당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법

Posted by Sakai
2018.06.25 00:00 소프트웨어 팁/보안

오늘은 당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법에 대해 알아보겠습니다. 일단 해당 메시지는 간단하게 이야기하면 자신의 컴퓨터가 악성코드 감염 의심이 되어서 한국인터넷진흥원에 신고 접수가 되었다는 메시지를 볼 수가 있습니다. 해당 부분은 진짜 악성코드 및 좀비 PC(좀비 컴퓨터)에 감염이 되어서 진짜 신고가 되는 경우가 있고 자신이 컴퓨터를 정말로 컴퓨터를 잘 관리하고 있는데 IP 주소 때문에 생기는 경우가 있습니다. 일명 복불복입니다. 저 경우에는 ProcessMonitor,ProcessExplorer 등으로 관리하고 있습니다.

그리고 제가 사용하는 노트북은 블로그 전용으로만 사용하기 때문에 악성코드에 감염될 수가 없는 상태이면서 해당 IP 주소를 약 1년 전쯤부터 할당받아서 사용하다가 갑자기 저러니까 조금 당황하였습니다.

일단 기본적으로 자신의 컴퓨터 관리를 잘하고 계시면 간단하게 복불복에 걸린 것이고 관리에 소홀하게 사용을 하고 있으면 예를 들어 윈도우 업데이트 따위는 귀찮고 백신프로그램 실시간 감시 및 최신 업데이트를 사용을 하지 않거나 사용을 하더라도 토렌트를 이용을 하고 계시는 분들은 한번 의심을 해보아야겠습니다. 그리고 당연히 윈도우 정품 구매를 하지 않고 불법인증 툴을 사용해서 인증하신 분들은 한번 의심해야 할 것입니다.

해당 당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법은 간단합니다. 일단 악성코드치료용 전용백신프로그램을 다운로드해서 실행을 시켜줍니다. 그리고 나서 악성코드가 검출되면 악성코드를 제거하면 됩니다.

만약 컴퓨터 보안에 관심을 많이 두고 있고 정말 잘 관리를 하고 있다고 하면 IP 주소를 변경하시면 됩니다. 기본적으로 그냥 통신사에서 제공하는 공유기에 연결이 돼 있으면 공유기 모뎀을 약 1~3시간 정도 꺼주면 IP 주소가 재할당이 되어서 사용을 하면 되고 이런 환경이 아닌 공유기를 따로 사용을 해서 연결이 돼 있으면 공유기 MAC 주소를 살짝 변경을 해주시면 됩니다. 그러면 새로운 IP 주소를 할당돼 있을 것입니다.

아니면 두 개의 모뎀을 약 12시간 정도 꺼두고 있으면 IP 주소는 바뀌어 있을 것입니다. 해당 방법은 잠잘 때 공유기 꺼두고 아침에 일어나면 대부분 변경이 돼 있을 것입니다. 가장 쉬운 방법은 MAC 주소를 변경하는 방법일 것입니다. 일단 해당 방법으로 해당 부분을 해결할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 덕분에 좋은 정보 잘 얻어갑니다 조심할게요
    • 항상 미리 예방을 하는것이 중요하다고 생각이 됩니다.

MBR를 파괴하는 랜섬웨어-RedEye Ransomware(레드아이 랜섬웨어)

Posted by Sakai
2018.06.12 00:00 소프트웨어 팁/보안

오늘은 컴퓨터 MBR 영역을 파괴하는 랜섬웨어인 RedEye Ransomware(레드아이 랜섬웨어)에 대해 알아보는 시간을 가져 보겠습니다. RedEye Ransomware 는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 돈을 요구하는 악성코드입니다.

일단 해당 RedEye Ransomware(레드아이 랜섬웨어)에 감염이 되면 기본적으로 컴퓨터 파일들을 지우고 MBR(마스터 부트 레코드)를 지우면 컴퓨터를 부팅을 할 수가 없게 만드는 랜섬웨어 입니다.
RedEye Ransomware(레드아이 랜섬웨어)는 파일을 암호화하고 나서. RedEye 확장자로 변경합니다.

파일 크기를 0KB 로 변경을 합니다. 암호화는 AES 암호화 알고리즘을 사용합니다. 해당 랜섬웨어는 악의적인 스크립트를 시작하는 페이로드 드로퍼(payload dropper)가 인터넷에 퍼져 나가고 있으며 해당 파일이 컴퓨터 시스템에 저장되고 어떻게 든 실행 하면 컴퓨터 시스템이 감염됩니다. 일단 기본적으로 윈도우 업데이트는 최신을 유지하면서 의심 가는 파일은 실행하는 것은 삼가야 합니다.
랜섬웨어 노트는 다음과 같습니다.

RedEye Ransomware
All your personal files has been encrypted with an very strong key by RedEye!
(Rijndael-Algorithmus – AES – 256 Bit)
The only way to get your files back is:
– Go to http://redeye85x9tbxiyki.XXXXXon/tbxIyki –개인 ID
and pay 0.1 Bitcoins to the adress below! After that you need to click on
“Check Payment”. Then you will get a special key to unlock your computer.
You got 4 days to pay, when the time is up,
then your PC will be fully destroyed!
Your personal ID: [xxxxxxx]
대충 번역을 하면 다음과 같습니다.
RedEye Ransomware
RedEye는 모든 개인 파일을 매우 강력한 키로 암호화합니다!
(Rijndael-Algorithmus-AES-256 비트)
파일을 다시 가져 오는 유일한 방법은 다음과 같습니다.
- http://redeye85x9tbxiyki.XXXXXXX/tbxIyki로 이동 - 개인 ID를 입력하십시오.
아래 주소에 0.1 비트코인를 지급하십시오! 그 후 클릭해야 합니다.
"지급 확인". 그런 다음 컴퓨터의 잠금을 해제하는 특수 키를 받게 됩니다.
당신은 지급할 사흘이 있고, 시간이 다되면,
그러면 PC가 완전히 파괴될 것입니다!
귀하의 개인 ID: [XXXXX]

일단 기본적으로 비트코인를 지급을 한다고 해당 복원키를 받는다고 보장을 할 수가 없습니다. 그리고 해당 랜섬웨어는 PC 종료를 하거나 해당 랜섬웨어가 제시하는 타이머가 만료되면 컴퓨터가 다시 시작되고 MBR(마스터 부트 레코드)이 시스템에 액세스 할 수 없다고 간주하여 MBR 영역이 교체됩니다. 그리고 운영체제를 재부팅을 하고 나면 다음과 같은 메시지를 볼 수가 있습니다.
RedEye Terminated your computer!
The reason for that could be:
– The time has expired
– You clicked on the ‘Destroy PC’ button
There is no way to fix your PC! Have Fun to try it :)
My YouTube Channel: iCoreX <- Subscribe :P Add me on discord! iCoreX#3333 <- Creator of Jigsaw, Annabelle & RedEye Ransomware! My old discord account named ’ iCoreX#1337’ got terminated by discord.
그리고 암호화하는 파일은 다음과 같습니다.
.bmp, .doc, .docx, .jpg, .png, .ppt, .pptx, .mp3, .xsl, .xslx
RedEye Ransomware(레드아이 랜섬웨어)는 섀도우 볼륨 복사본을 삭제하는 명령어를 다음과 같이 실행을 합니다.
vssadmin.exe delete shadows /all /Quiet를 실행을 합니다.
그래서 시스템복원지점을 만들어 놓았더라도 그렇게 도움이 되지 않습니다. 그래서 미리 중요한 파일은 백업하는 것이 제일 좋은 방법이고 그다음은 윈도우 자동업데이트는 함부로 끄지 말고 UAC도 마찬가지로 끄지 말고 그리고 백신프로그램도 실시간 감시 최신 갱신을 해야 하면 그리고 지난 시간에 소개해 드린 MBRFilter 같은 것을 사용해서 MBR 영역이 파괴되는 것을 차단할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어 피해가 많이 줄어든 거 같아요
    • 그래도 방심하면 랜섬웨어에 감염이 될수가 있으니까 항상 주의를 해야 될것 같습니다.
  2. 와 mbr 영역까지 건드리는 녀석도 있네요..

한국 사용자를 노리는 랜섬웨어-RansomAES(랜섬AES)

Posted by Sakai
2018.05.14 00:01 소프트웨어 팁/보안

RansomAES 는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 돈을 요구하는 랜섬웨어 입니다.모든 파일은 AES 및 RSA 2048 비트 군사 등급 암호화 알고리즘으로 암호화를 진행을 합니다.RansomAES(랜섬AES)는 암화를 진행을 하고 나서 그리고 파일들의 확장자들은 .RansomAES로 변경을 합니다.일단 악성코드 유포는 기본적으로 페이로드 드로퍼(payload dropper) 또는 웹사이트,토렌트등으로 악성코드를 유포를 합니다.

그리고 파일을 암호화를 하고 나서 RansomAES 는 파일을 암호화하고 감염된 컴퓨터 시스템 내부에 지침이 담긴 몸값을 사용자에게 보여 줍니다.그리고 해당 랜섬웨어는 Satyr Ransomware,Spartacus Ransomware를 참고한 랜섬웨어 입니다.
그리고 암호화를 진행을 하는 파일들은 다음과 같습니다.

asp, .aspx, .bmp, .cdr, .cmd, .config, .cpp, .csv, .dbf, .dll, .doc, .docx, .dwg, .exe, .flv, .gif, .html, .hwp, .ini, .jpg, .js, .mdb, .mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .rtf, .sql, .sqlite, .txt, .vbs, .xls, .xlsx, .xml, .zip
생성되는 파일은 다음과 같은 확장자를 보여 줍니다.
당신의 파일이 암호화되었습니다! 당신에 확장자: .AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com 개인 ID KEY:

바이러스 토탈 결과

그리고 생성되는 GUI 화면 내용은 다음과 같습니다.
당신의 모든 파일이 암호화되었습니다!
당신의 파일이 암호화되었습니다! 당신에 확장자:AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com
Bitcoins 에서 암호 해독에 대한 비용을 지불해야합니다. 가격은 당신이 우리에게 어떻게 쓰는지에 달려 있습니다. 지불 후 우리는 당신에게 모든 파일을 해독할수 었는 해독 도구를 드립니다.
지금 위에 있는 개인 ID는 저희 이메일로 ID를 클립으로 복사해서 ID를 주세요.
일단 기본적으로 해당 랜섬웨어 복구를 하기 위한 비트코인 값은 직접적으로 명시되어있지 않고 간단하게 이메일을 통해서 악성코드 제작자와 연락을 하는 방식입니다.
그리고 해당 랜섬웨어에 감염이 되면 Windows 운영 체제에서 모든 섀도우 볼륨 복사본 을 지우도록 명령어를 실행을 합니다.
vssadmin.exe delete shadows /all /Quiet
그리고 현재 대부분의 백신프로그램에서는 탐지가 되고 있습니다.보통 탐지명은 다음과 같습니다.
Artemis!2B745E0A8DAD
Generic.Ransom.WCryG.334FECBF
Ransom_RAMSIL.SM
Trojan ( 0052dbd31 )
Trojan-Ransom.Win32.Spora.fcp
Trojan.IGENERIC
Trojan/Win32.FileCoder.C2493620
W32/Ransom.PLIR-3520
W32/Trojan.HLCA-1666
Win32:Malware-gen
으로 탐지가 되고 있습니다.바이러스 토탈에서는 쉽게 확인을 할수가 있을것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 주변에 항상 현재 진행형이지만 조금은 잠잠해 지더니 한국 사용자를 노리면 랜섬웨어가 있군요.
    조심하고 또 조심해야겠습니다.
    • 항상 주의하는것이 좋은 방법인것 같습니다.
  2. 특히 조심 해야겠군요 잘 알고갑니다

윈도우 10 특정 업데이트 중지를 도와주는 업데이트 표시 또는 숨기기 문제 해결사 패키지

Posted by Sakai
2018.04.17 00:00 소프트웨어 팁

윈도우 10에서 윈도우 업데이트를 하다 보면 느끼는 것이 아마도 이전 윈도우에서는 특정 윈도우 업데이트는 사용자가 선택해서 다운로드 및 설치를 중지할 수가 있습니다.

그러나 윈도우 10에서는 기본적으로 윈도우 자동 업데이트는 무조건 설치를 하게 돼 있습니다. 그래서 예를 들어서 윈도우 10 레드스톤 2를 사용하고 싶은데 윈도우 업데이트를 하니까 윈도우 10 레드 스톤 3으로 변경이 돼 있는 것을 볼 수가 있습니다.

물론 업데이트를 하면 일단 새로운 기능과 그리고 보안 강화 등과 같은 것을 될 수가 있지만, 이전 버전을 사용하기를 원하시는 분들은 해당 업데이트를 막고 싶은 분들이 있을 것입니다.

오늘은 해당 부분을 막는 방법에 대해 알아보겠습니다. 해당 문제를 해결하려면 업데이트 표시 또는 숨기기 문제 해결사 패키지를 다운로드 해서 실행을 해주면 됩니다. 일단 해당 파일인 업데이트 표시 또는 숨기기 문제 해결사 패키지는 파일 이름은 wushowhide.diagcab로 구성이 돼 있습니다.

업데이트 표시 또는 숨기기 문제 해결사 패키지
그리고 일단 인터넷에 연결된 상태에서 해당 업데이트 표시 또는 숨기기 문제 해결사 패키지를 실행해줍니다. 그러면 해당 프로그램이 실행되고 Show or hide update라는 것을 볼 수가 있습니다. 여기서 그냥 다음을 눌러줍니다. 그리고 나서 업데이트 표시 또는 숨기기 문제 해결사 패키지가 검사를 진행할 것입니다. 여기서 숨기고 싶은 것이 있으면 hide update를 눌러주면 되고 반대로 업데이트를 설치를 해야 하면 show update를 눌러주면 됩니다.

일단 해당 파일을 숨겨야 하므로 hide update를 눌러줍니다. 그러면 현재 컴퓨터에 설치되어야 하는 프로그램이 보일 것입니다. 여기서 자신이 원하지 않는 갱신 파일을 선택하고 다음을 눌러주면 됩니다.
그러면 잠시 기다려주면 업데이트가 이루어지고 문제해결이 되었다는 것을 볼 수가 있고 선택한 업데이트는 설치가 되지 않을 것입니다. 일단 잠시 업데이트를 꺼두고 싶은 분들만 이용하시길 바라면 윈도우 업데이트는 웬만하면 반드시 해야 합니다. 이유는 간단합니다. 윈도우 10에 있는 보안 취약점 수정 및 기타 버그를 수정한 업데이트이기 때문에 악성코드 같은 것에 감염되는 것을 최소화할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 윈도우 업데이트를 한 번 하면 마무리하는 게 좋겠지요
    • 윈도우 업데이트는 귀찮아도 자동업데이트를 해놓고 그날 업데이트를 하는것이 좋죠.나중에 뉴스 같은것에서 나오거나 랜섬웨어등과 같은 악성코드에 감염이 되어서 윈도우 보안 업데이트를 하는것은 위험하다고 생각이 됩니다.

윈도우 10 1709 KB4093112 보안 업데이트

Posted by Sakai
2018.04.11 17:26 소프트웨어 팁/보안

마이크로소프트에서 제공하는 윈도우 10에 대한 2018년4월 정기 보안 업데이트가 진행이 되었습니다. 일단 보안 업데이트가 되는 제품들은 다음과 같습니다.
Internet Explorer
Microsoft Edge
Microsoft Windows
Microsoft Office, Microsoft Office Servers 및 Web Apps
ChakraCore
Adobe Flash Player
Microsoft Malware Protection Engine
Microsoft Visual Studio
Microsoft Azure IoT SDK
Windows
Microsoft Edge
Internet Explorer
입니다. Windows 버전에서 수정된 취약점은 다음과 같다. 올봄 출시될 예정 Windows 10 1803 에 대해서도 누적 업데이트가 제공되고 있습니다. 다만, Windows 10 1803은 무조건 업데이트가 되는 것이 아니고 차례로 업데이트가 진행이 됩니다.

Windows Server 2016:27건 (긴급 6, 중요 20 경고 1)
Windows Server 2012 R2: 23건 (긴급 6, 중요 16 경고 1)
Windows Server 2012:21건 (긴급 6, 중요 14 경고 1)
Windows Server 2008 R2: 20건 (긴급 6, 중요 13 경고 1)
Windows Server 2008:19건 (긴급 5, 중요 13 경고 1)
Windows 10 Version 1709 (64bit):28건 (긴급 6, 중요 21 경고 1), KB4093112
Windows 10 Version 1709 (32bit):26건 (긴급 6, 중요 19 경고 1)
Windows 10 Version 1703 (64bit):28건 (긴급 6, 중요 21 경고 1), KB4093107
Windows 10 Version 1703 (32bit):26건 (긴급 6, 중요 19 경고 1)
Windows 10 Version 1607 (64bit):25건 (긴급 6, 중요 18 경고 1), KB4093119
Windows 10 Version 1607 (32bit):24건 (긴급 6, 중요 17 경고 1)
Windows RT 8.1: 23건 (긴급 6, 중요 16 경고 1)
Windows 8.1 (64bit):23건 (긴급 6, 중요 16 경고 1), KB4093114, KB4093115
Windows 8.1 (32bit):22건 (긴급 6, 중요 15 경고 1)
Windows 7:20건 (긴급 6, 중요 13 경고 1), KB4093118, KB4093108
입니다. 그리고 Windows 10 Version 1607 (Anniversary Update)는 기술지원이 중단됩니다. 그러므로 Windows 10 Version 1607 (Anniversary Update)를 사용을 하시는 분들은 최신 윈도우 10 버전으로 업데이트를 진행을 하시길 바랍니다.
그리고 웹브라우저에 대한 보안 업데이트 다음과 같습니다.
Microsoft Edge: 10 건(긴급 8 중요한 2)
Internet Explorer 11:12건 (긴급 8 중요한 4)
Internet Explorer 10:9건 (긴급 6, 중요 3)
Internet Explorer 9:9건 (긴급 6, 중요 3)
그리고 Internet Explorer와 Microsoft Edge에서 사용되고 있는 JavaScript 엔진에서 Windows 고유의 기능을 삭제 한 오픈 소스 라이브러리 ChakraCore에서는 8건의 취약점이 수정되었습니다. 심각도는 모두 긴급으로 되어 있습니다.
Microsoft Office, Microsoft Office Servers, Web Apps
입니다.
Microsoft Office에서는 27개 보안 패치와 26개 비 보안 패치가 시행되었습니다.
이번 업데이트에는 Microsoft Office Compatibility Pack Service Pack 3, Microsoft Excel Viewer 2007 Service Pack 3 보안 패치가 포함되어 있지만, 해당 제품은 이번 달에 공개가 종료할 예정입니다.
Microsoft Visual Studio에서 1건의 취약성이 수정되었습니다. 영향 제품은 다음과 같습니다.
Microsoft Visual Studio 2017 Version 15.7 Preview
Microsoft Visual Studio 2017 Version 15.6.6
Microsoft Visual Studio 2017
Microsoft Visual Studio 2015 Update 3
Microsoft Visual Studio 2013 Update 5
Microsoft Visual Studio 2012 Update 5
Microsoft Visual Studio 2010 Service Pack 1
CVE-2018-1037 (중요 정보 유출)
그리고 Microsoft Visual Studio 2008 제품은 기술 지원이 종료됩니다. 그리고 앞으로 보안 업데이트가 제공되지 않기 때문에 주의해야 합니다.
그리고 Microsoft Malware Protection Engine에 대해 보안 업데이트(CVE-2018-0986)가 1건이 업데이트가 되었습니다.
그리고 영향을 받는 제품은 다음과 같습니다.
Windows Defender
Microsoft Security Essentials
Windows Intune Endpoint Protection
Microsoft System Center Endpoint Protection
Microsoft System Center 2012 R2 Endpoint Protection
Microsoft System Center 2012 Endpoint Protection
Microsoft Forefront Endpoint Protection 2010
Microsoft Exchange Server 2016
Microsoft Exchange Server 2013
그리고 핫픽스는 매달 업데이트에 앞서 이미 업데이트된 Windows 10 환경에서 Windows Defender의 경우, 설정->앱 업데이트 및 보안->Windows Defender 섹션에 있는 엔진 버전 항목에서 Microsoft Malware Protection Engine이 v1.1.14700.5 으로
업데이트가 되었는지 확인을 하시길 바랍니다.
해당 취약점은 CVE-2018-0986 (긴급 원격 코드 실행 문제점)입니다.

[소프트웨어 팁/보안] - 윈도우 디펜더 1.1.14700.5 엔진 보안 업데이트

Adobe Flash Player에서는 1건의 보안 업데이트가 진행이 되었습니다.
ADV180007 (긴급 원격 코드 실행 문제점)
그리고 마이크로소프트에서 판매하는 무선 키보드인 Microsoft Wireless Keyboard 850 제품에 대한 보안 업데이트가 되었습니다. 해당 취약점은 CVE-2018-8117 (중요 보안 기능 우회)입니다.
해당 마이크소트프 무선 키보드인 Microsoft Wireless Keyboard 850 제품을 사용하고 계시는 분들은 반드시 보안 업데이트를 진행을 하시길 바랍니다.
그리고 KB4093112에 업데이트 내용은 다음과 같습니다.
 Provides support to control usage of Indirect Branch Prediction Barrier (IBPB) within some AMD processors (CPUs) for mitigating CVE-2017-5715, Spectre Variant 2 when switching from user context to kernel context (See AMD Architecture Guidelines around Indirect Branch Control and AMD Security Updates for more details). Follow instructions outlined in KB4073119 for Windows Client (IT Pro) guidance to enable usage of IBPB within some AMD processors (CPUs) for mitigating Spectre Variant 2 when switching from user context to kernel context.
Addresses an issue that causes an access violation in Internet Explorer when it runs on the Microsoft Application Virtualization platform.
Addresses an issue in Enterprise Mode related to redirects in Internet Explorer and Microsoft Edge.
Addresses an issue that generates an access violation on certain pages in Internet Explorer when it renders SVGs under a high load.Internet Explorer 11,Internet Explorer 10,Internet Explorer 9
Addresses additional issues with updated time zone information.
Addresses an issue that might cause the App-V service to stop working on an RDS server that hosts many users.
Addresses an issue where user accounts are locked when applications are moved to a shared platform using App-V (e.g., XenApp 7.15+ with Windows Server 2016, where Kerberos authentication isn't available).
Addresses an issue with printing content generated by ActiveX in Internet Explorer.
Addresses an issue that causes document.execCommand("copy") to always return False in Internet Explorer.
Addresses an issue that, in some instances, prevents Internet Explorer from identifying custom controls.
Security updates to Internet Explorer, Microsoft Edge, Windows kpp platform and frameworks, Microsoft scripting engine, Windows graphics, Windows Server, Windows kernel, Windows datacenter networking, Windows wireless networking, Windows virtualization and Kernel, and Windows Hyper-V.
입니다. 항상 최신 업데이트를 유지를 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 그러고보니 오늘 레드스톤 4 업데이트가 나온다던데 감감 무소식이네요
    • 윈도우 10 레드스톤 4는 연기되었습니다.

백장미 랜섬웨어(WhiteRose Ransomware)감염 증상

Posted by Sakai
2018.04.11 00:00 소프트웨어 팁/보안

오늘 새롭게 발견된 랜섬웨어인 백장미 랜섬웨어(WhiteRose Ransomware)에 대해 알아보는 시간을 가져 보겠습니다. 일단 지난 4월5일에 처음 발견된 랜섬웨어 입니다. 일단 랜섬웨어 이름처럼 백장미입니다. 일단 이름은 정말 아름다운 랜섬웨어이기도 합니다. 해당 랜섬웨어는 기본적으로 원격 데스크톱 서비스를 해킹하여 수동으로 설치됩니다. 그리고 해당 랜섬웨어는 기본적으로 아직은 아시아 쪽이나 북미, 남미에는 퍼지지 않고 있으면 일단 유럽 쪽에서 퍼지고 있으면 특히 스페인을 목표하고 있습니다. 즉 아마도 스페인 사용자를 노리고 있으면 그리고 스페인 관련 일을 하시는 분들에게는 주의가 필요한 부분이기도 합니다. 일단 해당 랜섬웨어는 BlackRuby Ransomware 와 WhiteRose Ransomware 는 몸값 요구보다는 일단 조금 더 창조적인 글쓰기로 이루어진 랜섬웨어 입니다.
일단 백장미 랜섬웨어(WhiteRose Ransomware)는 특이하게도 왠지 시적인 이미지가 느껴지는 랜섬웨어 노트를 하고 있습니다. 일단 랜섬웨어는 고독한 해커가 정원에 흰 장미로 둘러싸인 이야기를 전하고 있으며 해커는 컴퓨터를 암호화하고 꽃으로 바꾸어 흰 장미를 세상과 공유하고 싶어한다고 이야기를 하고 있습니다.
랜섬웨어 노트는 다음과 같습니다.

I do not think about selling white roses again. This time, I will plant all the white roses of the garden to bring a different gift for the people of each country. No matter where is my garden and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter if you are the west of the world or its east, it's important that the white roses are endless and infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow. Wait for good days with White Rose. I hope you accept this gift from me and if it reaches you, close your eyes and place yourself in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension. Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.

일단 해당 백장미 랜섬웨어(WhiteRose Ransomware)은 기본적으로 C:\Perfect.sys 파일이 있는지 확인을 합니다. 그리고 파일이 존재하면 프로그램을 종료하고 그렇지 않으면 새로운 파일을 만듭니다.
Perfect.sys
Perfect.sys
그리고 랜섬웨어는 컴퓨터에 있는 파일들을 검색하고 나서 해당 파일을 암호화를 진행합니다. 암호화하는 파일은 다음과 같습니다.

.1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .ARC, .PAQ, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .back , .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .c , .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf , .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .cs , .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db3, .db_journal, .dbf, .dbf , .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk , .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg , .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ora , .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt , .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip, 3dm, onetoc2

그리고 암호화할 파일을 검색할 때 다음 폴더에 있는 파일은 암호화하지 않습니다.
Windows Program Files
$Recycle.Bin Microsoft
그리고 파일이 암호화에 성공하면 다음과 같은 확장자가 _ENCRYPTED_BY.WHITEROSE로 강제 변경이 됩니다. 그리고 컴퓨터에 있는 폴더에는 장미의 ASCII 이미지, 흥미로운 이야기 및 몸값 지불 방법에 대한 지침이 포함된 HOW-TO-RECOVERY-FILES.TXT을 생성을 합니다.
그리고 나서 백장미 랜섬웨어(WhiteRose Ransomware)는 사용자가 컴퓨터를 복구할 수가 없게 복구지점을 파괴하는 명령어를 실행합니다.
cmd.exe /C vssadmin.exe delete shadows /all /Quiet
cmd.exe /C WMIC.exe shadowcopy delete
cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C wevtutil.exe cl Application
cmd.exe /C wevtutil.exe cl Security
cmd.exe /C wevtutil.exe cl System
그리고 WhiteRose Support & Help (화이트 로즈 지원 및 도움말) 항목에 요청을 작성합니다. 그리고 랜섬웨어는 운영체제별로 생성하는 폴더는 다음과 같습니다.

%APPDATA% - Application Data files
Windows Vista,Windows 7,Windows 8:
Disk:\Users\User_Name\AppData\Local\
Disk:\Users\User_Name\AppData\Roaming\
Windows NT,Windows 2000,Windows XP:
Disk:\Documents and Settings\User_Name\Application Data\
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\
%TEMP% - Temporary files
%WinDir%\Temp\
Disk:\Windows\Temp\
%TEMP%\<random_name>\
%TEMP%\<random_name>.tmp\
%TEMP%\<random_name>.tmp\<random_name>\
Disk:\Users\User_Name\AppData\Local\Temp\
Disk:\Users\User_Name\AppData\LocalLow\Temp\
%WinDir% - Windows files
Disk:\Windows\ =>
Disk:\Windows\system32\
Program files
Disk:\Program Files\
Disk:\Program Files (x86)\
Disk:\ProgramData\ =>
Disk:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Users files
Disk:\Users\User_Name\Desktop\
Disk:\Users\User_Name\Documents\
Disk:\Users\User_Name\Documents\Downloads\
Disk:\Users\User_Name\Downloads\
Recycler files
Disk:\Recycler\             
Disk:\$RECYCLE.BIN\  
Disk:\$RECYCLE.BIN\s-1-5-21-**********-***********-**********-1000  
Temporary Internet Files of Internet Explorer:
Windows Vista,Windows 7,Windows 8:
Disk:\Users\User_Name\Local\Microsoft\Windows\Temporary Internet Files\
Disk:\Users\User_Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\
Disk:\Users\User_Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\<random_name>\ (a-z, 0-9)
Windows NT,Windows 2000,Windows XP:
Disk:\Documents and Settings\User_Name\Local Settings\Temporary Internet Files\
Temporary Internet Files of Google Chrome и Chromium:
Windows 8,Windows 7,Windows Vista
Google Chrome:
Disk:\Users\User_Name\AppData\Local\Google\Chrome\User Data\Default\
Chromium:
Disk:\Users\User_Name\AppData\Local\Chromium\User Data\Default\
Windows XP:
Google Chrome:
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\Google\Chrome\User Data\Default\
Chromium:
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\Chromium\User Data\Default\
Temporary Internet Files of Opera:
Windows 8, Windows7:
Disk:\Users\User_Name\AppData\Local\Opera Software\Opera Stable\
Disk:\Users\User_Name\Roaming\Opera Software\Opera Stable\
Temporary Internet Files of Firefox:
Windows 8, Windows 7:Disk:\Users\User_Name\AppData\Roaming\Mozilla\Firefox\Profiles\
Temporary Internet Files of Microsoft Edge
Disk:\Users\User_Name\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\<-Ransomware 도움말 및 기술 지원 부분입니다.

그리고 랜섬웨어 노트에 나오는 내용은 다음과 같습니다.

..   8"=,,88,   _.
     8""=""8'  "88a88'
.. .;88m a8   ,8"" "8
 "8"'  "88"  A"     8;
   "8,  "8   8       "8,
    "8   8,  8,       "8
     8,  "8, "8,    ___8,
     "8,  "8, "8mm""""""8m.
      "8,am888i"'   ,mm"
      ,8"  _8"  .m888"
     ,88P"""""I888888
     "'         "I888
                  "I8,
                   "I8
                    "I8_
        ,mmeem.m""i, I8""  ,mmeem,'.
       m""    . "8.8 I8  ,8"   .  "88
      i8  . '  ,mi""8I8 ,8 . '  ,8" 88
      88.' ,mm""    "8I88"m,,mm'"    8
      "8_m""         "I8   ""'
       "8             I8
                      I8_
                      I8""
                      I8
                     _I8
                    ""I8
                      I8
                     
_    _  _      _  _          ______                  
| |  | || |    (_)| |         | ___ \                 
| |  | || |__   _ | |_   ___  | |_/ /  ___   ___   ___
| |/\| || '_ \ | || __| / _ \ |    /  / _ \ / __| / _ \
\  /\  /| | | || || |_ |  __/ | |\ \ | (_) |\__ \|  __/
 \/  \/ |_| |_||_| \__| \___| \_| \_| \___/ |___/ \___|
=====================[PersonalKey]=====================
PpWh3f536rfFjmNhSaUaaV+fAc/hCqLtHujsZ18SdiNH6FzINtYaAOK
9ctyI8AGYf3ltM/XQiZm9LKVT5tyGHuIaKjjg0wxTvJvvovjxD0QBrS
7scZINf8zL9+hPThPy/62rKdEbGrEczf0mBMw7z78lKZsCnTBeEDksn
6wxZCI=
=====================[PersonalKey]=====================
The singing of the sparrows, the breezes of the northern mountains and smell of the earth
that was raining in the morning filled the entire garden space. I'm sitting on a wooden chair next
to a bush tree, I have a readable book in my hands and I am sweating my spring with a cup of
bitter coffee. Today is a different day.
Behind me is an empty house of dreams and in front of me, full of beautiful white roses.
To my left is an empty blue pool of red fish and my right, trees full of spring white blooms.
I drink coffee, I'll continue to read a book from William Faulkner. In the garden environment,
peace and quiet. My life always goes that way. Always alone without even an intimate friend.
I have neither a pet, nor a friend or an enemy; I am a normal person with fantastic wishes
among the hordes of white rose flowers. Everything is natural. I'm just a little interested
in hacking and programming. My only electronic devices in this big garden are an old laptop for
do projects and an iPhone for check out the news feeds for malware analytics on Twitter
without likes posts.
Believe me, my only assets are the white roses of this garden.
I think of days and write at night: the story, poem, code, exploit or the accumulation
of the number of white roses sold and I say to myself that the wealth is having different friends
of different races, languages, habits and religions, Not only being in a fairly stylish garden with
full of original white roses.
Today, I think deeply about the decision that has involved my mind for several weeks. A decision
to freedom and at the worth of unity, intimacy, joy and love and is the decision to release white
roses and to give gifts to all peoples of the world.
I do not think about selling white roses again. This time, I will plant all the white roses
of the garden to bring a different gift for the people of each country. No matter where is my garden
and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter
if you are the west of the world or its east, it's important that the white roses are endless and
infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow.
Wait for good days with White Rose.
I hope you accept this gift from me and if it reaches you, close your eyes and place yourself
in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension.
Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
[Recovery Instructions]
I. Download qTox on your computer from [https://tox.chat/download.html]
II. Create new profile then enter our ID in search contacts
Our Tox ID:"6F548F217897AA4140FB4C514C8187F2FFDBA3CAFC83795DEE2FBCA369E689006B7CED4A18E9".
 III. Wait for us to accept your request.
IV. Copy '[PersonalKey]' in "HOW-TO-RECOVERY-FILES.TXT" file and send this key with one encrypted file less size then 2MB for
trust us in our Tox chat. 
IV.I. Only if you did not receive a reply after 24 hours from us,
end your message to our secure tor email address "TheWhiteRose@Torbox3uiot6wchz.onion".
IV.II. For perform "Step IV.I" and enter the TOR network, you must download tor browser
and register in "http://torbox3uiot6wchz.onion" Mail Service)
V. We decrypt your two files and we will send you.
VI. After ensuring the integrity of the files, We will send you payment info.
VII. Now after payment, you get "WhiteRose Decryptor" Along with the private key of your system.
VIII.Everything returns to the normal and your files will be released.   
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////   
What is encryption?
In cryptography, encryption is the process of encoding a message or information in such a way that only authorized parties can access it,
and those who are not authorized cannot. Encryption does not itself prevent interference,
but denies the intelligible content to a would-be interceptor. In an encryption scheme, the intended information or message,
referred to as plaintext, is encrypted using an encryption algorithm – a cipher – generating ciphertext that can be read only if decrypted.
For technical reasons, an encryption scheme usually uses a pseudo-random encryption key generated by an algorithm.
It is in principle possible to decrypt the message without possessing the key, but, for a well-designed encryption scheme,
considerable computational resources and skills are required.
An authorized recipient can easily decrypt the message with the key provided by the originator to recipients but not to unauthorized users.
in your case “WhiteRose Decryptor” software for safe and complete decryption of all your files and data.
Any other way?
If you look through this text in the Internet and realise that something is wrong with your files but you do
not have any instructions to restore your files, please contact your antivirus support.

그리고 여기서 언급하는 것은 백장미는 제2차 세계대전 때에 독일 나치 시절에 독일 내에서 나치에 저항한 조직이름이기도 합니다.
하얀 장미단(die Weiße Rose)은 1941년에 한스 숄(Hans Scholl)과 조피 숄(Sophie Scholl) 남매가 결성했으며 뮌헨에서 아우구스트 폰 갈렌 주교가 나치의 T-4 프로그램 비판하는 강론을 듣고 갈렌 주교 허락을 받고 강론 전문을 전단으로 만들어 뮌헨 대학 전단지를 뿌리다가 게슈타포에 체포를 당하고 나서 심문을 받을 때에도 스페인 소설인 하얀 장미에서 나오는 유드 네보른과 안네트 둠바흐라고 했으며 알렉산더 슈모렐(Alexander Schmorell),빌리 그라프(Willi Graf), 크리스토프 헤르만 아난다 프롭스트(Christoph Hermann Ananda Probst),쿠르트 이포 테오도어 후버(Kurt Ivo Theodor Huber)등으로 구성이 되었고 해당 하얀 장미단에 가담을 해서 나치 정권의 잘못된 점에 대해서 저항을 했고 그리고 1943년2월18일에 뮌헨 대학에서 전단지를 배포를 하다가 체포가 되고 그 뒤로 가담자들이 잡히고 그리고 재판을 받은 지 몇 시간에 지나고 나서 사형이 되었다고 합니다. 그리고 련재 Karlsplatz 광장 바닥에는 하얀 장미단 단원들의 이름과 생애 그리고 추모사 그리고 처형당하던 당시의 신문들을 조각 형태로 찾아볼 수 있습니다.

[영화] - [영화]Der Untergang(몰락,The Downfall,2004)

즉 화이트 로즈 (die Weiße Rose)는 영화, 게임, 드라마들에서 많이 등장하는 단체이기도 합니다.
해시 값은 SHA256: 9614b9bc6cb2d06d261f97ba25743a89df44906e750c52398b5dbdbcb66a9415
관련 파일은 다음과 같습니다.
C:\Perfect.sys
HOW-TO-RECOVERY-FILES.TXT
그리고 바이러스토탈 결과는 다음과 같습니다. 물론 지금은 대부분 백신프로그램에서 탐지할 것입니다.

바이러스토탈 결과

일단 해당 랜섬웨어에 암호화되면 복원화는 할 수가 있습니다. 다만, 랜섬웨어 복구를 하려면 비용이 듭니다. 복구는 일단 러시아 보안 업체 Dr.Web에서 제공하고 있으면 해당 복구 비용을 무료로 하고 싶은 경우에는 Dr.Web 제품을 유료로 구매하는 분들은 무료로 제공하고 있으면 복구 비용은 파일의 개수에 따라 달라집니다. 해당 복구인 Dr.Web Rescue Pack는 러시아 루블로 제공해야 하면 닥터웹 유료로 사용하고 계시는 분들은 무료이며 복구비용은 데이터양에 따라 달라집니다. 해당 주소는 다음과 같습니다.

Dr.Web Rescue Pack 영어

Dr.Web Rescue Pack 러시아 어

입니다. 일단 이런 악성코드에 감염되지 않으려면 백신프로그램 설치,윈도우 업데이트는 필수이며 자신이 사용하는 프로그램은 최신으로 유지하면 그리고 출처가 불분명한 사이트에서 파일 다운로드 금지, 그리고 특히 토렌트 같은 곳에서 있는 파일을 통해서도 악성코드가 감염될 확률이 높으면 그리고 기술지원이 중단은 Windows XP,Windows Vista 그리고 2020년에 기술지원이 중단될 예정인 Windows 7은 특히 조심해야 하면 될 수 있으면 Windows 10을 이용하시면 도움이 되면 랜섬웨어 방어 프로그램 또는 보조 백신프로그램을 사용하면 악성코드에 감염되는 것을 최소화할 수가 있을 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

[소프트웨어 팁/보안] - 악성코드 수동 제거 프로그램-Adwcleaner 7.0 업데이트

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 이름이 참 예쁘고 재미있지만 조심해야겠어요
    • 항상 미리 조심하는것이 중요하다고 생각이 됩니다.귀찮더라도 백업은 필수 인것 같습니다.
  2. 이름이 참 예쁘고 재미있지만 조심해야겠어요

평창 동계 올림픽 조직위원회를 겨냥했던 악성코드 Olympic Destroyer

Posted by Sakai
2018.02.20 00:00 소프트웨어 팁/보안

일단 해당 악성코드인 Olympic Destroyer는 기본적으로 지금 열리는 평창 동계 올림픽 조직위원회를 겨냥했던 악성코드입니다.
일단 해당 Olympic Destroyer의 본체는 실행 파일 (EXE) 파일이며, 자신의 내부 (리소스 섹션)에 5개의 난독 화 된 파일을 보유하고 있으면 이러한 파일은 각각 목적을 가진 EXE 파일이며, 필요에 따라 해독에 사용됩니다. 일단 해당 Olympic Destroyer 실행되면 % temp % 폴더에 다음 EXE 파일을 만듭니다.
1) %temp%\ (무작위 문자열) .exe 비밀번호 덤프 도구 (로그인 정보용)
2) %temp%\ (무작위 문자열) .exe 비밀번호 덤프 도구 (브라우저 정보 등 용)
3) %temp%\ (무작위 문자열) .exe PsExec (정규 프로그램, 원격 실행 도구)
4) %temp%\ (무작위 문자열) .exe 웜 활동 · 증거 인멸 ,장애 활동용
일단 기본적으로 1과 2. EXE 파일을 실행하여 OS의 로그인 정보 및 브라우저의 저장 정보 등의 각종 로그인 암호 정보를 훔쳐옵니다.
3과 4 EXE 파일을 이용하여 네트워크를 통한 웜 활동과 파괴 활동을 수행하면서 구체적으로는 GetIPNetTable하여 ARP 테이블 정보를 취득하고 WMI ( SELECT ds_cn FROM ds_computer 쿼리)를 이용하여 얻은 단말 목록 정보를 취득, 그 대상에게 자신이 위에서 드롭 한 PsExec 를 이용하여 원격 대상으로 자신의 복사 및 원격 실행을 할 것으로 웜 활동을 실행하면 이때 획득한 로그인 정보를 가로 열기 액세스 시도에 사용됩니다.
4 EXE 파일은 실행해서 완료되며 다음 증거 인멸 및 파괴 활동에 관련된 동작을 수행합니다.

볼륨 섀도 복사본 (시스템 복원지점) 삭제
시스템 백업 삭제
OS 시동 복구 비활성화
이벤트 로그 (SYSTEM 및 SECURITY) 삭제
모든 서비스 비활성화
파일 공유되는 파일의 일부를 0으로 덮어 파괴
를 진행을 합니다.해당 파괴 동작을 합니다.
그리고 notepad.exe를 숨겨진 상태에서 시작 WriteProcessMemory 따라 코드 주입을 하고 CreateRemoteThread에서 notepad.exe에 기록된 코드를 실행하며. Olympic Destroyer의 본체가 삭제됩니다. (덧붙여 이때 Olympic Destroyer의 본체는 의미 없는 데이터로 덮어쓰기 됨에서 삭제됩니다. 즉 파일을 복원하는 것을 차단하는 동작이 아닐까 생각이 됩니다.) 그 후, notepad.exe는 종료합니다.
일단 해당 해쉬값은 edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9입니다.일단 해당 악성코드는 조금 정치적인 목적이 있지 않을까 생각이 들기도 합니다. 일단 현재에는 백신프로그램에서 탐지되고 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 세상에는 참 대단한 분들이 많은 거 같어요 어떻게 이런 걸 만들 생각을 했는지 정말 이해할 수 없네요
    • 일단 실력 자랑 또는 정치적인 목적 아니면 기타 등등이 있어서 입니다.일단은 좋은 목적은 아니죠.

새로운 CPU 보안 취약점 멜트다운프라임(MeltdownPrime),스펙터프라임(SpectrePrime) 발견

Posted by Sakai
2018.02.18 01:29 소프트웨어 팁/보안

오늘은 지난 시간에 발견된 멜트다운과 스펙터 취약점에 이어서 새로운 취약점이 발견되었다고 합니다. 해당 취약점은 2018년2월15일쯤에 발견이 된 취약점입니다. 일단 해당 취약점은 프린스턴 대학교 (Princeton University)와 그래픽 칩 제조업체인 엔비디아 (Nvidia)에서 근무하는 3명의 연구원에 의해서 발견이 된 새로운 CPU 취약점입니다. 이번 발견된 새로운 보안 취약점은 MeltdownPrime 및 SpectrePrime 익스플로잇은 프로세서의 캐시 무효화를 활용하는 Prime + Probe 라는 공격이며 해당 공격은 CPU 캐시의 항목을 교체하거나 제거하는 방법입니다.

Meltdown과 Spectre는 CPU의 경로 예측 (투기 실행이라고도 함) 중에 단순히 이 캐시를 오염시키는 반면, 새로운 공격은 다른 접근 방식을 이용합니다. MeltdownPrime과 SpectrePrime은 무효화 기반의 일관성 프로토콜을 사용하는 시스템에서 추론적으로 전송되는 쓰기 요청으로 말미암아 발생하며 일관성 프로토콜은 컴퓨터가 캐시와 메모리에 저장된 모든 데이터를 일관성 있게 유지한다는 것을 의미하지만

해당 프로토콜은 작업이 결국 부서지더라도 추측 적 쓰기 액세스 요청으로 말미암아 공유기 코어의 캐시 라인을 무효화가 가능합니다. 멜트다운프라임(MeltdownPrime)과 스펙터프라임(SpectrePrime)취약점은 해당 취약점을 악용하여 악의적인 목적이 있는 사람은 멀티 코어 시스템을 공격해 비밀번호 같은 정보를 훔칠 수 있으며 인텔에 의하면 멜트다운프라임, 스펙터프라임 보안 취약점은 멜트다운, 스펙터 보안 취약점과 유사하며 멜트다운, 스펙터 보안 취약점을 완화하는 업데이트, 패치 등이 멜트다운프라임, 스펙터프라임 보안 취약점에도 효과가 있을 가능성이 있다고 합니다.

더 자세한 내용

일단 해당 취약점은 일단 타임머신이 있다고 하면 CPU 자체의 결합이 발견된 1995년으로 돌아가 해당 CPU 설계원분들에게 알려주어야 해결이 되는 보안 취약점입니다. 그리고 스펙터프라임 취약점 같은 경우에는 인텔 i7 CPU가 탑재된 애플 맥북에서 정확도 99.95%로 취약점에 대한 증명이 되었으며 테스트가 이루어진 애플 맥북에는 맥OS Sierra 10.12.6 버전이 깔렸었는데, 애플에서는 맥 OS High Sierra 10.13.2 버전에서 기존의 스펙터 보안 패치를 완료한 적이 있습니다.

일단 기존 멜트다운과 스펙터 취약점을 이용하는 악성코드들은 돌아다니고 있으니까 일단 해당 보안 업데이트를 하기 싫어도 바이오스 업데이트 및 운영체제 업데이트는 반드시 이루어져야 할 것입니다. 그리고 그나마 다행인지 모르겠지만 멜트다운프라임과 스펙터프라임 취약점을 악용하는 악성코드는 나오지 않았습니다. 다만, 언제 가는 해당 취약점을 이용하는 악성코드가 나올 수가 있겠죠.

일단 조심을 하는 것이 좋을 것입니다. 그리고 해당 취약점에 대해 더 알고 싶은 분들은 해당 보안 취약점을 발견한 분들이 만들어 놓은 PDF 파일을 읽어 보면 될 것입니다. 다만, 영어와 전문용어가 있으니까 해당 부분이 가능하면 보안에 관심이 있으신 분들은 한번 읽어 보시는 것도 좋을 것 같습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 한 번 점검을 해봐야겠네요
    • 예전에 했던 멜트다운,스펙터 패치를 하면 도움이 된다고 합니다.
  2. 저도 점검을 해봐야겠습니다
    좋은 정보 감사합니다
    • 특별하게 아직은 패치가 나오지 않았고 지난번에 나온 보안 업데이트로 완화를 할수가 있다고 합니다.

유블럭 오리진으로 강제 가상화폐채굴 차단 방법

Posted by Sakai
2018.02.12 00:00 소프트웨어 팁/보안

오늘은 유블럭 오리진으로 강제 가상화폐채굴 차단 방법에 대해 알아보는 시간을 가져보겠습니다. 일단 최근에 가상화폐 열풍에 가상화폐를 채굴에 동원하는 악성코드들이 많이 늘어났습니다. 일단 기본적으로 악성코드를 이용하는 방법과 그리고 사이트에 특별하게 스크립트를 사용해서 가상화폐를 채굴하는 것이 많이 늘어났습니다.
이런 것을 Cryptojacking(크립토재킹)이라고 하고 백그라운드 상태에서 CPU 리소스를 사용하여 사용자의 컴퓨터에 가상화폐를 채굴하는데 동원을 해서 악의적인 목적이 있는 사람은 가상화폐를 채굴합니다. 그리고 희생자의 웹 브라우저에 스크립트를로드하고 해당 스크립트에는 고유한 키가 있고 cryptominer 도구는 컴퓨터에 하드디스크에 설치도 하지 않고 저장도 하지 않습니다.
다만, 웹 브라우저가 해당 웹사이트에 접속하는 사용자들의 CPU, GPU를 사용해서 비트코인 및 가상화폐를 채굴하는 것입니다. 그러면 사용자의 컴퓨터 사용률은 높아지고 느려지는 것입니다. 물론 해당 부분이 잘못된 것이 아닙니다.

원래는 웹사이트에 광고를 붙이는 대신에 해당 스크립트 코드를 넣어서 소정의 가상화폐를 채굴하기 위해서 사용을 하는 것입니다. 그러나 최근에서는 해당 코드를 이용해서 토렌트 같은 곳을 통해서 악성코드에 함께 심어 놓아서 사용자의 컴퓨터 또는 스마트폰을 사용량을 증가시켜서 사용자의 컴퓨터 혹은 스마트폰을 고장을 내서 해커들은 금전적인 이익을 추구하면서 문제가 되고 있습니다. 오늘은 간단하게 유블럭 오리진(uBlock filters​​​​​)를 이용해서 해당 스크립트 코드들을 차단하는 방법을 알아보겠습니다.

Canon | Canon EOS 650D

먼저 기본적으로 ​​​​유블럭 오리진(uBlock filters​​​​​)에서는 개인정보 부분에 보면 Adguard Base Filters,EasyList가 보일 것입니다. 해당 부분을 활성화해두고 업데이트를 해주면 됩니다. 그러면 해당 부분에 보면 해당 Adguard Base Filters에서는 Anti-crypto-miners rules이라는 것이 있고 해당 부분에 가상화폐를 채굴하는 스크립트 차단 코드들이 들어가 져 있는 것을 볼 수가 있습니다. 아니면 사용자가 추가로 필터를 추가하는 방법도 있습니다.
예를 들어 해당 추가 필터들은 Adblock등에도 적용이 되는 것이기 때문에 해당 광고 차단 기능을 사용하고 계시는 분들은 한번 이용을 해보는 것도 좋은 방법입니다.

먼저 추가 방법은 간단합니다. 유블럭 오리진(uBlock filters​​​​​)설정을 열어주고 나서 보조 필터로 이동합니다. 그리고 맨 아래로 내려가면 빈칸이 있는 곳이 있을 것입니다. 여기서 해당 코드들을 입력하면 주면 됩니다.
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/nocoin.txt
두 가지인데 여기서 사용자가 여기서 가장 마음에 드는 것을 선택하면 됩니다. 첫 번째 있는 것은 hosts 방법으로 차단하는 방법입니다. 해당 부분을 선택한다고 윈도우 hosts를 변경하는 것이 아니고 단순하게 필터를 열어보면 아래와 같이 나와 있을 것입니다. 예를 들어서 다음과 같이 차단이 됩니다.
0.0.0.0 cnhv.co
0.0.0.0 coin-hive.com
즉 윈도우 호스트 파일을 건드리는 것 없이 해당 코드들이 발견되면 0.0.0.0으로 돌리는 방식으로 연결을 끊어 버리는 방식입니다. 두 번째인 nocoin.txt 방식입니다.

해당 방식은 간단하게 서든파티로 간주해서 차단을 해버리는 방법입니다. 어느 것을 선택하던 자유입니다. 굳이 EasyList같은 경우에도 마찬가지로 서든파티 방식으로 차단합니다. 일단 어느 것을 사용하든 상관이 없습니다. 여기서 저번에 소개해 드린 Anti-WebMiner(안티웹마이너)를 이용을 하는 방법도 있습니다. 해당 방법은 수동으로 업데이트를 하면 윈도우 호스트에 추가하는 방식입니다.
그리고 제일 중요한 것은 컴퓨터에 백신프로그램 설치를 해두었다고 하면 해당 코드가 있으면 감지를 합니다. 즉 굳이 해당 필터를 사용할 필요는 없습니다. 굳이 보안병이 있어서 해당 기능들을 사용해야겠다고 하면 해당 기능을 추가로 설치를 해주면 됩니다. 물론 스마트폰 이용자 분들에게는 도움이 될 것입니다. 그리고 일반적인 DNS를 사용하는 것보다는 Opendns,Norton DNS 등을 이용하는 방법도 도움이 될 것입니다.

해당 기능을 이용하면 미리 악성코드가 있는 사이트는 차단합니다. 참고로 Norton DNS같은 경우에는 학생, 청소년들을 키우고 있다고 하면 공유기에 암호를 걸고 수동으로 Norton DNS에서 3번째 DNS을 선택을 하면 성인사이트 차단할 수 있습니다. 물론 100% 차단을 할 수가 없겠지만 웬만한 것은 다 차단을 하고 악성코드 및 피싱사이트들도 함께 차단을 할 수가 있습니다. 일단 오늘은 이렇게 글자를 적어보았습니다.

컴퓨터를 조카 때문에 강제적으로 포멧하는 바람에 10년치 자료와 하필이면 백업이미지가 있는 외장 하드디스크까지 망가뜨려서 모든 자료가 날아가서 컴퓨터에 의도하지 않게 윈도우 10 클린설치가 되어버렸습니다. 덕분에 노트북 일부 기능을 사용할 수가 없어서 불편하기는 하지만요. 일단 가상화폐채굴 관련해서 골치가 아픈 사람들은 해당 기능을 이용하면 되고 만약 Internet Explorer만을 사용할 수가 있는 환경이라면 일단 Anti-WebMiner(안티웹마이너),Opendns,Norton DNS들을 함께 이용을 해보시는 것도 좋은 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 불편했던 분들은 이용하면 도움이 되겠군요
    • 해당 기능을 사용을 하면 아마도 가상화폐 채굴에 동원이 되는것을 예방을 할수가 있을것입니다.

히든티어로 제작된 변종 카카오톡 랜섬웨어 감염 증상

Posted by Sakai
2018.02.02 00:05 소프트웨어 팁/보안

오늘은 오픈소스 형태로 공개된 교육용 랜섬웨어 제작프로그램인 히든티어(Hidden Tear)이라는 것은 교육용으로 제작되고 있는 랜섬웨어 제작도구입니다. GitHub에서도 공개돼 있습니다. 덕분에 랜섬웨어 제작은 증가하고 있어서 백신프로그램 제작 업체들은 긴장하게 된 프로그램이라고 샐 수가 있습니다. 그래서 덕분에 누구나 쉽게 랜섬웨어를 만들어서 악성코드를 퍼뜨려서 가상화폐를 송금하는 데 이용을 하고 있습니다.
오늘 소개해 드리는 랜섬웨어는 지난 시간에 소개해 드렸던 랜섬웨어인 카카오톡 변종 랜섬웨어입니다.

가장 최근에 나온 아주 따끈한 랜섬웨어라고 할 수가 있습니다. 일단 기본적으로 한국인을 대상으로 제작되었다고 생각이 됩니다. 정식 이름은 변종 KOREAN 랜섬웨어입니다. 이번에 제작된 카카오 톡 랜섬웨어는 일단 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분이 비슷합니다.
해당 랜섬웨어는 Hidden-Tear 오픈 소스 기반으로 제작되었으며 랜섬웨어는 바탕 화면 경로에 있는 파일 중 아래에 해당하는 확장자만 AES 알고리즘으로 구성돼 있습니다. 해당 AES 암호 알고리즘을 이용해서 기존파일명 기존확장자명.암호화됨 으로 암호화를 진행하고 비트코인을 요구합니다. 대략 가상화폐를 한화으로 환전을 했다고 하면 약 13,500,000원 정도 될 것으로 생각합니다.

해당 랜섬웨어가 암호화하는 대상은 다음과 같습니다.
.txt,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.sln,.php,.asp,.aspx,.html,.xml,.psd,.URL,.kys,.bat,.java,.hwp,.zip,.mp3,.bmp,.rtf,.pdf입니다.

그리고 지난 2016년 8월에 발견된 악성코드과 비교하여 보면 토르 사이트 주소는 같고 폰트와 이미지, 암호화 대상 확장자 등 바뀌었으며 특히 기존에는 %위로 사용을 했지만 이제는  응위 로 작성되었으면 해당 랜섬웨어 제작자가 이번에 조금 변화를 준 것을 확인할 수가 있습니다.
C:\Users\test\Desktop\소스\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\KakaoTalk.pdb
C:\Users\power\Desktop\VapeHacksLoader\obj\Debug\Minecraft.pdb

랜섬웨어 제작자 고객 센터 이메일 주소: powerhacker03@hotmail.com
토르 사이트:http://2dasasfwt225dfs5mom.onion.city
그리고 암호화에 사용하는 확장자가 암호화됨이라는 한국어인 점과 한국에서 사용하는 메신저 앱인 카카오 톡 이미지를 사용하고 한국에서 만든 나무 위키를 이용한다는 점 비트 코인 구매 방법으로 한국에 있는 가상화폐 거래소 등을 이용하는 점에서 한국인이 제작한 것 확률이 매우 높습니다. 일단 지난 카카오톡 랜섬웨어하고 제작자는 같습니다.

일단 기본적으로 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내려고 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다. 일단 해당 랜섬웨어 제작자는 지난주에 소개해 드린 koreanLocker Ransomware등의 많은 랜섬웨어를 제작을 한 것을 알 수가 있습니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어)

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 악성코드 수동 제거 프로그램-Adwcleaner 7.0 업데이트

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 모바일도 안심해서는 안되겠군요
    • 해당 랜섬웨어는 모바일용이 아니라 컴퓨터에 감염이 되는 랜섬웨어 입니다.
  2. 교육용 랜섬웨어 제작툴이 엄한데 사용되고있나보네요;;
    • 원래는 교육용인데 그걸을 악용한것이죠.우리가 살아가는것도 마찬가지이죠.원래는 좋은 의도로 만들었는데 이것을 범죄에 이용을 하는것과 비슷하지 않을까 생각이 됩니다.

가상화폐 채굴을 하는 악성코드-RubyMiner(루비마이너)

Posted by Sakai
2018.01.24 17:04 소프트웨어 팁/보안

최근에 전 세계적으로 뜨겁게 관심이 있는 것이 아마도 가상화폐일 것입니다. 그래서 가상화폐 투자를 하는 분들도 많이 있고 뉴스를 보면 가상화폐투자를 위해서 해외로 나가서 가상화폐에 채굴하시는 분들도 있습니다. 최근에는 악의적인 목적이 있는 사람 즉 악성코드 제작자들은 예전에는 랜섬웨어를 제작을 해서 가상화폐를 송금하는 방식을 이용하고 있지만, 최근에서 가상화폐를 채굴하기 위해서 악성코드를 만들어서 사용자 컴퓨터를 감염을 시켜서 사용자 컴퓨터를 가상화폐 채굴에 이용해서 컴퓨터를 망가뜨리거나 스마트폰이 고장이 나는 현상이 발생하고 있습니다.

최근에서는 새로 나온 RubyMiner에 대해 간단하게 알아보는 시간을 가져 보겠습니다. 해당 악성코드는 cryptocurrencies(가상화폐)채굴을 목표로 하고 있으며 이로 말미암아 컴퓨터가 응답 속도가 느려지고 성능이 저하 및 과열로 컴퓨터가 고장이 날 수가 있습니다.

일단 해당 CryptoCurrency Miner인 루비 마이너(RubyMiner)는 기본적으로 컴퓨터 백그라운드에서 익명의 암호화 터널을 찾기 시작하는 프로세스를 실행하며 컴퓨터 속도가 느리고 다른 유형의 시스템이 정지되고 처리 메모리 오류가 발생하면 기본적으로 해당 악성코드 전파 방식은 가짜 실행 파일 또는 악성 웹 링크를 통해 악성코드에 의해서 감염이 됩니다. 예를 들면 다음 같은 경우가 있을 것입니다.
가짜 게임 패치
실제로 실행 파일인 토렌트 파일
소프트웨어 또는 게임의 가짜 설정
가짜 라이센스 활성화 소프트웨어

등을 통해서 악성코드가 감염됩니다. 그리고 단축주소를 이용하는 방법도 동원됩니다. 그래서 함부로 단축주소는 클릭하는 것을 자제해야 합니다.
RubyMiner에 감염되면 컴퓨터에서 파일이 삭제되기 시작하며 Ruby Miner 파일을 삭제할 수 있는 기본 폴더는 다음과 같습니다.
%AppData%
%Local%
%LocalLow%
%Roaming%
%Temp%
그리고 RubyMiner의 주요 활동은 컴퓨터에서 CPU와 GPU (비디오 카드 및 중앙 처리 장치)의 90% 이상을 활용하는 마이너를 실행하는 것입니다. 이러한 활동으로 말미암아 맬웨어는 암호 해독 토큰을 생성하고 이를 RubyMiner 감염의 뒤에 있는 악성코드 제작자 암호 해독 지갑에 추가할 수 있으며 일반적으로 컴퓨터를 여러 컴퓨터에 있는 마이닝 풀에 연결하면 마이닝 프로세스가 간단 해지며 악성코드 제작자가 자신의 지갑에 감염되어 연결된 컴퓨터가 많을수록 PC의 시간에 암호화 토큰을 빠르게 생성할 수 있으며 이 외에도 맬웨어는 컴퓨터 시스템에서 오랜 시간 동안 머무르는 것을 목표로 하기 때문에 오랜 시간 동안 컴퓨터를 사용하면 구성 요소가 손상될 수 있습니다. 그리고 이를 예방하는 방법은 백신프로그램을 설치를 설치하고 의심스러운 웹사이트에서는 파일다운로드 실행을 하지 말아야 하면 그리고 토렌트 같은 곳에서 내려받은 파일은 함부로 실행을 해서는 안 될 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

Posted by Sakai
2018.01.23 16:34 소프트웨어 팁/보안

오늘은 간단하게 한국의 유명 메신저인 카카오톡을 사칭하는 랜섬웨어인 KOREA Ransomware(한국 랜섬웨어)에 대해 알아보는 시간을 가져 보겠습니다. 먼저 오늘은 오리지널 버전부터 시작하겠습니다. 해당 KOREA Ransomware(한국 랜섬웨어)은 일단 지난 시간에 소개해 드린 한국스타일랜섬웨어하고 제작자가 동일한것으로 판단이 됩니다.

일단 이메일 주소가 똑같기 때문입니다. AES-256 알고리즘을 통해 파일의 내용을 암호화하는 Ransomware 유형의 트로이 목마입니다. 먼저 해당 랜섬웨어에 감염이 되면 랜섬웨어는 다음과 같이 파일을 만들기 시작을 합니다.
C:\Users\W7_MMD\Desktop\ReadMe.txt이라는 파일을 생성합니다. 그리고서 해당 랜섬웨어는 CreatePassword () 함수를 통해 15바이트 길이의 암호를 생성하여 실행을 시작합니다.

[보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

그리고 다음의 파일을 암호화합니다.
.txt,.doc,.doc,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.hwp,.pdf,.php,.asp,.aspx,.html,.xml,.psd
그리고 나서 EncryptFile 함수를 사용하여 시스템 바탕 화면에 있는 파일의 내용을 수정을 시도합니다. 사용자에게 알리는 것은 2가지로 알려줍니다.

첫 번째 알림용 화면은 카카오 톡 캐릭터를 이용해서 해골이 있는 부분 그리고 두 번째 화면은 결제용으로 사용자에게 알려줍니다.
내용은 다음과 같습니다.
당신의 파일이 암호화되었습니다. 토르 브라우저를 다운로드하고 httx://www.torproject.org/projects/torbrowser.html.en
httx://t352fwt225ao5mom.onion
당신의 키를 입력하세요. 그 후 결제 프로세스를 진행하십시오.
그리고 두 번째인 결제 화면에서는 당신은 파일이 암호화되었습니다. 아래 주소로 가서 암호화를 풀기 위한 정보 확인을 할 수가 있습니다.
2dasasfwt225dfs5mom.onion
% 위 사이트를 가려면 Tor브라우저가 필요함
1246C9FE1BD1FBE35D9E193A352970456975E4F905C7AF1103071BA700814231
으로 구성이 돼 있습니다.

그리고 사이트 t352fwt225ao5mom.onion에서 25개 언어로 인터페이스 언어를 선택할 수가 있으며 CryMIC 에서 해독서비스를 생각이 들기도 하는 랜섬웨어입니다. 그리고 해당 랜섬웨어 제작자는 약 2개월 동안 일하고 있었던 것을 확인할 수가 있습니다.
일단 기본적으로 이메일 및 악의적인 첨부파일을 통해서 전파가 됩니다. 그리고 마지막으로 원래 실행 파일의 복사본은 cmd.exe 명령 프롬프트를 통해 삭제됩니다.

네트워크 연결 및 연결 :
이메일:powerhacker03@hotmail.com
httx://www.torproject.org/projects/torbrowser.html.en
httx //t352fwt225ao5mom.onion
httpx://2dasasfwt225dfs5mom.onion.city

dkqskej,

입니다. 그리고 지난 시간에 소개해 드린 KoreaLock한국스타일 랜섬웨어 하고 악성코드 제작자 이메일이 똑같아서 해당 랜섬웨어는 한국인이 만들 것으로 추정됩니다.

그리고 랜섬웨어 메시지 내용은 다음과 같습니다.
당신의 파일이 암호화되었습니다. 비밀번호라는 메시지를 볼 수가 있습니다.

바이러스토탈 결과

Korean-HT.exe
MD5: 913031b8d460367501a8e84c4143d627
SHA1: f7a78789197db011b55f53b30d533eb4297d03cd
SHA256: 1ad95b74b1e10f41b4ac7d2ee96c74e99f237e1e5717d9e59273a81477d8c9b6
Korean-HT2.exe
MD5: e9dd12f20b0359266e2e151f64231e50
SHA1: ab5dc6e44029dc56d0dd95b75c3db901b7fe629a
SHA256: 8997e8d0cdefde1dbd4d806056e8509dea42d3805f4ac77cff7021517ad1ba06
입니다.

<기타 관련 글>

[보안] - 랜섬웨어 예방 프로그램-RansomStopper

[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 아하하; 이제는 카톡 랜섬웨어인가요.. 별게 다 나오네요..
    • 예전 부터 있었습니다.이거는 최근 변종된 것이 아니고 2016년쯤에 나온 랜섬웨어 입니다.
  2. 역시 유명한 카카오톡을 이용한 랜섬웨어도 나왔네요
  3. 카카오톡을 이용한 랜섬웨어도 있군요..
  4. 랜섬웨어... 헐...
    • 다양한 랜섬웨어가 있는것 같습니다.

이미지 도용건 법적 처벌 관련 첨부 파일을 통한 가상 화폐 채굴 악성코드

Posted by Sakai
2018.01.18 15:54 소프트웨어 팁/보안

오늘은 이미지 도용 법적 처벌 관련 첨부 파일을 통한 가상 화폐 채굴 악성코드에 대해 알아보겠습니다. 개인적으로 그냥 막사용을 하는 이메일에 보니 해당 메일이 오게 되어서 호기심에 한번 적어 보게 되었습니다. 일단 이메일에 첨부 파일(.egg)로 돼 있고 최근에 화두가 되는 가상화폐를 채굴을 목적으로 하고 있습니다. 일단 이메일 제목은 다음과 같습니다. 제가 제작한 그림을 허가 없이 사용하고 있으셔서 메일 드립니다.(법적 제재도 가능)
이라는 제목과 그리고 이메일 내용은 다음과 같습니다.
안녕하세요.
귀사의 홈페이지에 게시되어 있는 이미지중에
제가 직접 제작한 것으로 저작권법에 위반되는 사항입니다.
제가 제작한 원본 이미자와 사용하신 이미지를 압집으로 압축해서 같이 보내드립니다.
확인하시고 조치 부탁드릴게요
솔직히 법적대응 이런건 지금은 생각은 없어요
괜히 복잡해지기만 할꺼같구요.
근대 아무런 조치를 취해주지지 않으시면
저도 방도가 없습니다.
이런 부분 이해부탁드리고
조치를 취해주신후 확인 메일 부탁드릴게요.
감사합니다.

즉 일단 글은 여자가 작성한 것 같은 느낌이 되고 그리고 저작권 위반했으니까 해당 압축 파일 즉 알집이 사용하는 egg로 된 압축된 파일로 구성돼 있습니다.
모네로(Monero) 가상 화폐 채굴작업을 진행하며 해당 가상화폐 채굴 기능을 수행하는 svchoste.exe 프로세스의 CPU는 50% 수준을 유지하면 만약 svchost.exe 프로세스의 CPU 사용률이 100% 수준으로 치솟을 때는 자동으로 종료하고 재실행하는 형태를 보이고 있습니다. 그리고 만약 사용자가 작업 관리자(Taskmgr.exe)를 실행하여 프로세스를 확인하려고 시도하면 자동으로 svchost.exe 프로세스를 종료 처리하여 작업 관리자가 종료될 때까지 대기한 후 재실행되도록 제작되어 있습니다.

이런 악성코드에 감염되며 가상 화폐 채굴용 악성코드가 장시간 컴퓨터에 설치되어서 동작하면 CPU의 과도한 사용으로 말미암은 전기 요금 상승, 컴퓨터 과도하게 사용으로 말미암아서 컴퓨터가 망가질 수가 있으며 전체적으로 시스템 성능 저하를 유발할 수도 있으므로 메일 첨부 파일을 함부로 실행하지 않으면 백신프로그램은 반드시 설치해서 실시간 감시,최신업데이트를 유지하는 것이 이런 악성코드에 감염되는 것을 최소화할 수가 있습니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 이미지 도용했다고 첨부파일로 악성코드를 감염시키다니..
    첨부파일은 무조건 검사해봐야겠네요
    • 아마도 비슷하게 사용자의 불안한 심리를 이용을 하는것 같습니다.
  2. 지능화되네요. 점점
    • 사람의 불안한 심리를 이용을 하는것 같습니다.
  3. 날이갈수록 무섭네요..
    이제는 하다못해 제작한 그림을 사용했다는 (법적 제재도 가능) 메일을 받으면
    누구나 깜짝 놀라겠습니다. 특히 블로그 하시는분들이라면;;

    첨부파일은 백신프로그램으로 정밀검토 한 후에 열어봐야겠습니다.
    오늘도 좋은 글 감사합니다.^^
    • 특히 회사 같은 곳에서는 저런 메일을 받으면 안열어 볼수 밖에 없을것 같습니다.

MadBit Ransomware 감염 증상 및 예방 방법

Posted by Sakai
2018.01.10 00:00 소프트웨어 팁/보안

오늘은 간단하게  MadBit Ransomware 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 먼저 Ransomware (랜섬웨어)라고 하는 것은 간단하게 이야기하면 먼저 AES 및 RSA 같은 암호화 알고리즘을 이용해서 사용자의 컴퓨터에 있는 사진, 동영상 파일들을 암호화해서 해당 감염된 사용자에게 옛날에는 현금을 요구했지만, 최근에는 가상화폐인 비트코인을 요구하는 악성코드입니다.

먼저 해당 랜섬웨어인 MadBit는 파일은 AES 군사 등급 암호화 알고리즘으로 파일을 잠그며 MadBit cryptovirus는 데이터와 파일을 암호화하고. enc 확장자를 각 파일에 추가를 진행합니다.
일단 기본적으로 MadBit Ransomware은 기본적으로 스팸 메일, 이메일 첨부 파일 등으로 전파가 되는 랜섬웨어 입니다.MadBit ransomware는 다양한 방식으로 감염을 확산이 되고 있으며 랜섬웨어에 대한 악의적인 스크립트를 시작하는 페이로드 드로퍼 (payload dropper)를 통해서 인터넷을 통해서 악성코드가 유포됩니다. 물론 MadBit ransomware는 우리가 사용하는 트위터, 인스타그램, 페이스북 등 SNS를 통해서 전파도 가능한 랜섬웨어 입니다.
MadBit ransomware는 Windows 레지스트리에 항목을 만들어서 지속성을 유지하면서 Windows 환경에서 프로세스를 시작하거나 제어를 할 수 있습니다. 이러한 항목은 일반적으로 Windows 운영 체제를 시작할 때마다 자동으로 악성코드를 시작하도록 설계돼 있었습니다.
그리고 몸값을 받으려고 랜섬웨어 노트를 보여 주며 제목은 다음과 같습니다.

madbit encryptor: Hello, you are encrypted!이라는 메시지를 볼 수가 있습니다. 그리고 나서 몸값을 받기 위한 랜섬웨어 노트를 사용자에게 보여줍니다.

***!WARNING!***
***YOUR COMPUTER ARE INFECTED***
***ALL DATABASES, SITES AND USERS HOME FILES HAVE BEEN ENCRYPTED***
================================================
>>>You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.<<< ***After payment we will send you the decryption tool ,that will decrypt all your files.*** ===FREE DECRYPTION AS GUARANTEE=== ===Before paying you can send to us up to 1 files for free decryption=== Please note: that files must NOT contain valuable information and their total size must be less than 1Mb === Important information === YOUR COMPUTER UID : COPY&SEND YOUR UID TO EMAIL'S : adaline.lowell.85@mail.ru ================================================ ***!WARNING!*** ===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===
The following e-mail address is used to contact the cybercriminals:
adaline.lowell.85@mail.ru
굳이 한국어로 번역하면 다음과 같은 내용이 될 것입니다.
***!경고!***
*** 귀하의 컴퓨터가 감염되었습니다 ***
*** 모든 데이터베이스, 사이트 및 사용자 홈 파일은 암호화되었습니다 ***
======================================================================================================
>>> Bitcoins에서는 암호 해독에 대한 비용을 지급해야 합니다. 가격은 당신이 우리에게 쓰는 속도에 달렸습니다. <<< *** 지불 후 모든 파일을 해독할 수 있는 해독 도구를 보내드립니다. *** === 보장된 무료 진술 ============================================================================================================================ 지급하기 전에 무료 암호 해독을 위해 최대 1개의 파일을 보낼 수 있습니다.
===주의 사항 : 파일에 유용한 정보가 없어야 하며 총 크기는 1Mb보다 작아야 합니다.
=== 중요 정보 === 사용자 컴퓨터 UID : 복사 및 보내기 이메일로 이동 : adaline.lowell.85@mail.ru ==================================== ======
경고! *** === ****rnadbit***madbit***madbit***madbit***madbit ***rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit **** ===
adaline.lowell.85@mail.ru

이라는 메시지를 볼 수가 있으면 이메일은 해당 랜섬웨어 제작자와 연락을 하려고 사용이 되는 이메일입니다.
암호화할 파일 확장명 목록 :
MS Office 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 아카이브 등입니다.
Ransomware 관련 파일은 다음과 같습니다.
WindowsProcessor.exe(Cmd.exe)
그리고 랜섬웨어가 사용하는 위치는 다음과 같습니다.
\Desktop\
\User_folders\
그리고 사용자가 윈도우에서 기본적으로 설치되어서 작동하는 윈도우 복원지점을 통해서 파일을 복구하는 것을 막으려고 랜섬웨어는 다음의 명령어를 통해서 해당 윈도우 복원지점을 삭제합니다.
vssadmin.exe delete shadows /all /Quiet
이런 랜섬웨어에 감염이 되지 않으려면 일단 기본적으로 윈도우 업데이트는 최신 상태를 유지하고 그리고 백신프로그램은 반드시 설치 및 실시간 감시 최신갱신을 유지해야 하면 그리고 토렌트 같이 출처가 불분명한 사이트에서 파일을 내려받기 및 설치 그리고 이메일에서 링크 같은 것은 함부로 눌리거나 파일을 내려받기해서 실행하는 것에 대해서 주의해야 합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

Posted by Sakai
2018.01.09 15:44 소프트웨어 팁/보안

오늘은 간단하게 KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상에 대해 알아보겠습니다. 일단 해당 KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상은 기본적으로 한국어로 구성된 랜섬웨어 입니다. 일단 해당 랜섬웨어에 감염이 되면 AES를 사용하여 사용자 데이터를 암호화한 다음 1 BTC에서 사용하여 파일을 복원해야 합니다. 일단 스팸 메일 및 악의적인 첨부 파일, 악의적으로 조작된 웹사이트, 가짜 프로그램으로 가장한 업데이트, 불법으로 수정된 설치 프로그램을 사용하여 보호되지 않은 RDP 구성을 통해 해킹하여 배포할 수 있습니다. 그리고 해당 랜섬웨어가 암호화하는 파일은 다음과 같습니다.
암호화할 파일 확장명 목록: MS Office 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 아카이브 등입니다.
KoreanLocker.exe (hidden-tear.exe) MD5:08b583f29b7c1e7dc73def817b492bb3
(random).exe
README.txt
파일 위치
\Desktop\
\User_folders\
해당 랜섬웨어가 암호화에 성공하면 비트코인을 받아내기 위해서 랜섬 노트를 생성하고 랜섬노트 내용은 다음과 같습니다.

------------------ koreanLocker Ransomware ------------------
당신의 컴퓨터가 랜섬웨어에 감염되었습니다
당신의 개인적 파일, 예를들어 사진, 문서, 비디오 외 다른 중요한 문서들이 RSA-2048이란 강력한 암호화 알고림즘을 이용하여 암호화되었습니다.
당신의 개인키는 우리의 서버에 생성되어 저장되었습니다.
그렇게되면 그 누구도 당신의 파일을 영원히 복호화 할 수 없습니다
그리고 장담하건데 개인키가 없이는 절대 복호화가 이루어지지 않습니다
다시한번 말하지만 비트코인을 지불하는것 외해 복호화 할 수 있는 방법은 존재하지 않습니다
당신에게 할당된 비트코인 주소를 반드시 확인하세요. 한글자라도 틀리게 입력하여 보내시면 복구가 되지 않고 당신의 비트코인은 사라지게됩니다
당신은 24시간안에 지불하셔야합니다
당신의 개인ID(personal ID)를 반드시 확인하세요
만약 그 시간안에 지불하지 않으면 당신의 개인키는 자동적으로 우리의 서버에서 지워지게됩니다
명심하세요
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
세가지 스텝을 따라 당신의 파일을 복구하세요
시간을 낭비하시지 마세요
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (.txt)를 보실 수 있습니다
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달려있음을 명심하시기 바랍니다.
추가정보:
1).지불은 비트코인 만으로만 가능합니다. 따라서 1비트코인(1BTC)를 비트코인 거래소를 통하여 구매하세요. 그 후 화면(랜섬노트)비트코인 주소(Bitcoin Address)로 1비트코인(1BTC)를 송금하세요
2).당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요
3).지불을 완료하시고 메일을 보내시주시면 당일의 메일로 복호화툴과 개인키를 보내드립니다
4) 비트코인을 송금하시고 메일로 개인ID(Personal ID)를 코리아 공식메일 주소로 보내주세요
***
개인키(Private Key)는 당신의 파일을 복호화하여 복구하는데 아주 중요한 키 입니다
공개키(Public key)는 당신의 파일을 암호화하는 데 사용되었습니다.
공식주소: www.bithumb.com
공식주소: www.coinone.com
공식주소: www.localbitcoins.com
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Officail Mail: powerhacker03@hotmail.com
***
Best Regards
Korean Ransomware Team
------------------ koreanLocker Ransomware ------------------

그리고 네트워크 연결을 하는 목록은 다음과 같습니다.

Email: powerhacker03@hotmail.com
BTC: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
htt0://10.0.2.15/Ransom.php?info=
httpX://namu.wiki/w/RSA%20암호화

입니다. 여기서 특이한 것은 나무 위키로 연결이 포함된 것을 볼 수가 있습니다. 아마도 나무위키를 아는 것으로 보아서 한국인 또는 한국에 대해서 잘 아는 사람이 제작한 걸로 추측을 할 수가 있습니다.

C:\\Users\\%USERPROFILE%\Desktop\Hidden-tear-2.0-master\hidden-tear\hidden-tear\obj\Debug\hidden-tear.pdb
%USERPROFILE%\Desktop\Calculator.lnk
%USERPROFILE%\Desktop\MineSweeper.lnk
%USERPROFILE%\Desktop\Paint.lnk
%USERPROFILE%\Desktop\README.txt
%USERPROFILE%\Desktop\Sticky Notes.lnk

등을 생성합니다. 일단 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내기 위해서 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

윈도우 정품 인증 툴 KMSpico에 포함이 된 가상화폐 채굴 악성코드 발견

Posted by Sakai
2017.12.26 00:11 소프트웨어 팁/보안

오늘은 아마도 윈도우 정품을 구매하지 않고 윈도우 정품 인증을 하려고 사용을 하는 윈도우 정품 인증 툴 KMSpico에서 가상화폐 채굴 악성코드가 포함되었다는 소식입니다.

가상화폐 모네로를 채굴을 하는 코드가 포함된 것을 확인되었습니다. 일단 모네로(Monero)는 단축코드는 XMR이며 2014년 4월 18일에 시작이 되었으며 발행방식은 PoW(Proof-of-Work, 작업 증명)으로 하면 모네로(Monero)라는 이름은 에스페란토 어로 동전을 뜻하며 비트코인의 블록체인가 다르게 모네로는 CryptoNote 프로토콜을 채택하여 사용자의 익명성을 보장합니다.

CryptoNight라는 독자적인 작업증명 기법을 사용하며 채굴기(ASIC 채굴기)와 이를 소유한 자본에 의해 탈 중앙화(decentralization)적 가치가 훼손되는 것을 막고 있으며 1CPU당 1표(one-CPU-one-vote) 식 PoW를 구현했으면 한마디로 CPU가 좋으면 CPU로도 잘 캐진 다는 것입니다. 일단 기본적으로 가상화폐 채굴 악성코드에 감염되면 사용자 컴퓨터의 CPU,GPU 사용률은 상승해서 사용자의 컴퓨터 고장의 원인이 되기도 할 것입니다.

Canon | Canon EOS DIGITAL REBEL

KMSpico는 윈도우 정품 인증 툴로서 크랙버전(일명 복돌이)을 사용하는 윈도우,마이크로소프트 오피스등의 불법 정품인증도구로 사용됩니다. 일단 기본적으로 해당 KMSpico ISO 파일을 풀고 포함이 된 KMSPico 10.2.2 Final이 있습니다.

일단 해당 파일인 KMSPico 10.2.2 Final SHA256:2229f604bcbd3ad8064ec7854edad85d49bd70bb94fe1a21340038d0c9b64dc7은 기본적으로 PUP/Win32.Amonetize.R215175로 진단을 하고 있으면 해당 파일을 실행하면 다음과 같이 폴더와 파일을 생성합니다.

C:\Program Files\KMSPico 10.2.2 Final
C:\Program Files\KMSPico 10.2.2 Final\INSTALL_KMS.bat
C:\Program Files\KMSPico 10.2.2 Final\KMSPico Setup.exe
SHA256:fed1b2c40ab8fde0a3813266ab76d40a32afe8480f609d4718a46f931cf5dbb9

PUP/Win32.Amonetize.R215175

바이러스토탈 결과

C:\Program Files\KMSPico 10.2.2 Final\KMSpico_patch.exe
SHA256:9c41ea2ea06efd9c65d7bab818f61c862f981a6765a3d0f602a5b0122f0184de
PUP/Win32.DealPly.R214963

바이러스토탈 결과

C:\Program Files\KMSPico 10.2.2 Final\win32.exe:시작 프로그램(jXuDLnugma) 등록 파일을 하면 가상 화폐(모네로)로 채굴에 동원됩니다.
그리고 레지스터리에 다음과 같이 등록을 합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce- jXuDLnugma = "C:\Users\%UserName%\AppData\Local\KAUNCU~1\win32.exe

그리고 jXuDLnugma를 컴퓨터가 부팅을 할 때마다 실행되어서 가상화폐인 모네로 채굴을 시도합니다.
그리고 사용자가 컴퓨터가 느려지거나 평상시보다 냉각 펜이 많이 돌아서 작업 관리자(Taskmgr.exe)를 통해서 CPU 사용률을 확인을 할려고 하면 악의적인 프로세스로 활용되는 notepad.exe 프로세스를 자동 종료해서 가상화폐 채굴을 하는 것을 숨기면 사용자가 작업 관리자를 종료하면 다시 재실행하여 모네로 가상화폐 채굴을 계속합니다.

notepad.exe 프로세스를 자동 종료해서 가상화폐 채굴을 하는 것을 숨기면 사용자가 작업 관리자를 종료하면 다시 재실행하여 모네로 가상화폐 채굴을 계속합니다.
일단 보조 백신프로그램인 Zemana AntiMalware에서는 기본적으로 실시간 감시를 하고 있을 때는 Zemana AntiMalware에서 백신프로그램보다 먼저 해당 가상화폐 채굴 악성코드들을 먼저 차단하는 것을 확인되었습니다.

일단 최근에 가상화폐 열풍에 해당 부분에 아마도 가상화폐 채굴 악성코드가 늘어가는 것 같습니다.
일단 이런 악성코드에 감염되기 싫으면 깔끔하게 정품을 사용하는 것이 컴퓨터를 안전하게 사용하는 방법이면 백신프로그램은 항상 설치를 해두어야지 이런 악성코드에 감염되는 것을 최소화할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 저도 최근에 본 정보인데 조심해야겠어요.
    물론 전 정품을 사용하지만요.
    • 확실히 크랙에서는 악성코드들이 많이 있더라고요.
  2. 비트코인 관련 악성코드가 없을 리가 없지요 덕분에잘 알고 갑니다
    • 이제는 송금 방식에서 채취로 바뀌어 가는것 같습니다.
  3. 불법프로그램에 심어놓고 일시키는 악성코드군요..
    저런거 만들 실력으로 도움되는 프로그램을 만들면 더 좋을텐데 말이죠..
    • 처음 부터 정품을 이용을 하는것이 좋고 오피스 프로그램은 리브레오피스 같은 것을 이용을 하는 방법도 좋은 방법인것 같습니다.
  4. 불법 인증 프로그램을 쓰시던 분들은 빨리 정품으로 새로 설치해야겠네요. 좋은 정보 감사합니다
    • 확실히 정품이 제일 안전한것 같습니다.

File Locker Ransomware(파일락커 랜섬웨어)감염 증상 및 예방 방법

Posted by Sakai
2017.12.23 17:07 소프트웨어 팁/보안

오늘은 한국과 영어권 사용자를 노리는 File Locker Ransomware(파일락커 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 랜섬웨어는 한국어로 친절하게 제작이 돼 있는 랜섬웨어입니다. 일단 기본적으로 랜섬웨어에 감염이 되면 랜섬웨어가 파일을 암호화 파일들을 풀어주는 대가로 5만 원 또는 미국 달러 50달러를 요구합니다. 일단 해당 랜섬웨어의 특징은 다른 랜섬웨어 보다는 다른 점은 정적 암호인 dnwls07193147 통한 AES 암호화를 사용하므로 쉽게 해독할 수 있을 수가 있습니다. 해당 랜섬웨어에 감염이 되면 기본적으로 감염된 파일 확장자 들은 .locked 확장자로 변경됩니다.
그리고 해당 파일락커 랜섬웨어는 컴퓨터에 있는 다음 파일들을 검색하고 파일을 암호화를 시도합니다.

.txt, .doc, .docx, .xls, .index, .pdf, .zip, .rar, .css, .lnk, .xlsx, .ppt, .pptx, .odt, .jpg, .bmp, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .bk, .bat, .mp3, .mp4, .wav, .wma, .avi, .divx, .mkv, .mpeg, .wmv, .mov, .ogg, .java, .csv, .kdc, .dxg, .xlsm, .pps, .cpp, .odt, .php, .odc, .log, .exe, .cr2, .mpeg, .jpeg, .xqx, .dotx, .pps, .class, .jar, .psd, .pot, .cmd, .rtf, .csv, .php, .docm, .xlsm, .js, .wsf, .vbs, .ini, .jpeg, .gif, .7z, .dotx, .kdc, .odm, .xll, .xlt, .ps, .mpeg, .pem, .msg, .xls, .wav, .odp, .nef, .pmd, .r3d, .dll, .reg, .hwp, .7z, .p12, .pfx, .cs, .ico, .torrent, .c

일단 한국 사람들이 가장 많이 사용을 하는 문서 형식인 hwp도 포함된 것을 확인할 수가 있으면 토렌트 관련 파일도 함께 암호화해버리기 때문에 토렌트를 사용을 하시는 분들에게는 불편함을 줄 수도 있습니다. 일단 크게 다른 랜섬웨어 보다는 목표를 하는 파일 수는 적은 것을 확인할 수가 있습니다.
그리고 파일이 암호화가 완료되면 Warning!!!!!!.txt라는 텍스트 파일을 생성하고 해당 파일을 통해서 몸값을 받으려고 시도를 합니다.
그리고 해당 텍스트 파일을 열어보면 다음과 같은 글이 적혀져 있습니다.

한국어: 경고!!! 모든 문서, 사진, 데이테베이스 및 기타 중요한 파일이 암호화되었습니다!!
당신은 돈을 지불해야 합니다
비트코인 5만원을 fasfry2323@naver.com로 보내십시오 비트코인 지불코드: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
결제 사이트 http://www.localbitcoins.com/
English: Warning!!! All your documents, photos, databases and other important personal files were encrypted!!
You have to pay for it.
Send fifty thousand won to fasfry2323@naver.com Bitcoin payment code: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT Payment site http://www.localbitcoins.com/

일단 한국어 부분에 주어진 비트 코인 주소는 실크로드(Silk Road)게시 중단 계정입니다. 일단은 목적은 비트코인이 목적인 것을 확인할 수가 있습니다. 그리고 해당 부분의 개인적인 생각을 적자고 하면 해당 부분에 보이는 네이버 계정은 아마도 도용당한 네이버 계정이거나 부정적으로 발급이 된 이메일 계정이 아닐까 생각이 됩니다. 저번에 매트릭스 랜섬웨어 처럼 말이죠. 그리고 두 가지 지갑에 대한 많은 거래가 이미 수집되었습니다. 하나는 현재 거의 30 BTC이고 다른 하나는 2 BTC보다 많습니다. 거래 날짜는 최근 지불을 나타내고 있습니다.
일단 해당 랜섬웨어의 해쉬값은 다음과 같습니다.
파일 이름: File-Locker Ransomware.exe
SHA256: b6b5e455c4ebe875907aa185988c2eb654ed373dc0e6b712a391069d63dc5c3f
아마도 랜섬웨어 제작자들이 제일 싫어하는 보안 업체인 Emsisoft 쪽에서 랜섬웨어 복원화 도구를 만들어 낼 것 같습니다. 그리고 바이러스 토탈 결과입니다. 일단 진단이 되지 않는 백신프로그램이 있는데 해당 부분들은 시간이 지나면 업데이트가 될 수가 있으니까 해당 부분은 그냥 참고만 하시면 될 것 같습니다.
네트워크 연결: 없음
이메일:fasfry2323@naver.com
한국어 텍스트의 BTC(비트코인 주소):1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
영어 텍스트의 BTC(비트코인 주소):1BoatSLRHtKNngkdXEeobR76b53LETtpyT

바이러스토탈 결과
일단 기본적으로 이런 랜섬웨어로 부터 컴퓨터가 악성코드가 감염되는 것을 방지하려면 최소한 윈도우 업데이트는 기본적으로 하고 윈도우 업데이트를 하기 귀찮다고 하면 윈도우 업데이트는 자동 업데이트 부분을 수동으로 변경하지 않으면 윈도우는 인터넷에 연결이 되어져 있으면 기본적으로 보안 업데이트를 진행을 합니다. 그리고 나서 사용을 하는 프로그램은 최신 업데이트로 유지를 하면 그리고 백신프로그램도 함께 실시간 감시, 최신 업데이트로 유지를 하는 것이 중요합니다. 그리고 토렌트 같은 곳에서 파일을 함부로 다운로드 및 실행을 하는 것도 주의하시길 바랍니다. 그리고 지난번에 소개해 드린 우크라이나를 노린 랜섬웨어 처럼 아마도 특정 지역, 특정 국가 및 언어를 사용하는 랜섬웨어는 증가할 것으로 생각합니다. 그리고 또 다른 방법으로는 윈도우에서 사용을 하는 스크립트 기능을 무력화시켜버리는 방법도 있습니다. 먼저 레지스트리 편집기를 열어줍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\Enabled
특정 컴퓨터의 모든 사용자에 대해 WSH를 사용하지 않으려면 해당 항목을 만들어 사용하면 됩니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled
적용되면 사용자가 WSH 스크립트를 실행하려고 할 때마다 다음 메시지가 표시됩니다.
물론 스크립트를 사용하고 싶지 않을 때에는 Enabled의 값을 0으로 만들면 되며 Enabled는(DWORD)로 만들어야 합니다. 물론 이런 방법을 사용하면 컴퓨터를 사용하면서 불편함도 있을 것입니다.

<기타 관련 글>

[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 올크라이 랜섬웨어(AllCry Ransomware) 감염 증상 및 예방 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 소개/소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

비트코인 및 가상화폐 가격 변동을 볼수가 있는 윈도우 스토어-CryptoTracker

Posted by Sakai
2017.12.22 03:56 브라우저 부가기능/윈도우 스토어

오늘은 비트코인 및 가상화폐 가격 변동을 볼수가 있는 윈도우 스토어인 CryptoTracker에 대해 알아보겠습니다.일단 비트코인은 사토시 나카모토(Satoshi Nakamoto)가 만들었고 비트코인은 2009년 1월 3일 사토시 나카모토가 개발한 세계 최초의 암호화폐이며 ISO 코드 4217, XBT 또는 BTC이며 기존 화폐와 달리 정부나 중앙은행, 금융기관의 개입없이 P2P의 빠르고 안전한 거래가 가능하고 그리고 금처럼 유통량이 한정되어 있다는 것이 특징을 가지는 암호화 화폐입니다.

일단 기본적으로 일단 좋은 데로는 잘 사용이 되지 않고 마약거래, 성매매, 불법무기거래 등 어둠이 경로의 거래에 사용되고 있고 그리고 악성코드 제작자들은 AES, RSA 같은 암호화 파일을 이용해서 사용자 파일을 암호화하고 해당 암호화를 풀어주는 대가로 예전에는 돈을 요구했지만, 이제는 비트코인 같은 비트코인을 요구를 하고 있습니다.

일단 비트코인을 얻으려면 돈을 주고 구매를 하는 방법과 직접 비트코인 채굴기를 만들어서 CPU나 GPU 병렬로 연결해서 사용해서 비트코인을 채굴을 합니다.

물론 이런 비트코인을 채굴을 하려고 악성코드를 만들거나 사이트에 스크립트를 넣어서 비트코인 등과 같은 가상화폐를 사용하기도 합니다. 그리고 앞으로 100년간 발행될 비트코인 화폐량이 미리 정해져 있으며 2,100만 개까지만 발행됩니다. 즉 한정이 돼 있어서 최근에 투기 현상이 일어나고 있기도 합니다.비트코인 채굴은 다음과 같이 진행이 됩니다.

Panasonic | DMC-GX80

CryptoTracker

사용자가 송금 버튼을 누르면 거래내용이 네트워크를 통해 주변 노드로 전파되기 시작을 합니다. 그리고 각 채굴 노드는 거래 내용을 검증 거친 후, 이들을 하나로 모아 하나의 블록으로 만들게 되고 채굴 노드는 블록에 무작위로 숫자를 더하고 SHA-256 암호화 함수를 계산합니다. 암호화 결과가 일정 난이도를 통과하면 블록 생성이 성공되고 다시 해당 결과가 주변 노드에 전파되며 이때 블록마다 주어지는 현상금과 각 거래에 포함된 수수료가 블록 생성에 성공한 채굴 노드에 주어집니다.

새 블록이 생성되면 각 노드는 올바른 블록인지 검증되고 블록에 포함된 정보가 모두 올바른 정보일 경우 승인이 이루어집니다. 그리고 채굴 문제를 풀면 나오는 비트코인의 양은 대략 4년마다 절반씩 줄어들어 들고 최종적으로는 총량이 약 2,100만 비트코인을 얻기 돼 있습니다. 일단 해당 윈도우 스토어에 있는 CryptoTracker는 간단하게 Bitcoin, Ethereum, Litecoin를 가격을 볼 수가 있습니다.

단위는 마지막 시간당, 일, 주, 월, 년으로 볼 수가 있으며 현재는 EUR, USD, CAD 및 MXN을 지원을 합니다.

그리고 해당 계발 자는 지갑 주소를 추가해서 포트폴리오를 자동으로 추가할 수가 있는 기능을 추가한다고 합니다. 일단 가상화폐에 관심이 있으신 분들은 한번 참고 하시는 것도 좋을 것 같습니다.

참고로 개인적으로 사용하는 보조 백신프로그램에서는 2017년12월21일 오후 2시쯤에는 Zemana AntiMalware에서 유해한 파일이라고 탐지가 되었습니다. 일단 Zemana AntiMalware 특징상 오진이 있을 수가 있으면 해당 부분은 참고 하시면 될 것입니다.
먼저 해당 CryptoTracker를 설치를 하고 실행을 하면 다음과 같은 화면을 볼 수가 있습니다.

일단 가격은 Bitcoin, Ethereum, Litecoin 가격이 나오는 것을 볼 수가 있으면 각각의 가상화폐 옆에는 최고, 최저, 개장했을 때 가격을 볼 수가 있습니다.
그리고 자신이 원하는 가상화폐를 선택하면 챠트가 나올 것이고 그리고 마우스로 클릭하면 해당 가격 변동부분을 볼 수가 있습니다. 그리고 환경설정에서는 달러, 유로화, CAD를 통화를 변경할 수가 있습니다. 일단 비트코인과 같은 가상화폐에 관심이 있으신 분들만 보시면 될 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 요즘 가상화폐에 투자하는 분들이 많더라구요 덕분에 잘 알고 갑니다
    • 개인적으로 가상화폐에 투자하는것은 위험해보이더라고요.
  2. 좋은 정보 잘보고갑니다. 행복한 아침되세요^^

랜섬웨어 예방 프로그램-RansomStopper

Posted by Sakai
2017.12.18 14:31 소프트웨어 팁/보안

랜섬웨어(Ransomware)이라고 하는 것은 기본적으로 AES, RSA 같은 암호화 알고리즘을 이용해서 사용자의 컴퓨터에 있는 특정 파일을 대상으로 공격해서 파일을 암호화하거나 또는 하드디스크에 있는 파일들을 삭제해서 컴퓨터 사용자에게 돈을 요구하면 돈을 받으면 암호화를 풀어 준다고 협박을 하는 악성코드입니다. 최근에는 기본적으로 가상화폐인 비트코인을 요구하기도 합니다.

물론 해당 비트코인을 지불을 한다고 해도 해당 암호화된 파일들이 풀어준다는 보장은 없습니다. 일단 랜섬웨어(Ransomware)은 기본적으로 예방하는 것이 제일 좋은 방법입니다.

즉 기본적으로 윈도우 업데이트를 기본적으로 하면 백신프로그램을 사용하면 자신이 사용하는 프로그램들은 항상 최신으로 이용하면 토렌트 같은 곳에서 영화를 내려받기를 해서 보다가 랜섬웨어 같은 악성코드에 감염되는 경우 이메일을 통해서 감염되는 경우 아니면 불법 사이트에 접속했다가 감염이 되는 경우 아니면 특정 사이트에서 취약점을 통한 감염 등 여러 가지 방법으로 사용자의 컴퓨터에 감염되기도 합니다.

오늘 소개해 드리는 소프트웨어인 RansomStopper이라는 프로그램은 CyberSight 사에서 제작을 해서 배포를 하는 프로그램입니다. 물론 랜섬웨어는 단순하게 비트코인을 요구를 통한 돈을 위한 목적도 있지만, 정치적인 랜섬웨어 들도 많이 있습니다. 예전에 소개해 드린 이스라바이라는 랜섬웨어 일 것입니다.
RansomStopper라는 프로그램은 컴퓨터에 침입하는 악성코드들을 예측, 탐지 및 차단 및 행동 분석을 수행하는 보안 소프트웨어입니다.
일단 해당 RansomStopper는 무료 안티 랜섬웨어 소프트웨어로 행동 분석 및 기만 기술을 사용하여 예방, 탐지 및 랜섬웨어 공격을 방지합니다, 그리고 랜섬웨어가 사용자의 컴퓨터를 공격하는 것을 탐지할 수가 있습니다. 일단 해당 프로그램인 RansomStopper의 특징은 다음과 같습니다.
행동 분석-소프트웨어에는 기존 또는 잠재적인 랜섬웨어 를 탐지할 수 있는 특허받은 행동 분석 및 기만 기술이 포함되어 있어 PC를 악의적인 암호화로부터 보호합니다.

[보안] - 이스라엘을 목표를 하는 랜섬웨어-Israby Ransomware(이스라바이 랜섬웨어)

RansomStopper

디코이,허니팟:RansomStopper는 허니팟 기술에서 작동합니다. 해당 프로그램 실제로 침입자를 유혹하여 공격을 탐지하도록 설정된 시스템 함정이면서 현재 사이버 범죄자들과 싸우는 가장 좋은 보안 도구 중 하나입니다.
다층 방위 및 실시간 경보 다층 보안 및 실시간 경보 기능을 통해 이 프리웨어는 컴퓨터가 악성코드로부터 안전한지 확인합니다.
완전 자동화된 소프트웨어이므로 특별하게 컴퓨터 사용자가 설정을 변경하거나 구성할 필요가 없습니다.
공격 방법에 관계없이 보호: 사이버 공격자는 다양한 방법을 사용하여 악성 링크를 보내고 PC에 대한 무단 액세스를 허용하지만 RansomStopper는 가능한 모든 방법을 통해서 컴퓨터를 랜섬웨어로 부터 보호합니다.
일단 기본적으로 간단하고 사용하기 쉬운 소프트웨어이며 직관적인 인터페이스가 제공되며 특별한 기술 노하우가 필요 없고 모든 백신 프로그램 및 기타 보안 솔루션과 호환되며 인터페이스는 매우 직관적이며 간단하게 구성이 돼 있습니다. 일단 기본적으로 윈도우 7,윈도우 8,윈도우 10에서만 사용할 수 있으면 윈도우 XP,윈도우 비스타같이 기술지원이 종료된 운영체제는 지원하지 않습니다. 일단 해당 프로그램이 익숙하지 않은 분들은 지난 시간에 소개해 드린 앱체크, 안랩에서 제공하는 랜섬웨어 예방 도구 등을 설치하면 됩니다. 일단 한번 사용을 해보고 싶은 경우에는 가상환경에서 한번 사용을 해보시는 것도 좋은 방법이라고 생각이 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

크리스마스 랜섬웨어(Christmas Ransomware) 감염 및 증상

Posted by Sakai
2017.12.15 01:36 소프트웨어 팁/보안

오늘은 간단하게 크리스마스 랜섬웨어(Christmas Ransomware) 감염 및 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 크리스마스라고 하면 아마도 연인들에게는 좋은 휴일 중 하나일 것입니다. 그러나 랜섬웨어 제작자 분들은 이를 악용한 랜섬웨어를 배포를 했습니다. 일단 제목도 크리스마스를 겨냥 것인지 모르겠지만, 앞으로 다가오는 크리스마스를 노린 것이 아닐까 생각이 됩니다. 일단 해당 랜섬웨어에 감염이 되면 모든 파일이.csrsss로 변경이 됩니다.

해당 악성코드는 기본적으로 Visual Studio 2012로 제작이 되었습니다. 일단 해당 랜섬웨어는 기본적으로 영어를 사용하는 대상으로 잡고 있으면 2017년 12월 초에 발견이 되었습니다. 기본적으로 랜섬웨어를 배포를 하는 방법은 스팸 메일 및 악의적인 첨부 파일, 진짜 프로그램으로 둔갑한 파일, 악의적으로 조작된 웹사이트, 가짜 업데이트등을 통해 배포할 수가 있습니다. 암호화되는 파일들은 다음과 같습니다.
MS 오피스 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 아카이브 파일 등입니다.
악성코드가 감염되면 다음 폴더에 파일을 생성합니다.
%AppData\Local\Temp\ChristmasRansomware.exe
\Desktop\
\User_folders\
그리고 랜섬노트를 생성을 합니다. 그리고 내용은 다음과 같습니다.

Your Files are Encrypted
Send $100 in Bitcoin to Decrypt Your Files
Merry Christmas
당신의 파일들은 암호화되었습니다.
암호화된 파일을 복구하려면 100달러 상당의 비트코인을 보내세요.
메리 크리스마스

라고 적혀져 있습니다.
일단 기본적으로 파일을 내려받기하더라도 공식사이트가 아닌 곳에서는 파일을 다운로드 및 링크를 클릭하지 말고 항상 윈도우 업데이트와 백신프로그램은 최신으로 유지하는 것이 안전하게 컴퓨터를 사용할 수가 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 크리스마스에 별로 반갑지 않은 바이러스네요
  2. 크리마스날에도 랜섬웨어라니 이젠 기념일마다 나오게 생겼어요.
    • 방심한 틈을 노리는것 같습니다.
  3. 다음 메일에 스팸메일이 많이 와서 ...크리스마스랜섬웨어 참고해야겠슴다..
    • 개인적인 생각이지만 메일도 따로 관리하는것이 좋을것 같습니다.예를들어 개인간 메일,업무 볼떄 사용하는 메일등으로 말이죠.
  4. 크리마스에 혼자 인 것도 슬픈데 악성코드에 걸리는 것도 슬프네요 ㅜㅜ 참고 하겠습니다!
    • 다양한 악성코드들이 존재하는것 같습니다.