는 장치를 사전 업데이트를 할 것이라고 합니다. 그리고 그리고 인터넷을 할 경우
Micorosoft Edge(마이크로소프트 엣지),Google Chrome(구글 크롬), Safari(사파리), Firefox(파이어폭스) 등을 사용하시면 됩니다. 일단 굳이 인터넷 익스플로워를 사용을 해야 하면 항상 백신프로그램을 실시간 감시,최신업데이트를 유지하면 그리고 항상 출처가 불분명한 파일은 열지 말아야 할 것입니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 인터넷 익스플로러를 계속 쓰고 있는 한 취약점은 계속 패치해야겠어요.
    • 폭 넓게 보면 다른 프로그램들도 취약점은 있으니까 자신이 사용을 하는 프로그램은 항상 최신 업데이트로 유지하는것이 악성코드에 감염이 되는것을 최소화 할수 있을거라 생각이 됩니다.
  2. 크롬을 주로 사용하고 있는데 한번 봐야겠네요
    • 익스플로워를 자주 사용을 하시는 분들은 조심하는것이 좋을것 같습니다.

강제로 배틀그라운드를 해야 하는 랜섬웨어-PUBG Ransomware

Posted by Sakai
2018.04.16 00:00 소프트웨어 팁/보안

배틀그라운드라는 게임은 블루홀의 자회사인 PUBG주식회사(舊 블루홀 지노게임즈)에서 개발한 MMO 슈팅 게임입니다. 일단 게임을 해보면 일본 영화인 배틀로얄(2000)과 비슷하게 게임이 진행되는 방식입니다. 일단 해당 게임의 기본 사양은 다음과 같습니다.
시스템 최소 요구 사양
운영체제: Windows 7, Windows 8.1, Windows 10(64비트)
CPU: Intel Core i5-4430, AMD FX-6300
RAM: 8GB
VGA: NVIDIA GeForce GTX 960 2GB,AMD Radeon R7 370 2GB
이며 최소한 램은 12GB를 이상 증설을 해서 사용을 해야 합니다. 일단 해당 랜섬웨어인 PUBG Ransomware은  RensenWare Ransomware등과 비슷하게 구성이 돼 있습니다. 즉 해당 랜섬웨인 PUBG Ransomware은 PlayerUnknown의 전장을 플레이하면 PUBG Ransomware가 파일을 해독되는 방식입니다. 일단 해당 랜섬웨어에 감염이 되면 사용자의 컴퓨터에서 사용자의 파일과 폴더를 암호화하고 .PUBG 확장자를 추가하며 파일의 암호화가 끝나면 암호화된 파일의 암호를 해독하는 데 사용할 수 있는 두 가지 방법을 제공하는 화면이 표시됩니다.

[소프트웨어 팁/보안] - 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어)

[소프트웨어 팁/보안] - RensenWare 랜섬웨어 증상과 파일 복구 방법

그리고 랜섬노트의 내용은 다음과 같습니다.
PUBG Ransomware
Your files, images, musics, documents are Encrypted!
Your files is encrypted by PUBG Ransomware!
but don't worry! It is not hard to unlock it.
I don't want money!
Just play PUBG 1 Hours!
Or Restore is [s2acxx56a2sae5fjh5k2gb5s2e ]
As stated in the ransom instructions, the first method that can be used to decrypt the files is to simply enter the "s2acxx56a2sae5fjh5k2gb5s2e" code into the program and click the Restore button.
PUBG Ransomware
파일, 이미지, 음악, 문서가 암호화됩니다!
귀하의 파일은 PUBG Ransomware에 의해 암호화됩니다!
그러나 걱정하지 마라! 잠금을 해제하는 것은 어렵지 않습니다.
나는 돈을 원하지 않아!
PUBG 1시간만 플레이하십시오!
또는 복원은 [s2acxx56a2sae5fjh5k2gb5s2e]입니다.

몸값 지침에 명시된 것처럼 파일을 해독하는 데 사용할 수 있는 첫 번째 방법은 s2acxx56a2sae5fjh5k2gb5s2e 코드를 프로그램에 입력하고 복원 버튼을 클릭하는 것입니다.)
해당 랜섬웨어는 TslGame 이라는 실행 프로세스를 모니터링하며 PlayerUnknown의 전장을 확인합니다. 그리고 몸값 기록에서는 1시간 동안 실행해야 한다고 되어 있지만 3초 동안 실행 파일만 실행하면 됩니다. 그리고 랜섬웨어에 감염이 된 사용자가 게임을 하면 프로세스가 감지되면서 랜섬웨어가 자동으로 피해자의 파일을 해독합니다. 그리고 랜섬웨어는 프로세스 이름만 찾고 게임이 실제로 실행되고 있는지 확인하기 위한 다른 정보는 확인하지 않습니다. 쉽게 이야기하면 TslGame.exe라는 실행 파일을 실행하면 파일을 해독할 수 있습니다.
그리고 해당 랜섬웨어가 암호화하는 파일은 다음과 같습니다.
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg
그리고 해당 랜섬웨어는 진단명은 다음과 같습니다.
Gen:Heur.Ransom.MSIL.1,Ransom.PUBG,Ransom_RAMSIL.SM,Trojan(0050fab71),Trojan-Ransom.Win32.Crypmodadv.xrg,Trojan.Win32.Generic!BT,W32/Trojan.JNOZ-0330,Win32.Trojan,Ransom.Filecoder.P@gen
그리고 이런 랜섬웨어에 감염이 되지 않는 방법은 간단합니다. 기본적으로 윈도우 업데이트,백신프로그램 설치 및 실시간 감시 및 최신 업데이트,보조 백신프로그램 또는 랜섬웨어 방지 프로그램을 설치해서 유지하면서 토렌트 같은 곳 및 그리고 출처가 불분명한 사이트 및 파일은 다운로드 및 실행을 해서는 안 됩니다. 그리고 해당 랜섬웨어 해쉬값은 다음과 같습니다.
해쉬값:SHA256:3208efe96d14f5a6a2840daecbead6b0f4d73c5a05192a1a8eef8b50bbfb4bc1


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 정말 희한한 랜섬웨어 네요
    • 아마도 자신의 실력을 과시하거나 글에도 적은것 처럼 일부러 저런식으로 만든 랜섬웨어들입니다.

백장미 랜섬웨어(WhiteRose Ransomware)감염 증상

Posted by Sakai
2018.04.11 00:00 소프트웨어 팁/보안

오늘 새롭게 발견된 랜섬웨어인 백장미 랜섬웨어(WhiteRose Ransomware)에 대해 알아보는 시간을 가져 보겠습니다. 일단 지난 4월5일에 처음 발견된 랜섬웨어 입니다. 일단 랜섬웨어 이름처럼 백장미입니다. 일단 이름은 정말 아름다운 랜섬웨어이기도 합니다. 해당 랜섬웨어는 기본적으로 원격 데스크톱 서비스를 해킹하여 수동으로 설치됩니다. 그리고 해당 랜섬웨어는 기본적으로 아직은 아시아 쪽이나 북미, 남미에는 퍼지지 않고 있으면 일단 유럽 쪽에서 퍼지고 있으면 특히 스페인을 목표하고 있습니다. 즉 아마도 스페인 사용자를 노리고 있으면 그리고 스페인 관련 일을 하시는 분들에게는 주의가 필요한 부분이기도 합니다. 일단 해당 랜섬웨어는 BlackRuby Ransomware 와 WhiteRose Ransomware 는 몸값 요구보다는 일단 조금 더 창조적인 글쓰기로 이루어진 랜섬웨어 입니다.
일단 백장미 랜섬웨어(WhiteRose Ransomware)는 특이하게도 왠지 시적인 이미지가 느껴지는 랜섬웨어 노트를 하고 있습니다. 일단 랜섬웨어는 고독한 해커가 정원에 흰 장미로 둘러싸인 이야기를 전하고 있으며 해커는 컴퓨터를 암호화하고 꽃으로 바꾸어 흰 장미를 세상과 공유하고 싶어한다고 이야기를 하고 있습니다.
랜섬웨어 노트는 다음과 같습니다.

I do not think about selling white roses again. This time, I will plant all the white roses of the garden to bring a different gift for the people of each country. No matter where is my garden and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter if you are the west of the world or its east, it's important that the white roses are endless and infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow. Wait for good days with White Rose. I hope you accept this gift from me and if it reaches you, close your eyes and place yourself in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension. Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.

일단 해당 백장미 랜섬웨어(WhiteRose Ransomware)은 기본적으로 C:\Perfect.sys 파일이 있는지 확인을 합니다. 그리고 파일이 존재하면 프로그램을 종료하고 그렇지 않으면 새로운 파일을 만듭니다.
Perfect.sys
Perfect.sys
그리고 랜섬웨어는 컴퓨터에 있는 파일들을 검색하고 나서 해당 파일을 암호화를 진행합니다. 암호화하는 파일은 다음과 같습니다.

.1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .ARC, .PAQ, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .back , .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .c , .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf , .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .cs , .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db3, .db_journal, .dbf, .dbf , .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk , .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg , .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ora , .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt , .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip, 3dm, onetoc2

그리고 암호화할 파일을 검색할 때 다음 폴더에 있는 파일은 암호화하지 않습니다.
Windows Program Files
$Recycle.Bin Microsoft
그리고 파일이 암호화에 성공하면 다음과 같은 확장자가 _ENCRYPTED_BY.WHITEROSE로 강제 변경이 됩니다. 그리고 컴퓨터에 있는 폴더에는 장미의 ASCII 이미지, 흥미로운 이야기 및 몸값 지불 방법에 대한 지침이 포함된 HOW-TO-RECOVERY-FILES.TXT을 생성을 합니다.
그리고 나서 백장미 랜섬웨어(WhiteRose Ransomware)는 사용자가 컴퓨터를 복구할 수가 없게 복구지점을 파괴하는 명령어를 실행합니다.
cmd.exe /C vssadmin.exe delete shadows /all /Quiet
cmd.exe /C WMIC.exe shadowcopy delete
cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C wevtutil.exe cl Application
cmd.exe /C wevtutil.exe cl Security
cmd.exe /C wevtutil.exe cl System
그리고 WhiteRose Support & Help (화이트 로즈 지원 및 도움말) 항목에 요청을 작성합니다. 그리고 랜섬웨어는 운영체제별로 생성하는 폴더는 다음과 같습니다.

%APPDATA% - Application Data files
Windows Vista,Windows 7,Windows 8:
Disk:\Users\User_Name\AppData\Local\
Disk:\Users\User_Name\AppData\Roaming\
Windows NT,Windows 2000,Windows XP:
Disk:\Documents and Settings\User_Name\Application Data\
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\
%TEMP% - Temporary files
%WinDir%\Temp\
Disk:\Windows\Temp\
%TEMP%\<random_name>\
%TEMP%\<random_name>.tmp\
%TEMP%\<random_name>.tmp\<random_name>\
Disk:\Users\User_Name\AppData\Local\Temp\
Disk:\Users\User_Name\AppData\LocalLow\Temp\
%WinDir% - Windows files
Disk:\Windows\ =>
Disk:\Windows\system32\
Program files
Disk:\Program Files\
Disk:\Program Files (x86)\
Disk:\ProgramData\ =>
Disk:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Users files
Disk:\Users\User_Name\Desktop\
Disk:\Users\User_Name\Documents\
Disk:\Users\User_Name\Documents\Downloads\
Disk:\Users\User_Name\Downloads\
Recycler files
Disk:\Recycler\             
Disk:\$RECYCLE.BIN\  
Disk:\$RECYCLE.BIN\s-1-5-21-**********-***********-**********-1000  
Temporary Internet Files of Internet Explorer:
Windows Vista,Windows 7,Windows 8:
Disk:\Users\User_Name\Local\Microsoft\Windows\Temporary Internet Files\
Disk:\Users\User_Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\
Disk:\Users\User_Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\<random_name>\ (a-z, 0-9)
Windows NT,Windows 2000,Windows XP:
Disk:\Documents and Settings\User_Name\Local Settings\Temporary Internet Files\
Temporary Internet Files of Google Chrome и Chromium:
Windows 8,Windows 7,Windows Vista
Google Chrome:
Disk:\Users\User_Name\AppData\Local\Google\Chrome\User Data\Default\
Chromium:
Disk:\Users\User_Name\AppData\Local\Chromium\User Data\Default\
Windows XP:
Google Chrome:
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\Google\Chrome\User Data\Default\
Chromium:
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\Chromium\User Data\Default\
Temporary Internet Files of Opera:
Windows 8, Windows7:
Disk:\Users\User_Name\AppData\Local\Opera Software\Opera Stable\
Disk:\Users\User_Name\Roaming\Opera Software\Opera Stable\
Temporary Internet Files of Firefox:
Windows 8, Windows 7:Disk:\Users\User_Name\AppData\Roaming\Mozilla\Firefox\Profiles\
Temporary Internet Files of Microsoft Edge
Disk:\Users\User_Name\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\<-Ransomware 도움말 및 기술 지원 부분입니다.

그리고 랜섬웨어 노트에 나오는 내용은 다음과 같습니다.

..   8"=,,88,   _.
     8""=""8'  "88a88'
.. .;88m a8   ,8"" "8
 "8"'  "88"  A"     8;
   "8,  "8   8       "8,
    "8   8,  8,       "8
     8,  "8, "8,    ___8,
     "8,  "8, "8mm""""""8m.
      "8,am888i"'   ,mm"
      ,8"  _8"  .m888"
     ,88P"""""I888888
     "'         "I888
                  "I8,
                   "I8
                    "I8_
        ,mmeem.m""i, I8""  ,mmeem,'.
       m""    . "8.8 I8  ,8"   .  "88
      i8  . '  ,mi""8I8 ,8 . '  ,8" 88
      88.' ,mm""    "8I88"m,,mm'"    8
      "8_m""         "I8   ""'
       "8             I8
                      I8_
                      I8""
                      I8
                     _I8
                    ""I8
                      I8
                     
_    _  _      _  _          ______                  
| |  | || |    (_)| |         | ___ \                 
| |  | || |__   _ | |_   ___  | |_/ /  ___   ___   ___
| |/\| || '_ \ | || __| / _ \ |    /  / _ \ / __| / _ \
\  /\  /| | | || || |_ |  __/ | |\ \ | (_) |\__ \|  __/
 \/  \/ |_| |_||_| \__| \___| \_| \_| \___/ |___/ \___|
=====================[PersonalKey]=====================
PpWh3f536rfFjmNhSaUaaV+fAc/hCqLtHujsZ18SdiNH6FzINtYaAOK
9ctyI8AGYf3ltM/XQiZm9LKVT5tyGHuIaKjjg0wxTvJvvovjxD0QBrS
7scZINf8zL9+hPThPy/62rKdEbGrEczf0mBMw7z78lKZsCnTBeEDksn
6wxZCI=
=====================[PersonalKey]=====================
The singing of the sparrows, the breezes of the northern mountains and smell of the earth
that was raining in the morning filled the entire garden space. I'm sitting on a wooden chair next
to a bush tree, I have a readable book in my hands and I am sweating my spring with a cup of
bitter coffee. Today is a different day.
Behind me is an empty house of dreams and in front of me, full of beautiful white roses.
To my left is an empty blue pool of red fish and my right, trees full of spring white blooms.
I drink coffee, I'll continue to read a book from William Faulkner. In the garden environment,
peace and quiet. My life always goes that way. Always alone without even an intimate friend.
I have neither a pet, nor a friend or an enemy; I am a normal person with fantastic wishes
among the hordes of white rose flowers. Everything is natural. I'm just a little interested
in hacking and programming. My only electronic devices in this big garden are an old laptop for
do projects and an iPhone for check out the news feeds for malware analytics on Twitter
without likes posts.
Believe me, my only assets are the white roses of this garden.
I think of days and write at night: the story, poem, code, exploit or the accumulation
of the number of white roses sold and I say to myself that the wealth is having different friends
of different races, languages, habits and religions, Not only being in a fairly stylish garden with
full of original white roses.
Today, I think deeply about the decision that has involved my mind for several weeks. A decision
to freedom and at the worth of unity, intimacy, joy and love and is the decision to release white
roses and to give gifts to all peoples of the world.
I do not think about selling white roses again. This time, I will plant all the white roses
of the garden to bring a different gift for the people of each country. No matter where is my garden
and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter
if you are the west of the world or its east, it's important that the white roses are endless and
infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow.
Wait for good days with White Rose.
I hope you accept this gift from me and if it reaches you, close your eyes and place yourself
in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension.
Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
[Recovery Instructions]
I. Download qTox on your computer from [https://tox.chat/download.html]
II. Create new profile then enter our ID in search contacts
Our Tox ID:"6F548F217897AA4140FB4C514C8187F2FFDBA3CAFC83795DEE2FBCA369E689006B7CED4A18E9".
 III. Wait for us to accept your request.
IV. Copy '[PersonalKey]' in "HOW-TO-RECOVERY-FILES.TXT" file and send this key with one encrypted file less size then 2MB for
trust us in our Tox chat. 
IV.I. Only if you did not receive a reply after 24 hours from us,
end your message to our secure tor email address "TheWhiteRose@Torbox3uiot6wchz.onion".
IV.II. For perform "Step IV.I" and enter the TOR network, you must download tor browser
and register in "http://torbox3uiot6wchz.onion" Mail Service)
V. We decrypt your two files and we will send you.
VI. After ensuring the integrity of the files, We will send you payment info.
VII. Now after payment, you get "WhiteRose Decryptor" Along with the private key of your system.
VIII.Everything returns to the normal and your files will be released.   
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////   
What is encryption?
In cryptography, encryption is the process of encoding a message or information in such a way that only authorized parties can access it,
and those who are not authorized cannot. Encryption does not itself prevent interference,
but denies the intelligible content to a would-be interceptor. In an encryption scheme, the intended information or message,
referred to as plaintext, is encrypted using an encryption algorithm – a cipher – generating ciphertext that can be read only if decrypted.
For technical reasons, an encryption scheme usually uses a pseudo-random encryption key generated by an algorithm.
It is in principle possible to decrypt the message without possessing the key, but, for a well-designed encryption scheme,
considerable computational resources and skills are required.
An authorized recipient can easily decrypt the message with the key provided by the originator to recipients but not to unauthorized users.
in your case “WhiteRose Decryptor” software for safe and complete decryption of all your files and data.
Any other way?
If you look through this text in the Internet and realise that something is wrong with your files but you do
not have any instructions to restore your files, please contact your antivirus support.

그리고 여기서 언급하는 것은 백장미는 제2차 세계대전 때에 독일 나치 시절에 독일 내에서 나치에 저항한 조직이름이기도 합니다.
하얀 장미단(die Weiße Rose)은 1941년에 한스 숄(Hans Scholl)과 조피 숄(Sophie Scholl) 남매가 결성했으며 뮌헨에서 아우구스트 폰 갈렌 주교가 나치의 T-4 프로그램 비판하는 강론을 듣고 갈렌 주교 허락을 받고 강론 전문을 전단으로 만들어 뮌헨 대학 전단지를 뿌리다가 게슈타포에 체포를 당하고 나서 심문을 받을 때에도 스페인 소설인 하얀 장미에서 나오는 유드 네보른과 안네트 둠바흐라고 했으며 알렉산더 슈모렐(Alexander Schmorell),빌리 그라프(Willi Graf), 크리스토프 헤르만 아난다 프롭스트(Christoph Hermann Ananda Probst),쿠르트 이포 테오도어 후버(Kurt Ivo Theodor Huber)등으로 구성이 되었고 해당 하얀 장미단에 가담을 해서 나치 정권의 잘못된 점에 대해서 저항을 했고 그리고 1943년2월18일에 뮌헨 대학에서 전단지를 배포를 하다가 체포가 되고 그 뒤로 가담자들이 잡히고 그리고 재판을 받은 지 몇 시간에 지나고 나서 사형이 되었다고 합니다. 그리고 련재 Karlsplatz 광장 바닥에는 하얀 장미단 단원들의 이름과 생애 그리고 추모사 그리고 처형당하던 당시의 신문들을 조각 형태로 찾아볼 수 있습니다.

[영화] - [영화]Der Untergang(몰락,The Downfall,2004)

즉 화이트 로즈 (die Weiße Rose)는 영화, 게임, 드라마들에서 많이 등장하는 단체이기도 합니다.
해시 값은 SHA256: 9614b9bc6cb2d06d261f97ba25743a89df44906e750c52398b5dbdbcb66a9415
관련 파일은 다음과 같습니다.
C:\Perfect.sys
HOW-TO-RECOVERY-FILES.TXT
그리고 바이러스토탈 결과는 다음과 같습니다. 물론 지금은 대부분 백신프로그램에서 탐지할 것입니다.

바이러스토탈 결과

일단 해당 랜섬웨어에 암호화되면 복원화는 할 수가 있습니다. 다만, 랜섬웨어 복구를 하려면 비용이 듭니다. 복구는 일단 러시아 보안 업체 Dr.Web에서 제공하고 있으면 해당 복구 비용을 무료로 하고 싶은 경우에는 Dr.Web 제품을 유료로 구매하는 분들은 무료로 제공하고 있으면 복구 비용은 파일의 개수에 따라 달라집니다. 해당 복구인 Dr.Web Rescue Pack는 러시아 루블로 제공해야 하면 닥터웹 유료로 사용하고 계시는 분들은 무료이며 복구비용은 데이터양에 따라 달라집니다. 해당 주소는 다음과 같습니다.

Dr.Web Rescue Pack 영어

Dr.Web Rescue Pack 러시아 어

입니다. 일단 이런 악성코드에 감염되지 않으려면 백신프로그램 설치,윈도우 업데이트는 필수이며 자신이 사용하는 프로그램은 최신으로 유지하면 그리고 출처가 불분명한 사이트에서 파일 다운로드 금지, 그리고 특히 토렌트 같은 곳에서 있는 파일을 통해서도 악성코드가 감염될 확률이 높으면 그리고 기술지원이 중단은 Windows XP,Windows Vista 그리고 2020년에 기술지원이 중단될 예정인 Windows 7은 특히 조심해야 하면 될 수 있으면 Windows 10을 이용하시면 도움이 되면 랜섬웨어 방어 프로그램 또는 보조 백신프로그램을 사용하면 악성코드에 감염되는 것을 최소화할 수가 있을 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

[소프트웨어 팁/보안] - 악성코드 수동 제거 프로그램-Adwcleaner 7.0 업데이트

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 이름이 참 예쁘고 재미있지만 조심해야겠어요
    • 항상 미리 조심하는것이 중요하다고 생각이 됩니다.귀찮더라도 백업은 필수 인것 같습니다.
  2. 이름이 참 예쁘고 재미있지만 조심해야겠어요

윈도우 10 1709 2018년 3월 정기 보안 업데이트 KB4073757

Posted by Sakai
2018.03.15 03:30 소프트웨어 팁/보안

마이크로소프트에서 제공을 하고 있는 윈도우 10에 대한 2018년3월 정기 보안 업데이트가 진행이 되었습니다. 먼저 이번 보안 업데이트 되는 대상 제품들은 다음과 같습니다.
Internet Explorer
Microsoft Edge
Microsoft Windows
Microsoft Office and Microsoft Office Services and Web Apps
Microsoft Exchange Server
ASP.NET Core
.NET Core
PowerShell Core
ChakraCore
Adobe Flash Player
입니다. 일단 Adobe Flash Player 같은 경우에는 다른 브라우저를 사용하시는 분들은 어도비에서 다운로드 하시면 되고 윈도우 7도 마찬가지로 어도비 홈페이지에서 다운로드 해야 합니다. 그리고 Windows 10 버전 1709 (Fall Creators Update)에서는 Spectre 취약점 대책 펌웨어의 지원 범위가 확대되어Skylake 뿐만 아니라 Kaby Lake,Coffee Lake,인텔 CPU 아키텍처가 지원됩니다. 일단 KB4073757 업데이트 내용은 다음과 같습니다.

Addresses issue where Internet Explorer stops working when using F12-based developer tools.
Addresses issue with printing XML documents with Internet Explorer and Microsoft Edge.
Updates legacy Document Mode cell visibility in Internet Explorer.
Addresses issue with pinch and zoom gestures on some hardware in Internet Explorer.
Addresses issue where Internet Explorer is unresponsive in certain scenarios when a Browser Helper Object is installed.
Addresses issue to prevent media and other applications from becoming unresponsive or failing when upgrading graphics drivers.
Addresses issue where customers receive "Check your account, you don't own this content” errors when attempting to play or install owned content. This issue can also result in customers getting kicked out of a game in the middle of play.
Addresses issue where, after installing KB4056892,KB4073291, KB4058258, KB4077675, or KB4074588 on a server, you may not be able to access SMB shared files in directory junction points or volume mount points hosted on that server. The error is "ERROR_INVALID_REPARSE_DATA”. As a result, editing some group policies using GPMC or AGPM 4.0 may fail with the error "The data present in the reparse point buffer is invalid. (Exception from HRESULT: 0x80071128)".
Addresses issue where an AD FS server issue causes the WID AD FS database to become unusable after a restart. This might prevent the AD FS service from starting.
Addresses issue where, after installing KB4090913, the Mixed Reality Portal may fail to initialize. This results in an “SXXXXXXX-X” error or a “We couldn’t download the Windows Mixed Reality Software” message may appear after the software is successfully downloaded.
Lifts the Anti-Virus (AV) compatibility check to expand the number of Windows 10 devices that are offered cumulative Windows security updates. This includes cumulative Spectre and Meltdown protections for 32-Bit (x86) and 64-Bit (x64) versions of Windows, except the KB4078130 update that was offered to disable mitigation against Spectre Variant 2.
Addresses issue that only affects some versions of antivirus software and only applies to computers on which the antivirus ISV updated the ALLOW REGKEY.
Security updates to Internet Explorer, Microsoft Edge, Microsoft Scripting Engine, Windows Desktop Bridge, Windows Kernel, Windows Shell, Windows MSXML, Device Guard, Windows Hyper-V, Windows Installer, and the Microsoft Scripting Engine.
그리고 일부 백신프로그램 사이에서 발생했던 호환성 문제가 해결되었으며 Windows Update를 통해 Windows 10 호환성 검사를 해제됩니다. 일단 기본적으로 윈도우를 사용을 하고 계시는 분들은 반드시 보안 업데이트가 이루어져야 할 것입니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 저도 보안업데이트를 했답니다
    • 보안 업데이트는 반드시 해야 되는것중 하나일것입니다.

윈도우 7 새로운 레지스터리 적용 없이는 윈도우 업데이트 중단

Posted by Sakai
2018.03.01 00:00 소프트웨어 팁/보안

2020년1월14일에 기술지원 종료 예전인 윈도우 7에 대해서 마이크로소프트에서 새로운 정책이 나왔습니다. 이번 정책은 간단하게 새로운 레지스터리 변경이 되지 않은 윈도우 7 사용자에 한해서 윈도우 업데이트를 중지하는 내용입니다. 물론 해당 부분은 자신이 사용하는 백신프로그램에서 해당 정책을 적용에 따르지 않은 백신프로그램을 설치한 사용자에 한해서입니다. 일단 레지스터리 문제는 사용자의 책임이 백신프로그램과의 호환성 문제입니다. 해당 문제는 2018년1월에 정책이 돼 왔습니다. 해당 문제는 일부 백신프로그램에서 윈도우 호환성 문제를 해결한 업데이트를 백신프로그램에 적용하지 않아서 해당 상태에서 윈도우를 사용을 하다가는 블루스크린을 볼 수가 있는 문제입니다. 해당 호환성 문제는 Windows 레지스트리에 키를 설정하여 운영 체제에 호환되는지 확인하고 이러한 잘못된 방법을 더는 사용하지 않아야 합니다.
즉 해당 레지스트리 키가 없는 윈도우 는 마이크로소프트 정책에 따라 더는 보안 업데이트를받지 못합니다. 물론 윈도우 7뿐만 아니라 윈도우 10 사용자도 마찬가지입니다.
일단 Windows Defender Antivirus, System Center Endpoint Protection 및 Microsoft Security Essentials와 같은 마이크로소프트 보안 제품은 새로운 요구 사항과 호환되며 타사 백신프로그램이 설치되지 않았으면 필요한 레지스트리 키를 설정합니다.
특히 윈도우 7 같은 경우에는 Windows Defender만 포함돼 있기 때문에 해당 부분에 대해서 제한적이라고 할 수가 있습니다. 그리고 백신프로그램이 설치돼 있지 않은 윈도 7은 더욱더 그런 것입니다.
해당 문제를 해결하려면 영향을 받는 윈도우 7 컴퓨터에 Microsoft Security Essentials 또는 호환되는 타사 백신프로그램을 설치하는 것이 좋습니다.
 그리고 Windows 7 SP1 또는 Windows Server 2008 R2 SP1의 기본 설치된 윈도우 7 같은 경우 백신프로그램을 설치하지 않습니다. 이러한 상황에서는 Microsoft Security Essentials 또는 타사 백신프로그램과 같은 호환 및 지원되는 백신 프로그램을 설치하는 것이 좋습니다.

Canon | Canon EOS 80D

더 자세한 내용

설정 방법은 다음과 같습니다.
Windows 키를 누르고 regedit.exe를 입력하여 레지스트리 편집기를 실행합니다. 그리고 관리자 권한이 실행되면 확인을 눌러줍니다.
그리고 나서 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ QualityCompat로 이동을 합니다.그리고 나서 QualityCompat를 마우스 오른쪽 버튼으로 클릭하고 New->Dword (32-bit)값을 선택을 합니다. 그리고 이름은 cadca5fe-87d3-4b96-b7fb-a231484277cc로 설정을 하고 값은 0으로 설정을 하면 됩니다.
그리고 주의사항은 다음과 같습니다.
레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있으며 마이크로소프트는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대한 해결을 보증하지 않으며 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있으며 레지스트리를 편집하는 방법에 대한 자세한 내용은 레지스트리 편집기(Regedit.exe)의 키 및 값 변경 도움말 항목을 확인하거나 Regedt32.exe의 레지스트리의 정보 추가 및 삭제 및 레지스트리 데이터 편집 도움말 항목을 확인해야 합니다. (注意 レジストリ エディターを正しく使用しないと、深刻な問題が生じ、オペレーティング システムの再インストールが必要になる場合があります。  マイクロソフトは、レジストリ エディターの誤用により発生した問題に関しては、一切責任を負わないものとします。 レジストリ エディターは、自己の責任においてご使用ください。 レジストリの編集方法の詳細については、レジストリ エディター (Regedit.exe) のヘルプの「キーおよび値を変更する」、または Regedt32.exe のヘルプの「レジストリ情報の追加と削除」と「レジストリを編集する」を参照してください.)


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 윈도우가 점점 맘에 안 들게 바뀌는 거 같아요
    • 최근에 있었던 CPU 관련 해서 보안 취약점 떄문에 생긴것이니까 해당 정책에 따르는것이 좋을거라 생각이 됩니다.
  2. 요즘 CPU 부터 논란이 많이 되고 있어서 정책이 또 바뀌는거 같네요.

가짜 컴퓨터 최적화 프로그램-와이즈 시스템 메카닉(Wise System Mechanic) 제거 방법

Posted by Sakai
2018.02.28 00:00 소프트웨어 팁/보안

컴퓨터를 사용하다 보면 기본적으로 설치하는 것이 최적화 프로그램일것입니다. 물론 윈도우에서 기본적으로 제공하는 최적화 프로그램을 이용하시는 분들도 계실 것입니다. 일단 해당 와이즈 시스템 메카닉(Wise System Mechanic)은 일단 가짜 컴퓨터 최적화 프로그램으로서 PUP 프로그램입니다. 일단 와이즈 시스템 메카닉 (Wise System Mechanic) 이라는 새로운 잠재적으로 원치 않는 프로그램이면서 해당 프로그램을 사용하면 윈도우를 최적화하는 데 도움이 된다고 합니다. 물론 컴퓨터를 최적화를 해주면 좋지만 원치 않는 프로그램은 자신들이 주장한 이익보다 더 많은 해를 입히고 설치된 컴퓨터의 속도를 늦추고 피해자에게 구매하기 위해 가짜 탐지 팝업을 표시합니다.

한마디로 거짓 메시지로 고치고 싶으면 돈을 내놓으세요. 라는 의미입니다. 일단 해당 프로그램이 감염되는 방법은 다양합니다. 예를 들어서 번들로 설치된 설치 프로그램을 통해서 가짜 설정 또는 이미 PC에 설치된 다른 PUP에서 다운로드 및 설치를 통해서 해당 프로그램이 설치됩니다.
그리고 와이즈 시스템 메카닉(Wise System Mechanic)은 컴퓨터에 설치하기 위해서 가짜 웹 페이지를 이용하면 해당 웹 링크에서 컴퓨터가 바이러스에 감염되었다는 속임수를 사용합니다.

해당 프로그램이 설치되면 자동 검사를 실행할 수가 있습니다. 그리고 나서 검사를 실행하면 컴퓨터 시스템에서 수백 가지 오류 (주로 Windows 레지스트리 편집기)를 탐지가 되었다고 사용자에게 알려옵니다. 물론 가짜입니다. 물론 해당 와이즈 시스템 메카닉(Wise System Mechanic)은 물론 컴퓨터를 정리 및 오류부분을 수정을 해주지 않습니다. 그리고 일부 백신프로그램은 Wise System Mechanic을 트로이 목마로 탐지로 합니다. 트로이 목마는 실제로 컴퓨터에서 보통 다음과 같은 기능을 수행합니다.

개인정보 도용, 신용카드 및 아이디 및 비밀번호 같은 것이 개인의 소중한 개인정보들이 악의적인 목적이 있는 사람에 넘어가는 것입니다. 고대에 있었던 트로이 목마에서 붙여진 악성코드 이름입니다. 즉 앞서 이야기했던 트로이 목마가 어떤 목적으로 사용되었는지 알면 쉽게 이해가 갈 것입니다. 간단하게 백신프로그램으로 제거하거나 아니면 AdwCleaner같은 보조 백신프로그램으로 제거하면 속 시원하게 제거가 될 것입니다.

일단 최적화 프로그램을 사용하고 싶으면 검증된 프로그램을 사용하면 그리고 해당 프로그램은 기본적으로 공식홈페이지에서 다운로드를 해야 합니다. 그래야, 안전을 하면 비공식 사이트는 누군가 손을 써서 프로그램을 조작했을 가능성이 매우 큽니다. 일단 해당 와이즈 시스템 메카닉(Wise System Mechanic)제거 방법에 대해 알아보았습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 아아.. 정말 저런식으로 낚아서 돈을 버는 사람들 정말 나빠요.
    요즘은 크랙된 제품들도 잘 안쓰게 된다니까요.
    • 일반적으로 알려진 프로그램을 사용을 해야 되는데 컴퓨터를 잘 모르시는 분들께서 그냥 최적화 프로그램을 검색을 하다가 설치를 하는경우도 있더라고요.그리고 크랙은 일단 악성코드가 포함이 되어져 있기 떄문에 개인정보등을 생각을 한다고 하면 그냥 돈을 주고 정품을 이용하는것이 제일 안전하다고 생각이 됩니다.

윈도우 10 1709 KB4074588 누적 업데이트 마우스 오동작 문제 해결 방법

Posted by Sakai
2018.02.27 00:30 소프트웨어 팁/보안

오늘은 윈도우 10 1709 KB4074588 누적 업데이트(OS 빌드 16299.248)를 설치를 하고 나서 일부 컴퓨터에서 마우스, 키보드들이 오작동하는 문제가 있습니다. 해당 보안 업데이트에서는 다음과 같은 항목이 변경되었습니다.
찾아보기 및 검색 이력이 부모 계정으로 전송되더라도 자녀 계정이 ARM 장치에서 InPrivate 모드에 액세스할 수 있는 문제를 해결합니다. 이 문제는 Microsoft 제품군 서비스를 사용하여 관리되고 부모가 작업 보고를 활성화한 자녀에 속하는 Microsoft 계정에서만 발생합니다. 이것은 Microsoft Edge와 Internet Explorer에 적용
Internet Explorer 창의 도킹 및 도킹 해제와 관련된 문제를 해결

삭제 키를 누르면 응용 프로그램의 입력란에 새로운 줄이 삽입되는 Internet Explorer에서의 문제를 해결
선택한 요소가 특정 상황에서 업데이트를 하지 않는 Internet Explorer에서의 문제를 해결
일부 사용자가 Microsoft Edge에서 타사 계정 자격 증명을 사용할 때 일부 웹 사이트에 로그인할 때 발생하는 문제를 해결
표준 시간대 정보를 업데이트합니다.
업데이트 중 발생하는 브라우저 호환성 보기 설정 문제를 해결.
특정 하드웨어 구성에서 DirectX 게임의 프레임 속도가 의도치 않게 디스플레이의 동기화 요소에 의해 제한되는 문제를 해결
Alt+Shift를 사용하여 키보드 언어를 전환할 때 지연을 일으키는 문제를 해결
다시 시작하고 서라운드 사운드 오디오 끝점이 스테레오로 되돌아가는 문제를 해결.
특정 Bluetooth 키보드가 다시 연결될 때 키가 빠지는 상황을 개선하고 빈도를 줄여줍니다.

Canon | Canon EOS 80D

배터리 수준 상태를 잘못 보고하는 장치의 마우스 지연을 수정
Windows Defender Application Control(Device Guard)가 켜졌을 때 Services, Local Policy Admin, Printer Management—등 MMC 응용 프로그램—스냅인이 실행되지 않는 문제를 해결 및 Object doesn't support this property or method(개체가 이 속성이나 메서드를 지원하지 않습니다) 오류
테스트 서명이 활성화된 경우 Windows 설치에 Pre-production Onesettings 끝점 사용을 방지
활성화된 Hyper-V 호스트에서 Windows Server 버전 1709의 설치가 Automated Virtual Machine Activation(AVMA)을 사용하여 자동으로 활성화되지 않는 문제를 해결
예약된 작업에 적당한 트리거가 없는 UEV에 대한 자동 등록 받은 편지함 템플릿 기능의 문제를 해결
정책이 그룹 정책 개체(GPO)를 사용하도록 설정된 경우 App-V 클라이언트에서 SyncOnBatteriesEnabled 정책을 읽지 않는 문제를 해결
그룹 정책 편집기에서 App-V 클라이언트 정책의 Supported On(지원 대상) 필드가 비어 있는 문제를 해결
일부 App-V 패키지가 연결 그룹에 속하는 경우 레지스트리의 사용자 하이브 데이터가 정확하게 유지되지 않는 문제를 해결
하나의 패키지에 여러 개의 구성 파일이 있는 경우 해당 App-V 패키지에 적당한 구성을 선택하는 등 관리자가 조처를 할 수 있도록 추가 로깅을 제공
커널 컨테이너를 사용하는 레지스트리 가상화와 호환되지 않는 App-V 패키지 문제를 해결합니다. 이 문제를 해결하기 위해 기본값으로 이전의(비-컨테이너) 메서드를 사용하도록 레지스트리 가상화를 변경했으며 레지스트리 가상화에 새로운 (케넬 컨테이너) 메서드를 사용하려는 고객은 다음 레지스트리 값을 1로 설정하여 계속 전환할 수 있습니다.
경로: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppV\Client\Compatibility
설정: ContainerRegistryEnabled
데이터 형식: DWORD
Microsoft 스크립팅 엔진, Microsoft Edge, Internet Explorer, Microsoft Windows Search 구성 요소, Windows 커넬, Windows 인증, Device Guard, 공용 로그 파일 시스템 드라이버, Windows 저장소와 파일 시스템에 대한 보안 업데이트.
이전 업데이트가 설치된 경우 이 패키지에 포함된 새 픽스만 장치에 다운로드되고 설치됩니다.

일단 해당 문제는 다음과 같습니다.
KB4074588 적용 후 어떤 일정 조건을 만족하면 Windows가 거의 모든 USB 장치를 인식할 수 없어지는 현상
마우스와 키보드 모두 USB 연결은 아무 작업도 할 수 없음
안전 모드로 부팅 후 마우스, 키보드는 사용 불가능
복구 작업은 Windows 복구 환경 설치 미디어 응급 복구 디스크로 이루어져야 합니다. 즉 미리 윈도우 10 MediaCreationTool를 사용을 해서 USB 또는 DVD에 설치해서 Windows 복구 환경 설치 미디어 응급 복구 디스크로 컴퓨터를 복구하면 됩니다.
업데이트 서비스 스택이 잘못 누적 업데이트에서 몇 가지 중요한 드라이버의 새 버전 설치를 생략하고 유지 관리 중에 현재 활성화된 드라이버를 제거할 때 발생할 수 있음
만약 키보드가 작동하면 KB4074588을 DISM 명령을 이용하여 제거 또는 Windows 재설치로 해결 가능
해당 문제가 발생한 컴퓨터에서는 시스템 복원을 하면 몇 시간 기다려도 복원이 끝나지 않는 현상이 일어나는 경우가 있으니까 시스템 복원기능은 될 수 있는 대로 실행하지 않는 것이 좋음
즉 해당 문제가 발생하면 DISM을 이용한 패키지 제거하는 방법
입력장치들이 작동하지 않을 때 Windows 복구 환경 설치 미디어 응급 복구 디스크로 컴퓨터 복구
만약 해당 갱신을 설치했는데 문제가 발생한다고 하면 다음 작업을 진행합니다.
StartComponentCleanup 테스크를 무력화합니다.

먼저 마이크로소프트에서 wushowhide.diagcab에서 적용을 합니다.
일단 윈도우 10 프로 버전에서는 다음과 같이 진행을 하면 됩니다.
gpedit.msc를 입력을 해줍니다.
컴퓨터 구성->관리 템플릿->Windows 구성 요소->Windows Update를 열어서 자동 업데이트 구성을 두 번 클릭하고 자동 업데이트 구성을 2 다운로드 및 자동 설치를 통지로 변경하고 나서 적용을 하고 나서 로컬 그룹정책편집기를 종료하면 작업이 완료
레지스터리 편집기로 편집을 한다고 하면 다음과 같습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU로 이동을 합니다.
그리고 나서 오른쪽에 보면 NoAutoUpdate가 보일 것입니다.
NoAutoUpdate 값을 해당 값을 1로 적용을 하면 됩니다.

물론 윈도우 10 홈 버전 및 윈도우 10 프로 버전 공통으로 사용하는 방법은 다음과 같습니다.
O&O ShutUp10를 이용해서 Windows 업데이트 부분을 다 무력화하면 됩니다. 단 다음 보안 업데이트를 하려면 다음 노란색으로 표시된 부분을 풀어주면 됩니다.
작업 스케줄러 라이브러리->Microsoft->Windows->Servicing으로 이동해서 StartComponentCleanup선택을 하고 오른쪽 클릭하고 사용 안함를 선택을 하면 됩니다.
이번 갱신에서는 일부 컴퓨터에서 다음과 같은 증상이 나타나고 있습니다.
Windows 업데이트 기록에 오류 0x80070643으로 인해 KB4054517을 설치하지 못했다고 나타나는 증상
즉 업데이트가 올바르게 설치되었더라도 Windows 업데이트에서는 업데이트를 설치하지 못했다는 잘못된 메시지를 표시하는 문제 업데이트 확인을 선택하여 사용 가능한 추가 업데이트가 없음을 확인
작업 표시줄의 검색 상자에 PC 정보를 입력하여 해당 장치가 예상 OS 빌드를 사용 중임을 확인 가능
해당 문제는 일부 백신프로그램에 의해서 레지스터리 설정 문제 때문에 발생합니다.
해당 문제는 바이러스 백신 ISV가 ALLOW REGKEY를 업데이트한 컴퓨터에만 적용됩니다.
만약 해결 방법은 백신프로그램에서 발생한다고 하면 백신프로그램 제조 업체에 문의하면 됩니다.
해당 레지스터리는 지난번에 수정이 된 부분입니다.
Key=HKEY_LOCAL_MACHINE Subkey=SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
Value Name=cadca5fe-87d3-4b96-b7fb-a231484277cc
Type=REG_DWORD
Data=0x00000000
해당 업데이트를 받는 방법은 Windows 업데이트 및 Microsoft 업데이트 카탈로그에서 수동으로 다운로드 해서 설치를 할 수가 있습니다. 일단 해당 문제 해결을 하는 방법에 대해 알아보았습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 유용한 정보 아주 잘 읽고 갑니다^^
    항상 건강하세요
  2. 전혀 느끼지 못한 부분이었는데 마우스 오동작 문제도 있었군요.
    좋은 정보 감사합니다.
    • 일부 컴퓨터에서 USB 장치등이 동작이 하지 않는 문제가 있습니다.아마도 해당 문제를 겪고 있으신 분들은 한번 시도를 해보아도 좋을것 같습니다.

평창 동계 올림픽 조직위원회를 겨냥했던 악성코드 Olympic Destroyer

Posted by Sakai
2018.02.20 00:00 소프트웨어 팁/보안

일단 해당 악성코드인 Olympic Destroyer는 기본적으로 지금 열리는 평창 동계 올림픽 조직위원회를 겨냥했던 악성코드입니다.
일단 해당 Olympic Destroyer의 본체는 실행 파일 (EXE) 파일이며, 자신의 내부 (리소스 섹션)에 5개의 난독 화 된 파일을 보유하고 있으면 이러한 파일은 각각 목적을 가진 EXE 파일이며, 필요에 따라 해독에 사용됩니다. 일단 해당 Olympic Destroyer 실행되면 % temp % 폴더에 다음 EXE 파일을 만듭니다.
1) %temp%\ (무작위 문자열) .exe 비밀번호 덤프 도구 (로그인 정보용)
2) %temp%\ (무작위 문자열) .exe 비밀번호 덤프 도구 (브라우저 정보 등 용)
3) %temp%\ (무작위 문자열) .exe PsExec (정규 프로그램, 원격 실행 도구)
4) %temp%\ (무작위 문자열) .exe 웜 활동 · 증거 인멸 ,장애 활동용
일단 기본적으로 1과 2. EXE 파일을 실행하여 OS의 로그인 정보 및 브라우저의 저장 정보 등의 각종 로그인 암호 정보를 훔쳐옵니다.
3과 4 EXE 파일을 이용하여 네트워크를 통한 웜 활동과 파괴 활동을 수행하면서 구체적으로는 GetIPNetTable하여 ARP 테이블 정보를 취득하고 WMI ( SELECT ds_cn FROM ds_computer 쿼리)를 이용하여 얻은 단말 목록 정보를 취득, 그 대상에게 자신이 위에서 드롭 한 PsExec 를 이용하여 원격 대상으로 자신의 복사 및 원격 실행을 할 것으로 웜 활동을 실행하면 이때 획득한 로그인 정보를 가로 열기 액세스 시도에 사용됩니다.
4 EXE 파일은 실행해서 완료되며 다음 증거 인멸 및 파괴 활동에 관련된 동작을 수행합니다.

볼륨 섀도 복사본 (시스템 복원지점) 삭제
시스템 백업 삭제
OS 시동 복구 비활성화
이벤트 로그 (SYSTEM 및 SECURITY) 삭제
모든 서비스 비활성화
파일 공유되는 파일의 일부를 0으로 덮어 파괴
를 진행을 합니다.해당 파괴 동작을 합니다.
그리고 notepad.exe를 숨겨진 상태에서 시작 WriteProcessMemory 따라 코드 주입을 하고 CreateRemoteThread에서 notepad.exe에 기록된 코드를 실행하며. Olympic Destroyer의 본체가 삭제됩니다. (덧붙여 이때 Olympic Destroyer의 본체는 의미 없는 데이터로 덮어쓰기 됨에서 삭제됩니다. 즉 파일을 복원하는 것을 차단하는 동작이 아닐까 생각이 됩니다.) 그 후, notepad.exe는 종료합니다.
일단 해당 해쉬값은 edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9입니다.일단 해당 악성코드는 조금 정치적인 목적이 있지 않을까 생각이 들기도 합니다. 일단 현재에는 백신프로그램에서 탐지되고 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 세상에는 참 대단한 분들이 많은 거 같어요 어떻게 이런 걸 만들 생각을 했는지 정말 이해할 수 없네요
    • 일단 실력 자랑 또는 정치적인 목적 아니면 기타 등등이 있어서 입니다.일단은 좋은 목적은 아니죠.

GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

Posted by Sakai
2018.02.19 01:40 소프트웨어 팁/보안

오늘은 최근 한국에서도 퍼지는 랜섬웨어인 GandCrab Ransomware(그랜드크랩 랜섬웨어)에 대해 알아보겠습니다. 해당 랜섬웨어는 기본적으로 감염되면 확장자를. GDCB으로 변경을 해버립니다. 기본적으로 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)는 기본적으로 스팸메일, 불법다운로드 파일에 있으면 익스플로잇으로도 감염이 되면 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)의 특징 중 하나가 보통 랜섬웨어들은 기본적으로 비트코인이라는 가상화폐를 이용하지만 해당 랜섬웨어는 대쉬이라는 가상화폐를 요구합니다.

그리고 해당 랜섬웨어는 GandCrab Ransomware(그랜드크랩 랜섬웨어)은 기본적으로 해당 감염이 된 환경이 어떤 보안 프로그램이 사용되고 있는지 확인을 하고 샌드박스, 가상환경을 사용하는지 체크를 합니다. 일단 다음 보안 프로그램이 설치돼 있는지 확인을 합니다.

Avast
Avira
Comodo
ESET NOD 32
F-Secure
Kaspersky
McAfee
Microsoft
Norton/Symantec
Panda
Trend Micro

입니다. 여기서 마이크로소프트는 윈도우에 탑재된 윈도우 디펜더 제품을 이야기합니다. 그리고 컴퓨터가 감염되면 기본적으로 다음과 같은 파일들이 암호화됩니다.

1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend,.bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des.design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho,.gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost,.otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,.ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

등을 암호화합니다. 일단 기본적으로 상당히 많은 확장자가 암호화되는 것을 확인할 수가 있으며

\ProgramData\
\Program Files\
\Tor Browser\
Ransomware
\All Users\
\Local Settings\
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
GDCB-DECRYPT.txt
.sql

그리고 위에 표시된 폴더들은 감염을 시키지 않거나 폴더 및 파일들은 암호화 대상에서 제외합니다. 일단 암호화했으니까 돈을 받아야 하니까 말이죠. 그리고 랜섬노트를 표시를 합니다.

Welcome!
WE ARE REGRET, BUT ALL YOUR FILES WAS ENCRYPTED!
AS FAR AS WE KNOW:
Country
OS
PC User
Pc Name
PC Group
PC Lang.
HDD
Date of encrypt
Amount of your files
Volume of your files
But don’t worry, you can return all your files! We can help you!
Below you can choose one of your encrypted file from your PC and decrypt him, it is test decryptor for you.
But we can decrypt only 1 file for free.
ATTENTION! Don’t try use third-party decryptor tools! Because this will destroy yourr files!
What do you need?
You need GandCrab Decryptor. This software will decrypt all your encrypted files and will delete GandCrab from your PC. For purchase you need crypto-currency DASH (1 DASH = 760.567$). How to buy this currency you can read it here.
How much money you need to pay? Below we are specified amount and our wallet for payment
Price: 1.5 DASH

일단 DASH이라는 가상화폐를 사용하고 일단 백신프로그램, 분석을 방지하기 위해서 가상환경인지 아닌지 확인을 하는 것을 볼 수가 있어서 조금 더 치밀해진 것을 확인할 수가 있습니다. 그리고 랜섬웨어는 기본적으로 자신을 숨기는 현상을 보이고 있으면 백신프로그램으로 검사하면 탐지를 피하려고 하면 이미 백신프로그램 작동을 중단시키기 때문에 백신프로그램을 무력화합니다. 그리고 앞서 랜섬노트에서도 보이는 것처럼 랜섬웨어는 해당 부분을 검사합니다. 사용자 이름
키보드 유형
컴퓨터 이름
바이러스 백신의 존재 유무
프로세서 유형
IP
OS 버전
디스크 공간
시스템 언어
활성 드라이브
로컬
현재 Windows 버전
프로세서 아키텍처
그리고 해당 랜섬웨어는 키보드 레이아웃이 러시아 어인지를 확인하고 그 결과에 대한 정수 표현을 작성하고 이 모든 정보로 문자열을 작성하며 수집된 정보에 레이블을 지정하기 위해 변수 이름을 쓰는 코드로 사용됩니다.
그리고 랜섬웨어가 건드리는 프로세스 목록입니다.

msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exe
isqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exe
agntsvc.exe
agntsvc.exe
encsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe

입니다. 그리고 개인 키를 생성하고 Advapi32.dll의 API 호출을 사용하여 사용 가능한 표준 Microsoft 암호화 라이브러리를 사용하며 RSA 알고리즘을 사용하여 CryptGenKey 를 호출합니다. 그리고 해당 랜섬웨어의 해쉬값들입니다.
69f55139df165bea1fcada0b0174d01240bc40bc21aac4b42992f2e0a0c2ea1d(GandCrab Ransomware(그랜드크랩 랜섬웨어) 패키지)
ab0819ae61ecbaa87d893aa239dc82d971cfcce2d44b5bebb4c45e66bb32ec51(패키지 풀고 난 후)
일단 기본적으로 보안 업데이트는 기본적으로 하면 랜섬웨어예방프로그램등과 같은 것을 설치를 해두면 도움이 될 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어... ㅠ..ㅠ 무섭네요 ㅠ..ㅠ
    개인은 그냥 포맷하면 된다지만... 기업은...ㅠ..ㅠ
    • 그렇죠.개인은 포멧을 하면 되지만 기업에서 걸리버리면 진짜 문제가 심각해지죠.그래서 미리 예방을 하는것이 중요하다고 생각이 됩니다.
  2. 감염증상을 확인해봐야겠네요
    • 일단 랜섬웨어들은 비슷하니까 항상 예방을 하는것이 좋을것 같습니다.

유블럭 오리진으로 강제 가상화폐채굴 차단 방법

Posted by Sakai
2018.02.12 00:00 소프트웨어 팁/보안

오늘은 유블럭 오리진으로 강제 가상화폐채굴 차단 방법에 대해 알아보는 시간을 가져보겠습니다. 일단 최근에 가상화폐 열풍에 가상화폐를 채굴에 동원하는 악성코드들이 많이 늘어났습니다. 일단 기본적으로 악성코드를 이용하는 방법과 그리고 사이트에 특별하게 스크립트를 사용해서 가상화폐를 채굴하는 것이 많이 늘어났습니다.
이런 것을 Cryptojacking(크립토재킹)이라고 하고 백그라운드 상태에서 CPU 리소스를 사용하여 사용자의 컴퓨터에 가상화폐를 채굴하는데 동원을 해서 악의적인 목적이 있는 사람은 가상화폐를 채굴합니다. 그리고 희생자의 웹 브라우저에 스크립트를로드하고 해당 스크립트에는 고유한 키가 있고 cryptominer 도구는 컴퓨터에 하드디스크에 설치도 하지 않고 저장도 하지 않습니다.
다만, 웹 브라우저가 해당 웹사이트에 접속하는 사용자들의 CPU, GPU를 사용해서 비트코인 및 가상화폐를 채굴하는 것입니다. 그러면 사용자의 컴퓨터 사용률은 높아지고 느려지는 것입니다. 물론 해당 부분이 잘못된 것이 아닙니다.

원래는 웹사이트에 광고를 붙이는 대신에 해당 스크립트 코드를 넣어서 소정의 가상화폐를 채굴하기 위해서 사용을 하는 것입니다. 그러나 최근에서는 해당 코드를 이용해서 토렌트 같은 곳을 통해서 악성코드에 함께 심어 놓아서 사용자의 컴퓨터 또는 스마트폰을 사용량을 증가시켜서 사용자의 컴퓨터 혹은 스마트폰을 고장을 내서 해커들은 금전적인 이익을 추구하면서 문제가 되고 있습니다. 오늘은 간단하게 유블럭 오리진(uBlock filters​​​​​)를 이용해서 해당 스크립트 코드들을 차단하는 방법을 알아보겠습니다.

Canon | Canon EOS 650D

먼저 기본적으로 ​​​​유블럭 오리진(uBlock filters​​​​​)에서는 개인정보 부분에 보면 Adguard Base Filters,EasyList가 보일 것입니다. 해당 부분을 활성화해두고 업데이트를 해주면 됩니다. 그러면 해당 부분에 보면 해당 Adguard Base Filters에서는 Anti-crypto-miners rules이라는 것이 있고 해당 부분에 가상화폐를 채굴하는 스크립트 차단 코드들이 들어가 져 있는 것을 볼 수가 있습니다. 아니면 사용자가 추가로 필터를 추가하는 방법도 있습니다.
예를 들어 해당 추가 필터들은 Adblock등에도 적용이 되는 것이기 때문에 해당 광고 차단 기능을 사용하고 계시는 분들은 한번 이용을 해보는 것도 좋은 방법입니다.

먼저 추가 방법은 간단합니다. 유블럭 오리진(uBlock filters​​​​​)설정을 열어주고 나서 보조 필터로 이동합니다. 그리고 맨 아래로 내려가면 빈칸이 있는 곳이 있을 것입니다. 여기서 해당 코드들을 입력하면 주면 됩니다.
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/nocoin.txt
두 가지인데 여기서 사용자가 여기서 가장 마음에 드는 것을 선택하면 됩니다. 첫 번째 있는 것은 hosts 방법으로 차단하는 방법입니다. 해당 부분을 선택한다고 윈도우 hosts를 변경하는 것이 아니고 단순하게 필터를 열어보면 아래와 같이 나와 있을 것입니다. 예를 들어서 다음과 같이 차단이 됩니다.
0.0.0.0 cnhv.co
0.0.0.0 coin-hive.com
즉 윈도우 호스트 파일을 건드리는 것 없이 해당 코드들이 발견되면 0.0.0.0으로 돌리는 방식으로 연결을 끊어 버리는 방식입니다. 두 번째인 nocoin.txt 방식입니다.

해당 방식은 간단하게 서든파티로 간주해서 차단을 해버리는 방법입니다. 어느 것을 선택하던 자유입니다. 굳이 EasyList같은 경우에도 마찬가지로 서든파티 방식으로 차단합니다. 일단 어느 것을 사용하든 상관이 없습니다. 여기서 저번에 소개해 드린 Anti-WebMiner(안티웹마이너)를 이용을 하는 방법도 있습니다. 해당 방법은 수동으로 업데이트를 하면 윈도우 호스트에 추가하는 방식입니다.
그리고 제일 중요한 것은 컴퓨터에 백신프로그램 설치를 해두었다고 하면 해당 코드가 있으면 감지를 합니다. 즉 굳이 해당 필터를 사용할 필요는 없습니다. 굳이 보안병이 있어서 해당 기능들을 사용해야겠다고 하면 해당 기능을 추가로 설치를 해주면 됩니다. 물론 스마트폰 이용자 분들에게는 도움이 될 것입니다. 그리고 일반적인 DNS를 사용하는 것보다는 Opendns,Norton DNS 등을 이용하는 방법도 도움이 될 것입니다.

해당 기능을 이용하면 미리 악성코드가 있는 사이트는 차단합니다. 참고로 Norton DNS같은 경우에는 학생, 청소년들을 키우고 있다고 하면 공유기에 암호를 걸고 수동으로 Norton DNS에서 3번째 DNS을 선택을 하면 성인사이트 차단할 수 있습니다. 물론 100% 차단을 할 수가 없겠지만 웬만한 것은 다 차단을 하고 악성코드 및 피싱사이트들도 함께 차단을 할 수가 있습니다. 일단 오늘은 이렇게 글자를 적어보았습니다.

컴퓨터를 조카 때문에 강제적으로 포멧하는 바람에 10년치 자료와 하필이면 백업이미지가 있는 외장 하드디스크까지 망가뜨려서 모든 자료가 날아가서 컴퓨터에 의도하지 않게 윈도우 10 클린설치가 되어버렸습니다. 덕분에 노트북 일부 기능을 사용할 수가 없어서 불편하기는 하지만요. 일단 가상화폐채굴 관련해서 골치가 아픈 사람들은 해당 기능을 이용하면 되고 만약 Internet Explorer만을 사용할 수가 있는 환경이라면 일단 Anti-WebMiner(안티웹마이너),Opendns,Norton DNS들을 함께 이용을 해보시는 것도 좋은 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 불편했던 분들은 이용하면 도움이 되겠군요
    • 해당 기능을 사용을 하면 아마도 가상화폐 채굴에 동원이 되는것을 예방을 할수가 있을것입니다.

어도비 플래시 플레이어 취약점 CVE-2018-4878 이용한 악성코드 전파중

Posted by Sakai
2018.02.06 00:40 소프트웨어 팁/보안

일단 해당 취약점인 CVE-2018-4878은 해당 취약점을 이용한 악성코드가 전파 중입니다. 일단 해당 취약점은 아직도 해당 취약점은 아직도 보안 업데이트가 적용이 되지 않은 취약점인 제로데이 공격입니다. 해당 악성코드는 일단 기본적으로 열어 보면 마치 상품매장관련문서처럼 구성돼 있지만, 해당 부분에 잘 보면 악성코드가 심어져 있습니다. 일단 해당 악성코드는 악의적으로 조작된 어도비 플래시 플레이어 개체를 통해 원격 코드 실행을 합니다.

일단 해당 악성코드는 Microsoft Excel 문서에 포함된 어도비 플래시 플레이어 개체와 함께 이 취약점을 악용합니다. 해당 문서를 열면 손상된 웹 사이트에서 추가 페이로드를 다운로드하기 위해 익스플로잇이 실행됩니다.

일단 해당 악성코드는 원격 관리 도구인 ROKRAT을 사용을 합니다. 일단 해당 엑셀 취약점은 ActiveX 개체를 포함하며 이 객체는 SWF 파일입니다.CVE-2018-4878 무료 사용 취약점은 손상된 웹 서버에서 추가 페이로드를 내려받는 데 사용되며 이 페이로드는 메모리에 로드되어 실행된 쉘 코드입니다. 해당 익스플로잇의 목적은 인터넷에서 추가 페이로드를 내려받고 실행을 합니다. 그리고 다음 페이로드를 다운로드 합니다.

httx://www.1588-2040,co.kr/conf/product_old.jpg
httx://www.1588-2040.co.kr/design/m/images/image/image.php
httx://www.한국-세금.info/main/local.php
httx://www.dylboiler.co.kr/admincenter/files/board/4/manager.php
해당 주소는 모두 한국에 있는 관리자가 관리를 하지 않는 웹 사이트입니다. 이러한 웹사이트 중 몇 개가 ROKRAT 변형을 풀고 실행하는 데 사용된 쉘 코드를 초대하고 있으며 해당 악성코드 샘플의 PDB입니다
d:\HighSchool\version13\2ndBD\T+M\T+M\Result\DocPrint.pdb
그리고 구별된 ROKRAT 샘플 중 하나는 Hancom Secure AnySign에 대한 이름으로 지어졌습니다.Hancom Secure가 PKI 및 인증 메커니즘을 위해 개발 한 합법적인 응용 프로그램입니다. 해당 취약점은 해킹단체 123그룹(Group 123)에서 제작이 되었습니다. 그리고 ROKRAT 샘플 :E1546323dc746ed2f7a5c973dcecc79b014b68bdd8a6230239283b4f775f4bbd
어도비플래시플레이어 취약점은 샘플들은 해쉬값들은 다음과 같습니다.
fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0
3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c
그리고 해당 취약점은 북한 해커에 의해서 발견이 되었다고 하며 북한 해커들이 한국에서 윈도우 사용자를 대상으로 악용되고 있는 새로운 플래시 플레이어 제로 데이 취약점입니다.

더 자세한 내용

그리고 2017 년 11월 중순부터 북한 해커들이 제로 데이 플래시를 사용하고 있다고 한국의 보안 업체 중 하나인 하우리 (Hauri)에서 근무하시는 사이먼 최(Simon Choi)께서 해당 취약점을 자주 악용한다고 합니다. 그리고 해당 악성코드의 타켓은 북한 연구를 하는 한국인들을 목표한다고 합니다. 일단 어떻게 보면 북한하고 관련이 있는 것 같기도 합니다. 일단 해당 어도비플래시플레이어 취약점은 아직 보안 업데이트는 아직 나오지 않은 상태입니다. 일단 이번 윈도우 보안업데이트가 있는 날에 업데이트가 진행될 것이라고 합니다.

일단 해당 악성코드에 감염되지 않는 방법의 하나는 바로 해당 어도비 플래시 플레이어가 나올 때까지 해당 어도비 플래시플레이어를 사용을 안 하거나 백신프로그램을 설치하고 항상 최신업데이트로 유지하고 인터넷에서 함부로 파일을 다운로드 해서 실행하거나 또는 이메일에 첨부된 이메일에 조심해서 열어 보아야 해당 악성코드에 감염되지 않습니다. 일단 해당 악성코드는 화살표로 표시한 부분에 삽입돼 있습니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 조심해서 사용해야겠군요
    • 일단 현재 최신 어도비 플래시 플레이어가 배포가 되고 있으니까 업데이트를 하시면 됩니다.
  2. 제로데이 취약점은 보고서 플래시는 당장 없어져야 한다고 생각했습니다.;;ㅠㅠ
    • 2020년에 어도비플래시플레이어는 중지 됩니다.

히든티어로 제작된 변종 카카오톡 랜섬웨어 감염 증상

Posted by Sakai
2018.02.02 00:05 소프트웨어 팁/보안

오늘은 오픈소스 형태로 공개된 교육용 랜섬웨어 제작프로그램인 히든티어(Hidden Tear)이라는 것은 교육용으로 제작되고 있는 랜섬웨어 제작도구입니다. GitHub에서도 공개돼 있습니다. 덕분에 랜섬웨어 제작은 증가하고 있어서 백신프로그램 제작 업체들은 긴장하게 된 프로그램이라고 샐 수가 있습니다. 그래서 덕분에 누구나 쉽게 랜섬웨어를 만들어서 악성코드를 퍼뜨려서 가상화폐를 송금하는 데 이용을 하고 있습니다.
오늘 소개해 드리는 랜섬웨어는 지난 시간에 소개해 드렸던 랜섬웨어인 카카오톡 변종 랜섬웨어입니다.

가장 최근에 나온 아주 따끈한 랜섬웨어라고 할 수가 있습니다. 일단 기본적으로 한국인을 대상으로 제작되었다고 생각이 됩니다. 정식 이름은 변종 KOREAN 랜섬웨어입니다. 이번에 제작된 카카오 톡 랜섬웨어는 일단 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분이 비슷합니다.
해당 랜섬웨어는 Hidden-Tear 오픈 소스 기반으로 제작되었으며 랜섬웨어는 바탕 화면 경로에 있는 파일 중 아래에 해당하는 확장자만 AES 알고리즘으로 구성돼 있습니다. 해당 AES 암호 알고리즘을 이용해서 기존파일명 기존확장자명.암호화됨 으로 암호화를 진행하고 비트코인을 요구합니다. 대략 가상화폐를 한화으로 환전을 했다고 하면 약 13,500,000원 정도 될 것으로 생각합니다.

해당 랜섬웨어가 암호화하는 대상은 다음과 같습니다.
.txt,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.sln,.php,.asp,.aspx,.html,.xml,.psd,.URL,.kys,.bat,.java,.hwp,.zip,.mp3,.bmp,.rtf,.pdf입니다.

그리고 지난 2016년 8월에 발견된 악성코드과 비교하여 보면 토르 사이트 주소는 같고 폰트와 이미지, 암호화 대상 확장자 등 바뀌었으며 특히 기존에는 %위로 사용을 했지만 이제는  응위 로 작성되었으면 해당 랜섬웨어 제작자가 이번에 조금 변화를 준 것을 확인할 수가 있습니다.
C:\Users\test\Desktop\소스\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\KakaoTalk.pdb
C:\Users\power\Desktop\VapeHacksLoader\obj\Debug\Minecraft.pdb

랜섬웨어 제작자 고객 센터 이메일 주소: powerhacker03@hotmail.com
토르 사이트:http://2dasasfwt225dfs5mom.onion.city
그리고 암호화에 사용하는 확장자가 암호화됨이라는 한국어인 점과 한국에서 사용하는 메신저 앱인 카카오 톡 이미지를 사용하고 한국에서 만든 나무 위키를 이용한다는 점 비트 코인 구매 방법으로 한국에 있는 가상화폐 거래소 등을 이용하는 점에서 한국인이 제작한 것 확률이 매우 높습니다. 일단 지난 카카오톡 랜섬웨어하고 제작자는 같습니다.

일단 기본적으로 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내려고 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다. 일단 해당 랜섬웨어 제작자는 지난주에 소개해 드린 koreanLocker Ransomware등의 많은 랜섬웨어를 제작을 한 것을 알 수가 있습니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어)

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 악성코드 수동 제거 프로그램-Adwcleaner 7.0 업데이트

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 모바일도 안심해서는 안되겠군요
    • 해당 랜섬웨어는 모바일용이 아니라 컴퓨터에 감염이 되는 랜섬웨어 입니다.
  2. 교육용 랜섬웨어 제작툴이 엄한데 사용되고있나보네요;;
    • 원래는 교육용인데 그걸을 악용한것이죠.우리가 살아가는것도 마찬가지이죠.원래는 좋은 의도로 만들었는데 이것을 범죄에 이용을 하는것과 비슷하지 않을까 생각이 됩니다.

윈도우 10 KB4073291,KB4075199,KB4075200 누적 업데이트

Posted by Sakai
2018.01.20 18:15 소프트웨어 팁/보안

마이크로소프트에서 제공하는 운영체제인 윈도우 10에 대한 누적 업데이트가 진행이 되었습니다. 이번 누적 업데이트는 KB4073291, KB4075199, KB4075200입니다. 해당 업데이트는 이전 보안 업데이트로 인한 AMD 부트 루프 버그를 해결하고 운영 체제에 더 많은 보호 기능을 추가하는 세 번째 패치입니다. 이번 패치의 첫 번째 배치는 Windows 7 및 Windows 8.1을 실행하는 컴퓨터의 특정 AMD 장치에 대해 부팅 할 수 없는 상태 문제를 해결했으며 두 번째 업데이트는 Windows 10 용 패치 KB4057142, KB4057144 및 KB4073290에 대한 업데이트 입니다.
해당 업데이트들은 윈도우 1032비트 버전의 Windows 10 버전 1709, 엔터프라이즈 전용 업데이트 KB4075199 및 엔터프라이즈 및 교육용 업데이트 KB4075200에 대한 KB4073291 업데이트로 진행이 됩니다. 갱신 내용은 다음과 같습니다.
KB4073291: 해당 업데이트는 2018년 1월 3일 KB4056892(OS Build 16299.192)를 설치하고 32비트 (x86) 버전의 Windows 10 1709에 대한 추가 보호 기능을 제공합니다.
업데이트 기록은 KB4054517이 올바르게 설치되었지만, 오류 0x80070643으로 설치하지 못했음을 보고합니다. 수동으로 업데이트 확인을 실행하여 확인할 수 있습니다. 검사를 실행할 때 실패한 업데이트가 반환되지 않아야 합니다.
CoInitializeSecurity를 ​​호출할 때 특정 조건에서 RPC_C_IMP_LEVEL_NONE을 전달하면 호출이 실패합니다. Microsoft는 관리자가 인증 수준 매개 변수를 RPC_C_AUTHN_LEVEL_CALL로 변경하도록 조치함
갱신으로 말미암아 일부 백신프로그램 제품과의 호환성 문제로 말미암은 중지 오류 또는 재부팅이 발생할 수 있습니다.
KB4075199:업데이트는 Windows 10 Enterprise 버전에만 적용되며 특히 Windows 10의 초기 버전 용입니다. 갱신은 운영 체제용 보안 업데이트 1월 2018을 설치하고 일부 AMD 장치가 부팅 할 수 없는 상태 문제를 해결하며 업데이트는 위에서 설명한 CoInitializeSecurity 문제를 공유합니다. 패치는 호환되는 바이러스 백신 소프트웨어가 있는 장치에 제공됩니다. 수동 업데이트는 물론 Microsoft Update 카탈로그 웹 사이트에서도 내려받기 이 가능 합니다.

KB4075200: 갱신은 Windows 10 Enterprise 및 Windows 10 Education Edition에만 적용되며 Windows 10 버전 1511에만 적용
일부 AMD 장치의 부팅 할 수 없는 상태 문제를 해결하며 업데이트는 그 외의 다른 문제를 수정합니다. 로그 오프가 올바르게 작동하지 않아 사용자 자격 증명에 대한 반복 쿼리가 표시됩니다. 해당 업데이트는 KB4075199의 알려진 문제점을 공유하며 Microsoft Update 카탈로그에서도 수동으로 다운로드 할 수 있습니다. 그리고 Windows 10 RTM 및 Windows 10 버전 1511의 지원이 만료되었습니다. 이것이 패치가 엔터프라이즈 버전과 교육 버전에만 제공되는 이유입니다. 그러므로 해당 운영체제를 사용하고 계시는 분들은 업데이트를 진행을 하시면 되면 자동 업데이트에서 나타나지 않으면 수동으로 윈도우 카탈로그에서 수동으로 해당 파일을 다운로드 해서 업데이트하시면 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

멜트다운(Meltdown)과 스펙터(Spectre)검사를 할수 있는 프로그램-Ashampoo SpectreMeltdownCheck

Posted by Sakai
2018.01.12 17:10 소프트웨어 소개

오늘 소개해 드리는 Ashampoo SpectreMeltdownCheck프로그램은 간단하게 컴퓨터에서 자신이 사용하는 CPU가 멜트다운(Meltdown)과 스펙터(Spectre)에 영향을 미치는 CPU인지 확인을 할 수가 있는 프로그램입니다. 먼저 여기서 이야기하는 멜트다운(Meltdown)과 스펙터(Spectre)은
Meltdown과 Spectre는 최신 CPU 마이크로프로세서에 대한 두 가지 관련 측면 채널 공격으로, 권한이 없는 코드가 데이터를 읽을 수 없어야 합니다.
스마트폰에서 데이터 센터의 하드웨어에 이르는 장치 대부분은 어느 정도 취약할 수 있으며 해당 스마트폰 공급 업체는 문제를 해결하기 위해 패치를 개발 중이거나 이미 발표했습니다.

즉 해당 취약점은 장치 프로세서 대부분은 작업 속도를 높이려고 다양한 기술을 사용합니다. Meltdown and Spectre 취약점은 공격자가 일반적으로 볼 수 없는 메모리 영역에 대한 정보를 얻으려고 이러한 기법 중 일부를 남용하는 것을 허용해서.

여기에는 비밀키 또는 기타 중요한 데이터가 포함될 수 있습니다. 즉 개인정보 같은 것이 포함될 수가 있다는 것입니다. 그리고 취약점 내용은 다음과 같습니다.
Spectre(bounds check bypass and branch target injection): CVE-2017-5753,CVE-2017-5715
Meltdown(rogue data cache load): CVE-2017-5754

Ashampoo SpectreMeltdownCheck

입니다. 해당 취약점들은 최악에는 장치에서 실행되는 코드는 액세스 권한이 없는 메모리 영역에 액세스 할 수 있으며 이로 말미암아 비밀키 및 암호를 포함한 중요한 데이터가 손상될 수 있습니다. 물론 이를 해결하기 위해서 지난 2018년 1월4일에 마이크로소프트는 해당 문제를 해결하기 위해서 보안 업데이트를 공개를 했습니다. 다만, 백신프로그램의 호환성 테스트가 되어서 해당 부분에 통과하면 해당 보안 업데이트를 내려받아서 설치할 수가 있고 아니면 수동으로 윈도우 카탈로그에서 수동으로 설치할 수가 있지만, 수동으로 설치할 때는 블루스크린을 볼 수가 있기 때문에 조심해야 합니다.

그리고 이번에 있었던 윈도우 정기 보안 업데이트에서 해당 호환성 테스트가 통과된 윈도우 7등 운영체제에 한해서 업데이트가 되고 있습니다. 일단 해당 프로그램인 Ashampoo SpectreMeltdownCheck은 간단하게 해당 프로그램을 다운로드 해서 실행을 해주고 잠시 기다려 주면 해당 멜트다운(Meltdown)과 스펙터(Spectre) 취약점을 검사하고 결과를 보여줄 것입니다. 일단 해당 프로그램은 무료로 배포되고 있기 때문에 한번 사용을 하고 싶은 분들은 한번 이용해 보시는 것도 좋을 것 같습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 저역시 모두 해당됩니다 아 슬프네요 ㅠㅠ
    • 해당 보안 업데이트를 적용을 하면 해결을 할수가 있습니다.다만 일부 성능이 저하된다는 말이 있습니다.
  2. 이미 업데이트는 했지만 업데이트가 안된 PC 는 꽉 확인이 필요한거 같습니다.
    • 그렇죠!업데이트는 어쩔수 없이 해야 될것 같습니다.
  3. 멜트다운과 스펙터 검사를 할 수 있는 프로그램 에 대해 잘 알고 갑니다.^^
    한파 날씨가 계속 이어지고 있습니다. 건강관리 잘하시길 바랍니다.
    • 정말 춥네요.항상 건강에 신경쓰세요.
  4. 인텔 때문에 알게 되었는데 저도 한 번 조사해봐야겠어요
    • 아마도 적용을 하셔야 될것 입니다.보안 업데이트가 있으면 CPU 성능 저하는 있지만 개인정보가 유출되는것보다 낫다고 생각이 됩니다.
  5. 이용을 해봐야겠네요
    좋은 정보 잘알고 갑니다.
    즐거운 주말되세요 ^^
    • 한번 이용을 해서 점검을 해보는것도 좋은 방법이라고 생각이 됩니다.다만 보안 업데이트는 반드시 해야 하면 성능 저하도 나타날수도 있습니다.
  6. 이용을 해봐야겠네요
    좋은 정보 잘알고 갑니다.
    즐거운 주말되세요 ^^
  7. AMD쓰는 저는 .. 다행이라 생각되네요.
    • 앞으로 저도 AMD를 사용을 해야 될것 같습니다.