시리아 난민을 위한 기부금으로 위장한 랜섬웨어-RansSIRIA 랜섬웨어

Posted by Sakai
2018.05.29 00:00 소프트웨어 팁/보안

일단 해당 랜섬웨어는 감염이 되어서 복원화를 하려고 지불을 하는 몸값이 시리아 난민을 위해서 사용이 된다고 하는 랜섬웨어 입니다. 물론 이 말은 거짓말입니다. 해당 랜섬웨어는 WannaPeace 랜섬웨어의 변종이며 브라질 사용자를 공격 대상을 하고 있습니다.
그래서인지 포르투갈어로 돼 있습니다.

해당 랜섬웨어는 사용자 파일을 암호화하는데 약간 시간을 걸리는 이때 가짜 Word 창을 표시합니다.

그리고 파일 암호화가 완료되면 시리아 난민들을 도우려고 사용될 몸값을 지급하기 위한 열정적인 탄원? 을 담는 화면이 표시됩니다.마치 지난 시간에 소개해드린 랜섬웨어중 하나인 GPAA Ransomware(GPAA 랜섬웨어)와 비슷합니다.
랜섬노트 내용은 다음과 같습니다.

Sorry, your files have been locked Permita nos apresentar como Anonymous, e Anonymous apenas. Nós somos uma idéia. Uma idéia que não pode ser contida, perseguida nem aprisionada. Milhares de seres humanos estão nesse momento rufigiados, feridos, com fome e sofrendo... Todos como vítimas de uma guerra que não é nem mesmo deles!!! Mas infelizmente apenas palavras não mudarão a situação desses seres humanos... NÃO queremos os seus arquivos ou lhe prejudicar..., queremos apenas uma pequena contribuição... Lembre-se.., contribuindo você não vai estar apenas recuperando os seus arquivos... ...e sim ajudando a recuperar a dignidade dessas vitimas... nvie a sua contribuição de apenas: Litecoins para carteira/endereço abaixo.

일단 개인적으로 포르투갈 어를 모르는 관계로 번역은 하지 않겠습니다. (죄송합니다.)

[소프트웨어 팁/보안] - 세계 빈곤 퇴치기구(GPAA)를 가장한 랜섬웨어-GPAA Ransomware(GPAA 랜섬웨어)감염 및 증상

그리고 다른 랜섬웨어들은 보통 비트코인으로 지급을 하게 하지만 해당 랜섬웨어인 RansSIRIA은 Litecoins(라이트코인)이라는 가상화폐를 요구합니다. 해당 라이트코인은 2011년 10월 7일, 구글의 전 소프트웨어 엔지니어이자 코인베이스(Coinbase)의 디렉터였던 찰리 리(Charlie Lee) 에 의해 공개된 암호화폐이고 한국에서는 암호화폐 투자자들 사이에서 쓰이는 비공식 약칭은 라코이이라고 한다고 합니다. 일단 암호화폐 시가총액으로 2018년 2월 기준으로는 세계 5위권 내에 든다고 합니다.
그리고 해당 랜섬웨어인 RansSIRIA은 전쟁과 그리고 전쟁에서 오는 공포를 한 여자아이의 시선으로 만들어진 동영상이 담긴 유튜브로 연결되어서 감염된 사용자에게 보여줍니다. (암호 해독 후)즉 리아 난민에 관한 Worldvision 의 기사를 보게 됩니다. 지금 시리아에서 일어나는 현실은 정말로 끔찍합니다. 하지만, 이런 끔찍한 전쟁으로 자신의 이익을 챙기려고 한다는 것이 조금은 슬프기도 합니다. 그리고 해당 랜섬웨어인 RansSIRIA가 암호화하는 파일은 다음과 같습니다.

3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip

일단 이런 랜섬웨어들에 감염이 되지 않으려면 기본적으로 윈도우 업데이트는 기본적으로 자동업데이트를 하고 그리고 백신프로그램은 반드시 설치 실시간 감시 최신업데이트는 해야 하면 랜섬웨어방어 프로그램 등은 필요하면 설치를 해서 사용을 하면 됩니다. 그리고 자신이 사용하는 프로그램은 반드시 최신업데이트와 출처가 불분명한 곳에 프로그램 다운로드 금지 그리고 토렌트 같은 곳은 이용은 자제하는 것이 좋습니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 조심해야겠네요 덕분에 잘 알고 갑니다
    • 기본적인 보안 수칙들을 준수한다고 하면 악성코드에 감염이 되는것을 최소화 할수가 있을것입니다.

Apophis Ransomware(아포피스 랜섬웨어)감염 증상

Posted by Sakai
2018.05.07 00:00 소프트웨어 팁/보안

오늘은 Apophis Ransomware(아포피스 랜섬웨어)감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 Apophis Ransomware(아포피스 랜섬웨어)은 일단 개인적인 생각으로는 이집트 신화에 등장하는 거대한 독사를 인용해서 만든 랜섬웨어 인 것 같습니다.

일단 아포피는 이집트어로는 아펩(Apep),아페피(Apepi)로 불리고 있으며 거대한 코브라 또는 맹독을 지닌 독사의 모습을 하고 있으며 태양신 라의 숙적 이면서 라가 하늘을 건너는 배에 올라타 하늘을 일주하고 나서 밤에는 지하세계를 통과하게 되는 과정에서 12시간으로 나누어진 밤의 제7시에 그를 공격합니다.

일단 해당 Apophis Ransomware(아포피스 랜섬웨어)는 일단 지난 시간에 소개해 드린 직쏘 랜섬웨어 하고 비슷하게 생겼습니다. 아마도 직쏘 랜섬웨어를 모방했거나 아니면 변형을 한 랜섬웨어가 아닐까 생각이 됩니다.

일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)은 2018년4월쯤에 발견이 된 랜섬웨어로서 앞서 이야기한 것처럼 Jigsaw Ransomware(직쏘 랜섬웨어)의 변종인 것 같습니다. 일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)는 매크로스크립트가 삽입된 .DOCX를 포함해서 악성코드가 배포되는 방식을 취하고 있으면 이메일 형태로도 전파가 되고 있습니다.

일단 다른 직쏘 랜섬웨어 처럼 24시간 안에 몸값을 지급을 요구하면 악성코드가 감염되면 기본적으로 컴퓨터 안에 있는 파일을 검색하고 다음 확장자들을 검색해서 암호화를 진행합니다.
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm. pptx, .prel, .prproj, .ps, .ps, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip
그리고 해당 암호화 방식은 RSA 및 AES 암호화 방식을 사용해서 암호화되므로 사용자는 파일을 사용할 수가 없으면. fun으로 확장자로 변경해버립니다.
그리고 기본적으로 msiexec.exe를 통해서 악성코드는 실행됩니다.
You have been hacked by Apophis Squad!
We have encrypted your files using AES 256, which is NOT easy to reverse! XD
Do not panic, we will let you fix this by sending us a payment.
However I've already encrypted your personal files, so you cannot access them.
Twitter: @apophissquadv2 Web: apophissquad.rx Maker:P13x13t
[1H COUNDDOWN TIMER]
Time till file delete.
{View encrypted files|BUTTON]
Send $500 worth of Bitcoin here:
[34 자리 랜덤 챕터]
[I made a payment, now give me back my files!]
대충 번역을 하면 다음과 같습니다.
당신은 아포피스 분대에 의해 해킹당했습니다!
우리는 AES 256을 사용하여 파일을 암호화했습니다. XD
당황하지 마시고, 우리에게 지급금을 보내 당신이 해결하도록 하겠습니다.
그러나 이미 개인 파일을 암호화했으므로 액세스 할 수 없습니다.
트위터:@apophissquadv2 웹:apophissquad.rx 제조사:P13x13t
[1H COUNDDOWN TIMER]
파일 삭제까지의 시간.
{암호화 된 파일 보기}
여기에 Bitcoin을 500달러 상당 보내십시오.
[34개의 무작위 챕터]
[지급을 했고, 이제 당신의 파일을 돌려줍니다!]
일단 연결이 되는 사이트는 보면 러시아 사이트를 이용하고 있으면 그리고 랜섬웨어 노트 같은 경우 독일 3 제국인 나치를 상징하는 문장이 있는 것으로 보아서 아마도 나치 추종자가 아닐까 생각이 됩니다. 일단 랜섬웨어에 감염이 되는 것을 최소화하려고 하면 기본적으로 윈도우 업데이트는 무조건 해야 하면 백신프로그램, 백신보조프로그램, 랜섬웨어 방어 프로그램 등을 이용해서 방어해야 하면 그리고 기본적으로 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하는 것을 자제해야 할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상

Posted by Sakai
2018.05.01 02:22 소프트웨어 팁/보안

오늘은 최근에 유행하는 랜섬웨어 중 하나인 GandCrab Ransomware(갠드 랜섬웨어)가 새로운 버전인 GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)으로 업데이트가 되었다는 소식입니다. 최근에 켤 스위치가 발표되었지만, 그것도 거의 2주도 안 된 사이에 새로운 버전으로 업데이트가 되었습니다. 일단 GandCrab Ransomware(갠드 랜섬웨어)는 오리지널 버전은 다음과 같은 증상이 있습니다.
섬웨어는 기본적으로 감염되면 확장자를.GDCB으로 변경을 해버립니다. 기본적으로 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)는 기본적으로 스팸메일, 불법다운로드 파일에 있으면 익스플로잇으로도 감염이 되면 해당 GandCrab Ransomware(갠드크랩 랜섬웨어)의 특징 중 하나가 보통 랜섬웨어들은 기본적으로 비트코인이라는 가상화폐를 이용하지만 해당 랜섬웨어는 대쉬이라는 가상화폐를 요구합니다.
그리고 해당 랜섬웨어는 GandCrab Ransomware(갠드드크랩 랜섬웨어)은 기본적으로 해당 감염이 된 환경이 어떤 보안 프로그램이 사용되고 있는지 확인을 하고 샌드박스, 가상환경을 사용하는지 체크를 합니다. 일단 다음 보안 프로그램이 설치돼 있는지 확인을 합니다.
Avast
Avira
Comodo
ESET NOD 32
F-Secure
Kaspersky
McAfee
Microsoft
Norton/Symantec
Panda
Trend Micro

입니다. 여기서 마이크로소프트는 윈도우에 탑재된 윈도우 디펜더 제품을 이야기합니다. 그리고 컴퓨터가 감염되면 기본적으로 다음과 같은 파일들이 암호화됩니다.
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend,.bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des.design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho,.gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost,.otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,.ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
일단 해당 랜섬웨어 배포 방식은 스팸 메일, 이 메일 첨부 파일, 웹사이트 등으로 유포되고 있습니다. 일단 해당 랜섬웨어 제작자는 악성코드를 유포하기 위해서 다양한 방법을 사용합니다. 예를 들어서 사회공학적기법(쉽게 이야기하면 현재 인터넷 또는 사회에서 인기 있는 키워드 또는 정치적 이슈등을 이용을 하는 공격 방식)입니다.그리고 해당 방법이 아니면 소프트웨어프로그램에 악성코드를 삽입하는 방법입니다.

즉 프로그램을 다운로드를 하더라도 공식사이트에서 해야지 악성코드에 감염되는 것을 최소화할 수가 있지만 토렌트 같은 곳이나 출처가 불분명한 사이트에서 프로그램을 다운로드 및 실행을 하는 것은 위험한 행동 중 하나입니다. 아니면 Mozilla Firefox, Safari,Microsoft Edge,Opera,Internet Explorer,Google Chrome 같은 브라우저에서 사용되는 플러그인을 이용하는 방법도 있습니다. 물론 출처가 확실한 곳에서도 악성 플러그인 발견이 되고 있으므로 조심을 해야 할 것입니다. 그리고 Magnitude, RIG,GrandSoft,Exploit Kit들을 활용한 윈도우 취약점 및 브라우저 취약점 등을 활용한 공격입니다. 즉 윈도우 최적화를 한다고 윈도우 업데이트는 꺼버리는 것은 비추천 합니다. 물론 자신이 윈도우 업데이트가 되는 날을 알면 그때만 윈도우 업데이트 켜서 업데이트를 하고 꺼버리면 되겠지만, 보안을 위해서는 보안에 관한 것은 꺼버리는 것은 해서는 안 됩니다.

특히 UAC(사용자계정컨트롤),DEP(데이터실행방지)등과 같은 기능을 꺼버리면 안 됩니다. 일단 해당 GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)에 감염이 되면 먼저 부팅 순서를 변경하면 명령 프롬프트와 PowerShell을 관리자로 사용하여 사용자가 랜섬웨어 복구를 하려고 기본적으로 사용하는 볼륨 섀도 복사본(시스템복원지점)을 제거를 하면 그리고 파일들은 AES-256(CBC 모드)+RSA-2048 암호화 알고리즘을 사용하여 암호화하기 때문에 복구는 해당 랜섬웨어가 잡히지가 않는 이상 복구는 그냥 포기해야 합니다.

[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)변종 발견

[소프트웨어 팁/보안] - 랜섬웨어 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

그래서 백업을 하라고 하는 이유입니다. 그리고 백그라운드에서 random.exe를 실행하며 explorer.exe를 하이재커으로 하여서 시스템을 강제로 다시 시작하여 암호화를 완료할 수 있습니다. 그리고 기본적으로 250개 이상의 파일 형식을 대상으로 공격합니다. 그리고 나서 암호화를 완료되면 CRAB-DECRYPT.txt라는 파일을 형성하면 해당 내용은 다음과 같습니다.

--—= GANDCRAB V3 =—--
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter “username”: 21b1a2d1729f0695
1) Enter “password”: your password
2. Add new account in Psi
3. Add and write Jabber ID:ransomware@sjms any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!
굳이 번역을 하면 다음과 같이 됩니다.
- = GANDCRAB V3 = -
주의!
모든 파일, 사진, 데이터베이스 및 기타 중요한 파일은 암호화되어 있으며 확장자는 .CRAB입니다
파일을 복구하는 유일한 방법은 개인 키를 사는 것입니다. 그것은 우리 서버에 있으며 파일만 복구할 수 있습니다.
키가 있는 서버가 닫힌 네트워크 TOR에 있습니다. 다음과 같은 방법으로 거기에 갈 수 있습니다.
Tor 브라우저 다운로드 - https://www.torproject.org/
1. Tor 브라우저 설치
2. Tor 브라우저 열기
3. TOR 브라우저에서 링크 열기 :
4.이 페이지의 지시 사항을 따르십시오.
우리 페이지에서 지급에 대한 지시 사항을 볼 수 있으며 1 파일을 무료로 해독할 기회를 얻습니다.
우리에게 연락하는 다른 방법은 Jabber messenger를 사용하는 것입니다. 방법을 읽어보십시오.
0. Psi-Plus Jabber 클라이언트 다운로드 : https://psi-im.org/download/
1. 새 계정 등록 : http://sj.ms/register.php
0) "username"을 입력하십시오 : 21b1a2d1729f0695
1) "암호"를 입력하십시오 : 암호
Psi에 새 계정을 추가하십시오.
3. Jabber ID를 추가하고 쓰십시오 : ransomware@sj.ms 모든 메시지
4. 명령 봇을 따르십시오.
주의!
봇입니다! 그것은 인간의 제어 없이 완전히 자동화된 인공 시스템입니다!
우리에게 연락하려면 TOR 링크를 사용하십시오. 우리는 언제든지 해독 가능한 모든 증거를 제공할 수 있습니다. 우리는 대화에 개방적입니다.
jabber 설치 및 사용 방법은 여기를 참고하십시오. http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
주의!
파일을 수정하거나 개인 키를 사용하지 마십시오. 이렇게 하면 데이터가 영구히 손실됩니다!

입니다. 그리고 전에도 소개해 드린 ShadowExplorer(새도우 익스플로워)는 아무런 소용이 없습니다. 앞서 이야기한 것처럼 볼륨 섀도 복사본(시스템복원지점)을 제거를 했기 때문에 아무런 소용이 없습니다.

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

굳이 복구 방법은 일단 포멧을 하고 나서 기존에 볼륨 섀도 복사본(시스템복원지점)을 만들어 놓은 백업파일을 이용해서 복구하거나 외장하드디스크 등에 저장된 복구지점을 통해서 이용하는 방법입니다. 즉 기본적으로 윈도우 업데이트는 기본적으로 자동업데이트로 하고 백신프로그램 설치,최신업데이트 유지,보조백신프로그램 또는 랜섬웨어 방지 프로그램 설치 및 실행 그리고 출처가 불분명한 사이트에서 프로그램, 영화 같은 것을 다운로드 및 실행을 하는 것은 하지 말아야 합니다. 즉 안전하게 사용을 하고 싶으면 윈도우도 공식사이트에서 ISO를 다운로드 및 정품인증을 위해서 윈도우를 구매해서 사용하는 것이 안전할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁] - 윈도우 업데이트 오류코드 0x8024402f 해결방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어 정보 잘 보고 갑니다

백장미 랜섬웨어(WhiteRose Ransomware)감염 증상

Posted by Sakai
2018.04.11 00:00 소프트웨어 팁/보안

오늘 새롭게 발견된 랜섬웨어인 백장미 랜섬웨어(WhiteRose Ransomware)에 대해 알아보는 시간을 가져 보겠습니다. 일단 지난 4월5일에 처음 발견된 랜섬웨어 입니다. 일단 랜섬웨어 이름처럼 백장미입니다. 일단 이름은 정말 아름다운 랜섬웨어이기도 합니다. 해당 랜섬웨어는 기본적으로 원격 데스크톱 서비스를 해킹하여 수동으로 설치됩니다. 그리고 해당 랜섬웨어는 기본적으로 아직은 아시아 쪽이나 북미, 남미에는 퍼지지 않고 있으면 일단 유럽 쪽에서 퍼지고 있으면 특히 스페인을 목표하고 있습니다. 즉 아마도 스페인 사용자를 노리고 있으면 그리고 스페인 관련 일을 하시는 분들에게는 주의가 필요한 부분이기도 합니다. 일단 해당 랜섬웨어는 BlackRuby Ransomware 와 WhiteRose Ransomware 는 몸값 요구보다는 일단 조금 더 창조적인 글쓰기로 이루어진 랜섬웨어 입니다.
일단 백장미 랜섬웨어(WhiteRose Ransomware)는 특이하게도 왠지 시적인 이미지가 느껴지는 랜섬웨어 노트를 하고 있습니다. 일단 랜섬웨어는 고독한 해커가 정원에 흰 장미로 둘러싸인 이야기를 전하고 있으며 해커는 컴퓨터를 암호화하고 꽃으로 바꾸어 흰 장미를 세상과 공유하고 싶어한다고 이야기를 하고 있습니다.
랜섬웨어 노트는 다음과 같습니다.

I do not think about selling white roses again. This time, I will plant all the white roses of the garden to bring a different gift for the people of each country. No matter where is my garden and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter if you are the west of the world or its east, it's important that the white roses are endless and infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow. Wait for good days with White Rose. I hope you accept this gift from me and if it reaches you, close your eyes and place yourself in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension. Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.

일단 해당 백장미 랜섬웨어(WhiteRose Ransomware)은 기본적으로 C:\Perfect.sys 파일이 있는지 확인을 합니다. 그리고 파일이 존재하면 프로그램을 종료하고 그렇지 않으면 새로운 파일을 만듭니다.
Perfect.sys
Perfect.sys
그리고 랜섬웨어는 컴퓨터에 있는 파일들을 검색하고 나서 해당 파일을 암호화를 진행합니다. 암호화하는 파일은 다음과 같습니다.

.1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .ARC, .PAQ, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .back , .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .c , .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf , .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .cs , .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db3, .db_journal, .dbf, .dbf , .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk , .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg , .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ora , .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt , .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip, 3dm, onetoc2

그리고 암호화할 파일을 검색할 때 다음 폴더에 있는 파일은 암호화하지 않습니다.
Windows Program Files
$Recycle.Bin Microsoft
그리고 파일이 암호화에 성공하면 다음과 같은 확장자가 _ENCRYPTED_BY.WHITEROSE로 강제 변경이 됩니다. 그리고 컴퓨터에 있는 폴더에는 장미의 ASCII 이미지, 흥미로운 이야기 및 몸값 지불 방법에 대한 지침이 포함된 HOW-TO-RECOVERY-FILES.TXT을 생성을 합니다.
그리고 나서 백장미 랜섬웨어(WhiteRose Ransomware)는 사용자가 컴퓨터를 복구할 수가 없게 복구지점을 파괴하는 명령어를 실행합니다.
cmd.exe /C vssadmin.exe delete shadows /all /Quiet
cmd.exe /C WMIC.exe shadowcopy delete
cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C wevtutil.exe cl Application
cmd.exe /C wevtutil.exe cl Security
cmd.exe /C wevtutil.exe cl System
그리고 WhiteRose Support & Help (화이트 로즈 지원 및 도움말) 항목에 요청을 작성합니다. 그리고 랜섬웨어는 운영체제별로 생성하는 폴더는 다음과 같습니다.

%APPDATA% - Application Data files
Windows Vista,Windows 7,Windows 8:
Disk:\Users\User_Name\AppData\Local\
Disk:\Users\User_Name\AppData\Roaming\
Windows NT,Windows 2000,Windows XP:
Disk:\Documents and Settings\User_Name\Application Data\
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\
%TEMP% - Temporary files
%WinDir%\Temp\
Disk:\Windows\Temp\
%TEMP%\<random_name>\
%TEMP%\<random_name>.tmp\
%TEMP%\<random_name>.tmp\<random_name>\
Disk:\Users\User_Name\AppData\Local\Temp\
Disk:\Users\User_Name\AppData\LocalLow\Temp\
%WinDir% - Windows files
Disk:\Windows\ =>
Disk:\Windows\system32\
Program files
Disk:\Program Files\
Disk:\Program Files (x86)\
Disk:\ProgramData\ =>
Disk:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Users files
Disk:\Users\User_Name\Desktop\
Disk:\Users\User_Name\Documents\
Disk:\Users\User_Name\Documents\Downloads\
Disk:\Users\User_Name\Downloads\
Recycler files
Disk:\Recycler\             
Disk:\$RECYCLE.BIN\  
Disk:\$RECYCLE.BIN\s-1-5-21-**********-***********-**********-1000  
Temporary Internet Files of Internet Explorer:
Windows Vista,Windows 7,Windows 8:
Disk:\Users\User_Name\Local\Microsoft\Windows\Temporary Internet Files\
Disk:\Users\User_Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\
Disk:\Users\User_Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\<random_name>\ (a-z, 0-9)
Windows NT,Windows 2000,Windows XP:
Disk:\Documents and Settings\User_Name\Local Settings\Temporary Internet Files\
Temporary Internet Files of Google Chrome и Chromium:
Windows 8,Windows 7,Windows Vista
Google Chrome:
Disk:\Users\User_Name\AppData\Local\Google\Chrome\User Data\Default\
Chromium:
Disk:\Users\User_Name\AppData\Local\Chromium\User Data\Default\
Windows XP:
Google Chrome:
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\Google\Chrome\User Data\Default\
Chromium:
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\Chromium\User Data\Default\
Temporary Internet Files of Opera:
Windows 8, Windows7:
Disk:\Users\User_Name\AppData\Local\Opera Software\Opera Stable\
Disk:\Users\User_Name\Roaming\Opera Software\Opera Stable\
Temporary Internet Files of Firefox:
Windows 8, Windows 7:Disk:\Users\User_Name\AppData\Roaming\Mozilla\Firefox\Profiles\
Temporary Internet Files of Microsoft Edge
Disk:\Users\User_Name\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\<-Ransomware 도움말 및 기술 지원 부분입니다.

그리고 랜섬웨어 노트에 나오는 내용은 다음과 같습니다.

..   8"=,,88,   _.
     8""=""8'  "88a88'
.. .;88m a8   ,8"" "8
 "8"'  "88"  A"     8;
   "8,  "8   8       "8,
    "8   8,  8,       "8
     8,  "8, "8,    ___8,
     "8,  "8, "8mm""""""8m.
      "8,am888i"'   ,mm"
      ,8"  _8"  .m888"
     ,88P"""""I888888
     "'         "I888
                  "I8,
                   "I8
                    "I8_
        ,mmeem.m""i, I8""  ,mmeem,'.
       m""    . "8.8 I8  ,8"   .  "88
      i8  . '  ,mi""8I8 ,8 . '  ,8" 88
      88.' ,mm""    "8I88"m,,mm'"    8
      "8_m""         "I8   ""'
       "8             I8
                      I8_
                      I8""
                      I8
                     _I8
                    ""I8
                      I8
                     
_    _  _      _  _          ______                  
| |  | || |    (_)| |         | ___ \                 
| |  | || |__   _ | |_   ___  | |_/ /  ___   ___   ___
| |/\| || '_ \ | || __| / _ \ |    /  / _ \ / __| / _ \
\  /\  /| | | || || |_ |  __/ | |\ \ | (_) |\__ \|  __/
 \/  \/ |_| |_||_| \__| \___| \_| \_| \___/ |___/ \___|
=====================[PersonalKey]=====================
PpWh3f536rfFjmNhSaUaaV+fAc/hCqLtHujsZ18SdiNH6FzINtYaAOK
9ctyI8AGYf3ltM/XQiZm9LKVT5tyGHuIaKjjg0wxTvJvvovjxD0QBrS
7scZINf8zL9+hPThPy/62rKdEbGrEczf0mBMw7z78lKZsCnTBeEDksn
6wxZCI=
=====================[PersonalKey]=====================
The singing of the sparrows, the breezes of the northern mountains and smell of the earth
that was raining in the morning filled the entire garden space. I'm sitting on a wooden chair next
to a bush tree, I have a readable book in my hands and I am sweating my spring with a cup of
bitter coffee. Today is a different day.
Behind me is an empty house of dreams and in front of me, full of beautiful white roses.
To my left is an empty blue pool of red fish and my right, trees full of spring white blooms.
I drink coffee, I'll continue to read a book from William Faulkner. In the garden environment,
peace and quiet. My life always goes that way. Always alone without even an intimate friend.
I have neither a pet, nor a friend or an enemy; I am a normal person with fantastic wishes
among the hordes of white rose flowers. Everything is natural. I'm just a little interested
in hacking and programming. My only electronic devices in this big garden are an old laptop for
do projects and an iPhone for check out the news feeds for malware analytics on Twitter
without likes posts.
Believe me, my only assets are the white roses of this garden.
I think of days and write at night: the story, poem, code, exploit or the accumulation
of the number of white roses sold and I say to myself that the wealth is having different friends
of different races, languages, habits and religions, Not only being in a fairly stylish garden with
full of original white roses.
Today, I think deeply about the decision that has involved my mind for several weeks. A decision
to freedom and at the worth of unity, intimacy, joy and love and is the decision to release white
roses and to give gifts to all peoples of the world.
I do not think about selling white roses again. This time, I will plant all the white roses
of the garden to bring a different gift for the people of each country. No matter where is my garden
and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter
if you are the west of the world or its east, it's important that the white roses are endless and
infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow.
Wait for good days with White Rose.
I hope you accept this gift from me and if it reaches you, close your eyes and place yourself
in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension.
Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
[Recovery Instructions]
I. Download qTox on your computer from [https://tox.chat/download.html]
II. Create new profile then enter our ID in search contacts
Our Tox ID:"6F548F217897AA4140FB4C514C8187F2FFDBA3CAFC83795DEE2FBCA369E689006B7CED4A18E9".
 III. Wait for us to accept your request.
IV. Copy '[PersonalKey]' in "HOW-TO-RECOVERY-FILES.TXT" file and send this key with one encrypted file less size then 2MB for
trust us in our Tox chat. 
IV.I. Only if you did not receive a reply after 24 hours from us,
end your message to our secure tor email address "TheWhiteRose@Torbox3uiot6wchz.onion".
IV.II. For perform "Step IV.I" and enter the TOR network, you must download tor browser
and register in "http://torbox3uiot6wchz.onion" Mail Service)
V. We decrypt your two files and we will send you.
VI. After ensuring the integrity of the files, We will send you payment info.
VII. Now after payment, you get "WhiteRose Decryptor" Along with the private key of your system.
VIII.Everything returns to the normal and your files will be released.   
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////   
What is encryption?
In cryptography, encryption is the process of encoding a message or information in such a way that only authorized parties can access it,
and those who are not authorized cannot. Encryption does not itself prevent interference,
but denies the intelligible content to a would-be interceptor. In an encryption scheme, the intended information or message,
referred to as plaintext, is encrypted using an encryption algorithm – a cipher – generating ciphertext that can be read only if decrypted.
For technical reasons, an encryption scheme usually uses a pseudo-random encryption key generated by an algorithm.
It is in principle possible to decrypt the message without possessing the key, but, for a well-designed encryption scheme,
considerable computational resources and skills are required.
An authorized recipient can easily decrypt the message with the key provided by the originator to recipients but not to unauthorized users.
in your case “WhiteRose Decryptor” software for safe and complete decryption of all your files and data.
Any other way?
If you look through this text in the Internet and realise that something is wrong with your files but you do
not have any instructions to restore your files, please contact your antivirus support.

그리고 여기서 언급하는 것은 백장미는 제2차 세계대전 때에 독일 나치 시절에 독일 내에서 나치에 저항한 조직이름이기도 합니다.
하얀 장미단(die Weiße Rose)은 1941년에 한스 숄(Hans Scholl)과 조피 숄(Sophie Scholl) 남매가 결성했으며 뮌헨에서 아우구스트 폰 갈렌 주교가 나치의 T-4 프로그램 비판하는 강론을 듣고 갈렌 주교 허락을 받고 강론 전문을 전단으로 만들어 뮌헨 대학 전단지를 뿌리다가 게슈타포에 체포를 당하고 나서 심문을 받을 때에도 스페인 소설인 하얀 장미에서 나오는 유드 네보른과 안네트 둠바흐라고 했으며 알렉산더 슈모렐(Alexander Schmorell),빌리 그라프(Willi Graf), 크리스토프 헤르만 아난다 프롭스트(Christoph Hermann Ananda Probst),쿠르트 이포 테오도어 후버(Kurt Ivo Theodor Huber)등으로 구성이 되었고 해당 하얀 장미단에 가담을 해서 나치 정권의 잘못된 점에 대해서 저항을 했고 그리고 1943년2월18일에 뮌헨 대학에서 전단지를 배포를 하다가 체포가 되고 그 뒤로 가담자들이 잡히고 그리고 재판을 받은 지 몇 시간에 지나고 나서 사형이 되었다고 합니다. 그리고 련재 Karlsplatz 광장 바닥에는 하얀 장미단 단원들의 이름과 생애 그리고 추모사 그리고 처형당하던 당시의 신문들을 조각 형태로 찾아볼 수 있습니다.

[영화] - [영화]Der Untergang(몰락,The Downfall,2004)

즉 화이트 로즈 (die Weiße Rose)는 영화, 게임, 드라마들에서 많이 등장하는 단체이기도 합니다.
해시 값은 SHA256: 9614b9bc6cb2d06d261f97ba25743a89df44906e750c52398b5dbdbcb66a9415
관련 파일은 다음과 같습니다.
C:\Perfect.sys
HOW-TO-RECOVERY-FILES.TXT
그리고 바이러스토탈 결과는 다음과 같습니다. 물론 지금은 대부분 백신프로그램에서 탐지할 것입니다.

바이러스토탈 결과

일단 해당 랜섬웨어에 암호화되면 복원화는 할 수가 있습니다. 다만, 랜섬웨어 복구를 하려면 비용이 듭니다. 복구는 일단 러시아 보안 업체 Dr.Web에서 제공하고 있으면 해당 복구 비용을 무료로 하고 싶은 경우에는 Dr.Web 제품을 유료로 구매하는 분들은 무료로 제공하고 있으면 복구 비용은 파일의 개수에 따라 달라집니다. 해당 복구인 Dr.Web Rescue Pack는 러시아 루블로 제공해야 하면 닥터웹 유료로 사용하고 계시는 분들은 무료이며 복구비용은 데이터양에 따라 달라집니다. 해당 주소는 다음과 같습니다.

Dr.Web Rescue Pack 영어

Dr.Web Rescue Pack 러시아 어

입니다. 일단 이런 악성코드에 감염되지 않으려면 백신프로그램 설치,윈도우 업데이트는 필수이며 자신이 사용하는 프로그램은 최신으로 유지하면 그리고 출처가 불분명한 사이트에서 파일 다운로드 금지, 그리고 특히 토렌트 같은 곳에서 있는 파일을 통해서도 악성코드가 감염될 확률이 높으면 그리고 기술지원이 중단은 Windows XP,Windows Vista 그리고 2020년에 기술지원이 중단될 예정인 Windows 7은 특히 조심해야 하면 될 수 있으면 Windows 10을 이용하시면 도움이 되면 랜섬웨어 방어 프로그램 또는 보조 백신프로그램을 사용하면 악성코드에 감염되는 것을 최소화할 수가 있을 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

[소프트웨어 팁/보안] - 악성코드 수동 제거 프로그램-Adwcleaner 7.0 업데이트

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 이름이 참 예쁘고 재미있지만 조심해야겠어요
    • 항상 미리 조심하는것이 중요하다고 생각이 됩니다.귀찮더라도 백업은 필수 인것 같습니다.
  2. 이름이 참 예쁘고 재미있지만 조심해야겠어요

한국인만 노리는 랜섬웨어-RansomUserLocker Ransomware 감염 증상

Posted by Sakai
2018.02.02 19:59 소프트웨어 팁/보안

오늘은 히든티어로 제작된 RansomUserLocker Ransomware 감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 Hidden Tear(히든티어)라는것은 2015년 8월 중순 GitHub 페이지에 공개돼 있고 누구나 내려받아서 사용할 수가 있는 교육용 랜섬웨어 제작도구입니다. Hidden Tear라는 프로젝트는 전적으로 오픈 소스입니다. 해당 프로그램은 터키의 프로그램 어인 Utku Sen이라는 사람이 제작할 걸로 알고 있습니다.

해당 히든티어는 proof-of-concept은 AES 암호화를 사용하여 감염된 시스템의 데스크톱에서 \ test디렉토리에있는 파일을 인코딩하며 해당 약어는 Advanced Encryption Standard의 약자이며 원래 Rijndael로 알려 진이 알고리즘은 대칭적입니다. 즉, 암호화 및 암호 해독 키가 동일 함을 의미하며 키의 길이는 128,192 또는 256비트가 될 수 있습니다. 그리고 랜섬웨어는 운영자만 사용할 수 있도록 원격 서버에 키를 전송하며 데이터를 복구하려면 감염된 사람이 특수하게 조작한 암호 해독 프로그램과 비밀 키를 처분할 수 있어야 합니다.

또한, 두 가지 전제 조건은 협상 대상이거나 가해자와 사용자 사이의 협상이 되기 마련입니다. 해당 랜섬웨어는 자세한 복구 지침과 관련 하이퍼 링크가 포함된 문서를 바탕 화면에 생성합니다. 그리고 파일 크기 12KB 밖에 되지 않아서 이메일을 통해서 전파가 가능하면 백신프로그램 제작자들은 이를 탐지하기 위해서 고생을 하시고 있습니다.

그리고 해당 히든티어를 통해서 프로그램에 대해서 조금만 알면 랜섬웨어를 만들어서 가상화폐를 얻을 수가 있습니다. 일단 해당 랜섬웨어인 RansomUserLocker Ransomware 은 한국인을 대상으로 제작되었으면 그리고 한국인이 제작했다는 것을 쉽게 파악할 수가 있습니다. 예를 들어 빗썸같은 한국에 있는 가상화폐거래소 주소를 통해서 구매하고 송금하라는 메시지를 볼 수가 있습니다. 그리고 해당 랜섬웨어에 감염이 되면 RansomUserLocker 확장자로 암호화됩니다.

악성코드는 다양한 방법을 사용하여 스팸 메일을 통해 전달될 수 있으며 그 중 하나는 맬웨어 첨부 파일 이 포함 된 메시지를 만드는 데 의존하기도 하면 다른 사회 공학 기법을 사용하여 악성코드 제작들은 희생자를 조작하고 강요하여 상호 작용할 수 있으며 맬웨어 사이트에서 호스팅 되는. RansomUserLocker 바이러스 샘플을 메시지에 연결할 수 있습니다. 일단 여기서 사회공학기법이라는 것은 쉽게 이야기해서 최근에 평창동계올림픽이 열리는데 평창동계올림픽으로 속인 가짜 사이트 또는 악성코드를 만들어서 사용자가 실행하는 방식입니다. 즉 사람들이 관심이 있는 부분을 이용하는 방법입니다. 그래서 함부로 클릭을 하거나 사이트에 들어가지 말라는 이유입니다.
염이 발생하면 실행되는 첫 번째 작업 중 하나는 정보 수집 모듈입니다. 해당 랜섬웨어 자체는 컴퓨터 호스트에서 중요한 정보를 수집하기 위해서 작업을 수행하며 대개 두 가지 주요 유형으로 분류됩니다.
익명의 통계: 범죄자는 공격 캠페인의 효율성을 결정하는 데 유용한 정보를 수집할 수 있습니다.
개인 구별 정보: 이 유형의 데이터는 사용자 신원을 직접 노출하는 데 사용될 수 있습니다. 악성코드 엔진은 피해자의 이름, 주소, 전화번호, 관심사 및 암호와 관련된 문자열을 검색할 수 있습니다.
그리고 정보 수집 엔진은 개별 컴퓨터 호스트에 할당된 고유한 피해자 ID를 계산하기 위해 추출된 정보를 사용하며 구성에 따라 데이터는 모듈이 실행을 완료하거나 네트워크 연결이 완료되고 해커 운영자에게 릴레이 될 수 있습니다. 그리고 해당 랜섬웨어는 분석을 당하는 것을 싫어해서 샌드 박스 및 디버그 환경 및 가상 컴퓨터상태에서 감염되었는지 검사도 합니다.

그리고 해당 랜섬웨어가 감염이 되면 다음 파일들을 암호화합니다.

.asp, .aspx, .bat, .bmp, .csv, .doc, .docx, .html, .hwp, .java, .jpg, .kys, .mdb, .mp3, .odt,.pdf, .php, .png, .ppt, .pptx, .psd, .rtf, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml, .zip

그리고 랜섬웨어 노트는 다음과 같습니다.

당신의 컴퓨터가 랜섬웨어 감염되었습니다.
1. 당신의 컴퓨터에 무슨 일이 일어났나?
당신의 개인적 파일 예를 들어 사진, 문서, 비디오 및 기타 중요한 파일을 비롯한 개인 파일은 강력한 암호화 알고리즘인 RSA-2048로 암호화되었습니다. RSA 알고리즘은 컴퓨터의 공개 키와 개인 키를 생성합니다. 공개 키는 파일을 암호화하는 데 사용되었습니다.
개인 키는 파일의 암호를 해독하고 복원하는 데 필요합니다.
당신의 개인 키는 우리의 서버에 저장되었습니다. 그리고 장단 하건대 개인키가 없이는 절대 복호화가 이루어지지 않습니다.
RSA 알고리즘: https://namu.wiki/w/RSA%20암호화
2. 어떻게 당신의 파일을 복호화 하나요?
당신은 "24" 시간 안에 지급하셔야 합니다.
만약 그 시간 안에 지급하지 않으면 당신의 개인키는 자동으로 우리의 서버로부터 지워지게 됩니다.
그렇게 되며 그 누구도 당신의 파일을 영원히 복호화할 수가 없습니다.
시간을 낭비하지 마세요.
3. 개인 키를 위해 지급하는 방법은 어떻게 되나요?
세 가지 스텝을 따라 당신의 파일을 복구하세요.
1). 지급은 비트코인 만으로만 가능합니다. 따라서 1 BTC를 구입 한 후 아래 주소로 보내주십시오. 그 후 화면 (랜섬노트)비트코인 주소(Bitcoin Adress)로 1비트코인(1BTC)를 송금하세요.
2). 당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요.
Official Mail:owerhacker@hotmail.com
당신의 개인 ID(Personal ID)를 반드시 확인하세요.
3) 지급을 완료하시고 메일을 보내 시주 시면 당일의 당신의 메일로 암호 해독기와 개인 키를 받게 됩니다.
4.비트코인은 어떻게 구매하나요?
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
비트코인 구매방법
1) 코빗(KoBit)
공식주소:www.localbitcoins.com
2)코인원(CoinOne)
공식주소:www.coinone.com
3)빗썸(Bithumb)
공식주소:www.bithumb.com
4)비트코인을 송금하시고 메일로 개인ID(Personal ID)를 코리아 공식메일 주소로 보내주세요.
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
라고 적혀져 있습니다. 그런데 이게 한가지 알고 보면 저번에 소개해 드린 랜섬웨어인 koreanLocker Ransomware를 보면 일단 이메일 주소는 바뀌었고 비트코인 주소는
Email:powerhacker03@hotmail.com
BTC:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
인 것으로 보면 일단 비트코인 주소가 같은 것으로 보면 일단 해당 랜섬웨어 제작자는 같은 것을 볼 수가 있습니다. 그리고 영어로 번역하면 다음과 같습니다.
1. What's wrong with your computer?
Your personal files, including your photos, documents, videos and other important files have been encrypted with RSA-2048, a strong encryption algorithm. The RSA algorithm generates public and private keys for your computer. The public key was used to encrypt files. A private key is needed to decrypt and restore files. Your private key is stored on our secret server. No one can recover your files without this key.
2. How do I decrypt my files?
To decrypt and restore files, you must pay for the secret key and decryption. You only have 24 hours to make a payment. If payment is not made during this time, then your private key will be automatically deleted from our server. Do not waste your time, because there is no other way to recover your files, other than paying for foreclosures.
3. How do I pay for my private key?
Follow these steps to pay and restore files:
1). Payment is possible only in bitcoins. Therefore, please buy 1 BTC, and then send it to the address below.
2). Send your ID (Personal ID) to our official email address below:
Official Mail: owerhacker@hotmail.com
Be sure to check your personal information. Please refrain from insults and send me an email the same day.
Your personal ID is listed in the title of this screen.
3). You will receive a decryptor and private key to restore all files in one working day.
4. How to find and buy bitcoins?
Buy and send 1 bitcoin to our bitcoin-purse: 1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
Please buy bitcoins and send your ID by mail to our official email address.
We are not good people. But we must keep in the area where we do it.'

일단 이메일 주소만 바뀌었을 뿐 내용도 비슷합니다. 다만, 지난 koreanLocker Ransomware 랜섬웨어 노트 내용에서 조금 발전한 모습을 볼 수가 있습니다. koreanLocker Ransomware 랜섬웨어 노트는 다음과 같습니다.

------------------ koreanLocker Ransomware ------------------
당신의 컴퓨터가 랜섬웨어에 감염되었습니다.
당신의 개인적 파일, 예를 들어 사진, 문서, 비디오 외 다른 중요한 문서들이 RSA-2048이란 강력한 암호화 알고리즘을 이용하여 암호화되었습니다.
당신의 개인키는 우리의 서버에 생성되어 저장되었습니다.
그렇게 되면 그 누구도 당신의 파일을 영원히 복호화할 수 없습니다.
그리고 장담하건대 개인키가 없이는 절대 복호화가 이루어지지 않습니다.
다시 한 번 말하지만 비트코인을 지급하는 것 외해 복호화하는 방법은 존재하지 않습니다.
당신에게 할당된 비트코인 주소를 반드시 확인하세요. 한 글자라도 틀리게 입력하여 보내시면 복구가 되지 않고 당신의 비트코인은 사라지게 됩니다.
당신은 24시간 안에 지급하셔야 합니다.
당신의 개인 ID(personal ID)를 반드시 확인하세요.
만약 그 시간 안에 지급하지 않으면 당신의 변경하기는 자동으로 우리의 서버에서 지워지게 됩니다.
명심하세요.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
세 가지 스텝을 따라 당신의 파일을 복구하세요.
시간을 낭비하시지 마세요.
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (.txt)를 보실 수 있습니다.
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달렸음을 명심하시기 바랍니다.
추가정보:
1). 지급은 비트코인 만으로만 가능합니다. 따라서 1비트코인(1BTC)를 비트코인 거래소를 통하여 구매하세요. 그 후 화면(랜섬노트)비트코인 주소(Bitcoin Address)로 1비트코인(1BTC)를 송금하세요.
2). 당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요.
3). 지급을 완료하시고 메일을 보내 시주 시면 당일의 메일로 복호화툴과 개인키를 보내드립니다.
4) 비트코인을 송금하시고 메일로 개인 ID(Personal ID)를 코리아 공식메일 주소로 보내주세요.
***
개인키(Private Key)는 당신의 파일을 복호화하여 복구하는데 아주 중요한 키입니다.
공개키(Public key)는 당신의 파일을 암호화하는 데 사용되었습니다.
공식주소: www.bithumb.com
공식주소: www.coinone.com
공식주소: www.localbitcoins.com
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Official Mail: powerhacker03@hotmail.com
***
Best Regards
Korean Ransomware Team
------------------ koreanLocker Ransomware ------------------

그리고 한국인들이 가장 많이 사용이 되는 나무위키에 있는 RSA 관련 글을 링크를 해두어서 사용자들에게 공포를 조장하고 비트코인을 요구하는 것은 똑같은 수법입니다.

그리고 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내기 위해서 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다.

그리고 랜섬웨어에 걸리면 절대로 랜섬웨어 제작자 한테 가상화폐를 보내지 마세요.그러면 또 다시 이 같은 범죄는 계속 이어질것입니다.그리고 랜섬웨어에 걸리기 전에 외장하드디스크 하나 장만 해서 그곳에서 백업을 해두세요.

그것이 그나마 안전한 방법이며 랜섬웨어 방지 프로그램은 항상 설치해서 사용을 하시길 바랍니다.그리고 백업프로그램은 윈도우 백업을 이용하거나 인터넷에 백업 전문 프로그램 무료 버전과 유료버전이 있으니 자신이 원하는 것을 선택해서 백업을 하시면 되고 하드디스크가 씨게이트 또는 WD같은 경우에는 백업프로그램을 홈페이지에서 일부 기능이 제한된 백업프로그램을 다운로드 해서 백업과 복원이 가능 합니다.

<기타 관련 글>

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 소개] - 무료 하드디스크 백업 프로그램-AOMEI Backupper Standard Edtion

[소프트웨어 소개] - 컴퓨터 드라이브 백업 도구-Double Driver

[소프트웨어 팁] - Seagate DiscWizard(씨게이트 디스크 위자드)를 활용한 하드디스크 백업하기

[소프트웨어 팁] - Windows 7 시스템 이미지 백업하기!

[소프트웨어 팁] - 원도우에서 복구 파티션을 만드는 방법

[소프트웨어 팁/보안] - 히든티어로 제작된 변종 카카오톡 랜섬웨어 감염 증상

[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

Posted by Sakai
2018.01.23 16:34 소프트웨어 팁/보안

오늘은 간단하게 한국의 유명 메신저인 카카오톡을 사칭하는 랜섬웨어인 KOREA Ransomware(한국 랜섬웨어)에 대해 알아보는 시간을 가져 보겠습니다. 먼저 오늘은 오리지널 버전부터 시작하겠습니다. 해당 KOREA Ransomware(한국 랜섬웨어)은 일단 지난 시간에 소개해 드린 한국스타일랜섬웨어하고 제작자가 동일한것으로 판단이 됩니다.

일단 이메일 주소가 똑같기 때문입니다. AES-256 알고리즘을 통해 파일의 내용을 암호화하는 Ransomware 유형의 트로이 목마입니다. 먼저 해당 랜섬웨어에 감염이 되면 랜섬웨어는 다음과 같이 파일을 만들기 시작을 합니다.
C:\Users\W7_MMD\Desktop\ReadMe.txt이라는 파일을 생성합니다. 그리고서 해당 랜섬웨어는 CreatePassword () 함수를 통해 15바이트 길이의 암호를 생성하여 실행을 시작합니다.

[보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

그리고 다음의 파일을 암호화합니다.
.txt,.doc,.doc,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.hwp,.pdf,.php,.asp,.aspx,.html,.xml,.psd
그리고 나서 EncryptFile 함수를 사용하여 시스템 바탕 화면에 있는 파일의 내용을 수정을 시도합니다. 사용자에게 알리는 것은 2가지로 알려줍니다.

첫 번째 알림용 화면은 카카오 톡 캐릭터를 이용해서 해골이 있는 부분 그리고 두 번째 화면은 결제용으로 사용자에게 알려줍니다.
내용은 다음과 같습니다.
당신의 파일이 암호화되었습니다. 토르 브라우저를 다운로드하고 httx://www.torproject.org/projects/torbrowser.html.en
httx://t352fwt225ao5mom.onion
당신의 키를 입력하세요. 그 후 결제 프로세스를 진행하십시오.
그리고 두 번째인 결제 화면에서는 당신은 파일이 암호화되었습니다. 아래 주소로 가서 암호화를 풀기 위한 정보 확인을 할 수가 있습니다.
2dasasfwt225dfs5mom.onion
% 위 사이트를 가려면 Tor브라우저가 필요함
1246C9FE1BD1FBE35D9E193A352970456975E4F905C7AF1103071BA700814231
으로 구성이 돼 있습니다.

그리고 사이트 t352fwt225ao5mom.onion에서 25개 언어로 인터페이스 언어를 선택할 수가 있으며 CryMIC 에서 해독서비스를 생각이 들기도 하는 랜섬웨어입니다. 그리고 해당 랜섬웨어 제작자는 약 2개월 동안 일하고 있었던 것을 확인할 수가 있습니다.
일단 기본적으로 이메일 및 악의적인 첨부파일을 통해서 전파가 됩니다. 그리고 마지막으로 원래 실행 파일의 복사본은 cmd.exe 명령 프롬프트를 통해 삭제됩니다.

네트워크 연결 및 연결 :
이메일:powerhacker03@hotmail.com
httx://www.torproject.org/projects/torbrowser.html.en
httx //t352fwt225ao5mom.onion
httpx://2dasasfwt225dfs5mom.onion.city

dkqskej,

입니다. 그리고 지난 시간에 소개해 드린 KoreaLock한국스타일 랜섬웨어 하고 악성코드 제작자 이메일이 똑같아서 해당 랜섬웨어는 한국인이 만들 것으로 추정됩니다.

그리고 랜섬웨어 메시지 내용은 다음과 같습니다.
당신의 파일이 암호화되었습니다. 비밀번호라는 메시지를 볼 수가 있습니다.

바이러스토탈 결과

Korean-HT.exe
MD5: 913031b8d460367501a8e84c4143d627
SHA1: f7a78789197db011b55f53b30d533eb4297d03cd
SHA256: 1ad95b74b1e10f41b4ac7d2ee96c74e99f237e1e5717d9e59273a81477d8c9b6
Korean-HT2.exe
MD5: e9dd12f20b0359266e2e151f64231e50
SHA1: ab5dc6e44029dc56d0dd95b75c3db901b7fe629a
SHA256: 8997e8d0cdefde1dbd4d806056e8509dea42d3805f4ac77cff7021517ad1ba06
입니다.

<기타 관련 글>

[보안] - 랜섬웨어 예방 프로그램-RansomStopper

[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 아하하; 이제는 카톡 랜섬웨어인가요.. 별게 다 나오네요..
    • 예전 부터 있었습니다.이거는 최근 변종된 것이 아니고 2016년쯤에 나온 랜섬웨어 입니다.
  2. 역시 유명한 카카오톡을 이용한 랜섬웨어도 나왔네요
  3. 카카오톡을 이용한 랜섬웨어도 있군요..
  4. 랜섬웨어... 헐...
    • 다양한 랜섬웨어가 있는것 같습니다.

비트코인 및 가상화폐 가격 변동을 볼수가 있는 윈도우 스토어-CryptoTracker

Posted by Sakai
2017.12.22 03:56 브라우저 부가기능/윈도우 스토어

오늘은 비트코인 및 가상화폐 가격 변동을 볼수가 있는 윈도우 스토어인 CryptoTracker에 대해 알아보겠습니다.일단 비트코인은 사토시 나카모토(Satoshi Nakamoto)가 만들었고 비트코인은 2009년 1월 3일 사토시 나카모토가 개발한 세계 최초의 암호화폐이며 ISO 코드 4217, XBT 또는 BTC이며 기존 화폐와 달리 정부나 중앙은행, 금융기관의 개입없이 P2P의 빠르고 안전한 거래가 가능하고 그리고 금처럼 유통량이 한정되어 있다는 것이 특징을 가지는 암호화 화폐입니다.

일단 기본적으로 일단 좋은 데로는 잘 사용이 되지 않고 마약거래, 성매매, 불법무기거래 등 어둠이 경로의 거래에 사용되고 있고 그리고 악성코드 제작자들은 AES, RSA 같은 암호화 파일을 이용해서 사용자 파일을 암호화하고 해당 암호화를 풀어주는 대가로 예전에는 돈을 요구했지만, 이제는 비트코인 같은 비트코인을 요구를 하고 있습니다.

일단 비트코인을 얻으려면 돈을 주고 구매를 하는 방법과 직접 비트코인 채굴기를 만들어서 CPU나 GPU 병렬로 연결해서 사용해서 비트코인을 채굴을 합니다.

물론 이런 비트코인을 채굴을 하려고 악성코드를 만들거나 사이트에 스크립트를 넣어서 비트코인 등과 같은 가상화폐를 사용하기도 합니다. 그리고 앞으로 100년간 발행될 비트코인 화폐량이 미리 정해져 있으며 2,100만 개까지만 발행됩니다. 즉 한정이 돼 있어서 최근에 투기 현상이 일어나고 있기도 합니다.비트코인 채굴은 다음과 같이 진행이 됩니다.

Panasonic | DMC-GX80

CryptoTracker

사용자가 송금 버튼을 누르면 거래내용이 네트워크를 통해 주변 노드로 전파되기 시작을 합니다. 그리고 각 채굴 노드는 거래 내용을 검증 거친 후, 이들을 하나로 모아 하나의 블록으로 만들게 되고 채굴 노드는 블록에 무작위로 숫자를 더하고 SHA-256 암호화 함수를 계산합니다. 암호화 결과가 일정 난이도를 통과하면 블록 생성이 성공되고 다시 해당 결과가 주변 노드에 전파되며 이때 블록마다 주어지는 현상금과 각 거래에 포함된 수수료가 블록 생성에 성공한 채굴 노드에 주어집니다.

새 블록이 생성되면 각 노드는 올바른 블록인지 검증되고 블록에 포함된 정보가 모두 올바른 정보일 경우 승인이 이루어집니다. 그리고 채굴 문제를 풀면 나오는 비트코인의 양은 대략 4년마다 절반씩 줄어들어 들고 최종적으로는 총량이 약 2,100만 비트코인을 얻기 돼 있습니다. 일단 해당 윈도우 스토어에 있는 CryptoTracker는 간단하게 Bitcoin, Ethereum, Litecoin를 가격을 볼 수가 있습니다.

단위는 마지막 시간당, 일, 주, 월, 년으로 볼 수가 있으며 현재는 EUR, USD, CAD 및 MXN을 지원을 합니다.

그리고 해당 계발 자는 지갑 주소를 추가해서 포트폴리오를 자동으로 추가할 수가 있는 기능을 추가한다고 합니다. 일단 가상화폐에 관심이 있으신 분들은 한번 참고 하시는 것도 좋을 것 같습니다.

참고로 개인적으로 사용하는 보조 백신프로그램에서는 2017년12월21일 오후 2시쯤에는 Zemana AntiMalware에서 유해한 파일이라고 탐지가 되었습니다. 일단 Zemana AntiMalware 특징상 오진이 있을 수가 있으면 해당 부분은 참고 하시면 될 것입니다.
먼저 해당 CryptoTracker를 설치를 하고 실행을 하면 다음과 같은 화면을 볼 수가 있습니다.

일단 가격은 Bitcoin, Ethereum, Litecoin 가격이 나오는 것을 볼 수가 있으면 각각의 가상화폐 옆에는 최고, 최저, 개장했을 때 가격을 볼 수가 있습니다.
그리고 자신이 원하는 가상화폐를 선택하면 챠트가 나올 것이고 그리고 마우스로 클릭하면 해당 가격 변동부분을 볼 수가 있습니다. 그리고 환경설정에서는 달러, 유로화, CAD를 통화를 변경할 수가 있습니다. 일단 비트코인과 같은 가상화폐에 관심이 있으신 분들만 보시면 될 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 요즘 가상화폐에 투자하는 분들이 많더라구요 덕분에 잘 알고 갑니다
    • 개인적으로 가상화폐에 투자하는것은 위험해보이더라고요.
  2. 좋은 정보 잘보고갑니다. 행복한 아침되세요^^

랜섬웨어 예방 프로그램-RansomStopper

Posted by Sakai
2017.12.18 14:31 소프트웨어 팁/보안

랜섬웨어(Ransomware)이라고 하는 것은 기본적으로 AES, RSA 같은 암호화 알고리즘을 이용해서 사용자의 컴퓨터에 있는 특정 파일을 대상으로 공격해서 파일을 암호화하거나 또는 하드디스크에 있는 파일들을 삭제해서 컴퓨터 사용자에게 돈을 요구하면 돈을 받으면 암호화를 풀어 준다고 협박을 하는 악성코드입니다. 최근에는 기본적으로 가상화폐인 비트코인을 요구하기도 합니다.

물론 해당 비트코인을 지불을 한다고 해도 해당 암호화된 파일들이 풀어준다는 보장은 없습니다. 일단 랜섬웨어(Ransomware)은 기본적으로 예방하는 것이 제일 좋은 방법입니다.

즉 기본적으로 윈도우 업데이트를 기본적으로 하면 백신프로그램을 사용하면 자신이 사용하는 프로그램들은 항상 최신으로 이용하면 토렌트 같은 곳에서 영화를 내려받기를 해서 보다가 랜섬웨어 같은 악성코드에 감염되는 경우 이메일을 통해서 감염되는 경우 아니면 불법 사이트에 접속했다가 감염이 되는 경우 아니면 특정 사이트에서 취약점을 통한 감염 등 여러 가지 방법으로 사용자의 컴퓨터에 감염되기도 합니다.

오늘 소개해 드리는 소프트웨어인 RansomStopper이라는 프로그램은 CyberSight 사에서 제작을 해서 배포를 하는 프로그램입니다. 물론 랜섬웨어는 단순하게 비트코인을 요구를 통한 돈을 위한 목적도 있지만, 정치적인 랜섬웨어 들도 많이 있습니다. 예전에 소개해 드린 이스라바이라는 랜섬웨어 일 것입니다.
RansomStopper라는 프로그램은 컴퓨터에 침입하는 악성코드들을 예측, 탐지 및 차단 및 행동 분석을 수행하는 보안 소프트웨어입니다.
일단 해당 RansomStopper는 무료 안티 랜섬웨어 소프트웨어로 행동 분석 및 기만 기술을 사용하여 예방, 탐지 및 랜섬웨어 공격을 방지합니다, 그리고 랜섬웨어가 사용자의 컴퓨터를 공격하는 것을 탐지할 수가 있습니다. 일단 해당 프로그램인 RansomStopper의 특징은 다음과 같습니다.
행동 분석-소프트웨어에는 기존 또는 잠재적인 랜섬웨어 를 탐지할 수 있는 특허받은 행동 분석 및 기만 기술이 포함되어 있어 PC를 악의적인 암호화로부터 보호합니다.

[보안] - 이스라엘을 목표를 하는 랜섬웨어-Israby Ransomware(이스라바이 랜섬웨어)

RansomStopper

디코이,허니팟:RansomStopper는 허니팟 기술에서 작동합니다. 해당 프로그램 실제로 침입자를 유혹하여 공격을 탐지하도록 설정된 시스템 함정이면서 현재 사이버 범죄자들과 싸우는 가장 좋은 보안 도구 중 하나입니다.
다층 방위 및 실시간 경보 다층 보안 및 실시간 경보 기능을 통해 이 프리웨어는 컴퓨터가 악성코드로부터 안전한지 확인합니다.
완전 자동화된 소프트웨어이므로 특별하게 컴퓨터 사용자가 설정을 변경하거나 구성할 필요가 없습니다.
공격 방법에 관계없이 보호: 사이버 공격자는 다양한 방법을 사용하여 악성 링크를 보내고 PC에 대한 무단 액세스를 허용하지만 RansomStopper는 가능한 모든 방법을 통해서 컴퓨터를 랜섬웨어로 부터 보호합니다.
일단 기본적으로 간단하고 사용하기 쉬운 소프트웨어이며 직관적인 인터페이스가 제공되며 특별한 기술 노하우가 필요 없고 모든 백신 프로그램 및 기타 보안 솔루션과 호환되며 인터페이스는 매우 직관적이며 간단하게 구성이 돼 있습니다. 일단 기본적으로 윈도우 7,윈도우 8,윈도우 10에서만 사용할 수 있으면 윈도우 XP,윈도우 비스타같이 기술지원이 종료된 운영체제는 지원하지 않습니다. 일단 해당 프로그램이 익숙하지 않은 분들은 지난 시간에 소개해 드린 앱체크, 안랩에서 제공하는 랜섬웨어 예방 도구 등을 설치하면 됩니다. 일단 한번 사용을 해보고 싶은 경우에는 가상환경에서 한번 사용을 해보시는 것도 좋은 방법이라고 생각이 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

크리스마스 랜섬웨어(Christmas Ransomware) 감염 및 증상

Posted by Sakai
2017.12.15 01:36 소프트웨어 팁/보안

오늘은 간단하게 크리스마스 랜섬웨어(Christmas Ransomware) 감염 및 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 크리스마스라고 하면 아마도 연인들에게는 좋은 휴일 중 하나일 것입니다. 그러나 랜섬웨어 제작자 분들은 이를 악용한 랜섬웨어를 배포를 했습니다. 일단 제목도 크리스마스를 겨냥 것인지 모르겠지만, 앞으로 다가오는 크리스마스를 노린 것이 아닐까 생각이 됩니다. 일단 해당 랜섬웨어에 감염이 되면 모든 파일이.csrsss로 변경이 됩니다.

해당 악성코드는 기본적으로 Visual Studio 2012로 제작이 되었습니다. 일단 해당 랜섬웨어는 기본적으로 영어를 사용하는 대상으로 잡고 있으면 2017년 12월 초에 발견이 되었습니다. 기본적으로 랜섬웨어를 배포를 하는 방법은 스팸 메일 및 악의적인 첨부 파일, 진짜 프로그램으로 둔갑한 파일, 악의적으로 조작된 웹사이트, 가짜 업데이트등을 통해 배포할 수가 있습니다. 암호화되는 파일들은 다음과 같습니다.
MS 오피스 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 아카이브 파일 등입니다.
악성코드가 감염되면 다음 폴더에 파일을 생성합니다.
%AppData\Local\Temp\ChristmasRansomware.exe
\Desktop\
\User_folders\
그리고 랜섬노트를 생성을 합니다. 그리고 내용은 다음과 같습니다.

Your Files are Encrypted
Send $100 in Bitcoin to Decrypt Your Files
Merry Christmas
당신의 파일들은 암호화되었습니다.
암호화된 파일을 복구하려면 100달러 상당의 비트코인을 보내세요.
메리 크리스마스

라고 적혀져 있습니다.
일단 기본적으로 파일을 내려받기하더라도 공식사이트가 아닌 곳에서는 파일을 다운로드 및 링크를 클릭하지 말고 항상 윈도우 업데이트와 백신프로그램은 최신으로 유지하는 것이 안전하게 컴퓨터를 사용할 수가 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 크리스마스에 별로 반갑지 않은 바이러스네요
  2. 크리마스날에도 랜섬웨어라니 이젠 기념일마다 나오게 생겼어요.
    • 방심한 틈을 노리는것 같습니다.
  3. 다음 메일에 스팸메일이 많이 와서 ...크리스마스랜섬웨어 참고해야겠슴다..
    • 개인적인 생각이지만 메일도 따로 관리하는것이 좋을것 같습니다.예를들어 개인간 메일,업무 볼떄 사용하는 메일등으로 말이죠.
  4. 크리마스에 혼자 인 것도 슬픈데 악성코드에 걸리는 것도 슬프네요 ㅜㅜ 참고 하겠습니다!
    • 다양한 악성코드들이 존재하는것 같습니다.

CainXPii Ransomware 형 히틀러 랜섬웨어(Hitler ransomware) 감염 및 증상

Posted by Sakai
2017.11.27 00:03 소프트웨어 팁/보안

오늘은 히틀러 랜섬웨어(Hitler ransomware) 감염 및 증상에 대해 알아보겠습니다. 일단 히틀러 랜섬웨어(Hitler ransom ware)은 일단 이번에는 2번째 버전으로 지난 시간에 설명한 것보다는 전 버전입니다. 일단 CainXPii Ransomware이라고 부르고 있으며 Hitler ransomware(히틀러 랜섬웨어)의 새로운 변종과 몸값 스크린 샷에 히틀러 이름이 분명히 포함된 새로운 악성코드입니다. 일단 CainXPii Ransomware하고는 특별하게 틀린 것은 없습니다.
히틀러 랜섬웨어와 CainXPii 바이러스는 전형적인 랜섬워어에 동작이 아니라는 것을 보여주지 않고 어떤 파일도 암호화하지는 않지만, 해당 랜섬웨어는 대신 대상 파일 확장 명을 제거합니다. 일단 랜섬웨어처럼 몸값을 받으려고 흑백으로 된 히틀러가 턱을 꾀는 사진이 나타납니다. 해당 랜섬웨어가 동작을 시작하면 1시간 초읽기를 시작을 하니다. Hitler ransomware(히틀러 랜섬웨어) 개발자는 한 시간이 지나면 컴퓨터 시스템을 파괴하기 시작을 합니다. 파일을 사용자의 % UserProfile %로 삭제합니다. 그리고 해당 랜섬웨어는 일반적인 비트 코인 결제 방법은 사용할 수 없습니다. 해당 랜섬웨어는 20 Euro(20 유로) 또는 Bitcoin(비트코인) 대신 20 Euro Vodafone Card가 필요합니다. 그리고 새로운 CainXPii ransomware 변종은 몸값 잠금 화면에서 영어를 사용하고 있습니다.


랜섬웨어 노트는 다음과 같습니다.

This is HItler RANSOMWARE
Warning: Your Files was Encrypted!!!!
to back your PC you have to Pay 20€ PaySafeCard
Please enter the Code of the Card below:
이것은 HItler RANSOMWARE입니다.
경고 : 귀하의 파일이 암호화되었습니다 !!!!
20달러를 지급해야 하는 PC를 후원하십시오. PaySafeCard
아래의 카드 번호를 입력하십시오 :

라는 메시지를 볼 수가 있습니다.
이런 랜섬웨어에 감염이 되지 않으려면 출처가 불분명한 사이트에 있는 사이트에 있는 파일을 내려받기 실행을 하지 않으며 그리고 윈도우 업데이트를 최신업데이트로 유지를 하면 그리고 백신프로그램 사용과 자신이 사용하는 프로그램은 항상 최신 업데이트를 유지를 하면 만약을 대비해서 외장하드디스크에 중요한 파일은 반드시 백업을 해두고 사용을 하는 것도 좋은 방법일 것입니다. 그리고 랜섬웨어 방지 프로그램을 사용하는 것도 좋은 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 아 조심해야할 랜섬웨어네요.
    • 모든 악성코드는 예방이 중요한것 같습니다.
  2. 랜섬 웨어가 계속 생기는군요
    • 돈과 연관이 있다보니 앞으로 계속 생길것입니다.
  3. 유익한 정보입니다.
    잘보고갑니다. 좋은 하루되세요~

  4. 히틀러 랜섬웨어라니..
    다양한 랜섬웨어들이 많아졌네요
    • 랜섬웨어에 걸리지 않게 예방이 중요한것 같습니다.
  5. 랜섬웨어 이름이 히틀러라니 처음엔 조금 놀란거 같습니다.ㅎㅎㅎ

일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법

Posted by Sakai
2017.11.07 00:00 소프트웨어 팁/보안

오늘은 일본 기업을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 최근에 랜섬웨어들은 특정 지역을 노리는 랜섬웨어들이 많이 발생을 하고 있습니다. 지난 시간에 소개해 드린 배드래빗 랜섬웨어 등과 같이 특정 국가를 대상으로 하는 공격들입니다.

보통은 랜섬웨어는 특정 국가가 아닌 여러 국가의 표적으로 공격하였지만, 최근에는 특정 국가나 특정 언어를 사용하는 사용을 하는 맞춤형으로 랜섬웨어가 진화를 하고 있습니다. 일단 ONI Ransomware은 아마도 개인적인 추측으로는 일본어에서 귀신을 뜻하는 鬼(おに)에서 이름을 붙였는지 모르겠습니다. 일단 해당 랜섬웨어인 ONI Ransomware(오니 랜섬웨어)은 기본적으로 스피어 피싱입니다.즉 간단하게 이야기하면 특정 대상을 노려서 해당 대상을 공격하는 방법으로서 먼저 이메일에 악의적으로 조작된 워드 파일이 포함된 압축파일인 zip 파일이 포함돼 있고 사용자가 해당 파일을 무의식적으로 해당 파일을 다운로드하고 나서 압축을 풀고 해당 파일을 실행을 시켜주면 악성코드는 Ammyy Admin RAT에 접속을 시도합니다.

그리고 나서 VBScript 스크립트를 다운로드 해서 실행을 합니다.Ammyy Admin은 합법적으로 제작된 원격 관리 도구이지만 해당 원격관리도구를 악용하는 것입니다. 컴퓨터가 감염되면 도메인 관리자 계정 및 서버에 대한 액세스 권한을 얻으려고 노력을 합니다. 그리고 공격자가 도메인 서버에 액세스 할 때 그룹 정책 스크립트를 사용해서 460가지가 넘는 다양한 이벤트 로그를 정리 한 일괄적으로 처리 파일을 실행하여 해당 작업을 처리합니다. 그리고 해당 랜섬웨어인 ONI Ransomware는 컴퓨터를 무사히 감염시키면 파일 확장자를 .oni 확장명으로 변경합니다. 그리고 암호화된 폴더 안에는 !!! README !!!! .html이라는 파일을 만들고 몸값을 지급하는 메시지와 함께 랜섬웨어 제작자에게 연락할 수가 있는 이메일 주소를 남겨줍니다.

그리고 마스터 부트 레코드(master boot record, MBR) 또는 파티션 섹터(partition sector)를 윈도우 부팅 전에 표시되는 암호화도 진행합니다. 그래서 MBR-ONI이라고도 불리고 있습니다. 만약 복구를 하고 싶은 경우에는 해당 랜섬웨어 제작자한테 비트코인을 제공을 하면 해당 암호화를 풀 수 있는 랜섬웨어 입니다. 물론 랜섬웨어 제작자에게 비트코인을 제공을 하는 것은 좋지 않습니다. 즉 예방이 중요한 이유가 이런 것입니다.

랜섬 노트 내용은 다음과 같습니다.

重要な情報!
すべてのファイルは,RSA-2048およびAES-256暗号で暗号化されています。心配しないで、すべてのファイルを元に戻すことができます。すべてのファイルを素早く安全に復元できることを保証します。ファイルを回復する手順については、お問い合わせ。信頼性を証明するために、2ファイルを無料で解読できます。ファイルと個人IDを私たちにお送りください。 (ファイルサイズ10MB未満、機密情報なし)連絡先hyakunoonigayoru@yahoo.co.jp
중요한 정보!
모든 파일은 RSA-2048 및 AES-256 암호로 암호화되어 있습니다. 걱정하지 마세요 모든 파일을 복구 할 수 있습니다. 모든 파일을 빠르고 안전하게 복구 할 수 있는지 확인합니다. 파일을 복구하는 방법은 문의. 신뢰성을 증명하기 위해 두 파일을 무료로 읽을 수 있습니다. 파일과 개인 ID를 우리에게 보내주십시오. (파일 크기 10MB 미만 기밀 정보 없음) 연락처 hyakunoonigayoru@yahoo.co.jp

일단 이런 랜섬웨어에 감염이 되지 않으려면 기본적으로 윈도우 보안 업데이트를 최신으로 유지하면 백신프로그램 설치 및 최신 업데이트 유지, 실시간 감시를 해야 하며 보조 백신프로그램 또는 랜섬웨어 차단 프로그램으로 컴퓨터를 보호해야 하면 기본적으로 어도비플래시플레이어(Adobe Flash Player)같은 경우에도 마찬가지로 최신 업데이트를 유지를 해야 하면 토렌트 같은 곳에서 함부로 파일을 내려받아서 실행하는 행위 모르는 사람에게서 온 이메일 같은 것도 함부로 실행을 하지 말아야 랜섬웨어 같은 악성코드를 예방할 수가 있습니다.

<기타 관련 글>

[보안] - Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법

[보안] - Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법

[보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

[보안] - 우크라이나를 겨냥한 XData 랜섬웨어 감염 증상 및 예방 방법

[보안] - XData Ransomware(XData 랜섬웨어)에 대한 마스터 암호화 해독 도구 발표

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[보안] - Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어) 감염 증상 및 예방 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)



글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 일본에 사시는분들에게는 정말 조심해야겠군요.
    • 굳이 일본에 사시는 분들이 아니더라도 일본어에 관심이 있거나 일본에서 거래를 하시는 다른 분들도 해당 랜섬웨어에 걸릴수가 있으니까 항상 조심하는것이 좋을것 같습니다.
  2. 한 번 점검해봐야 겠네요 좋은 정보 잘 보고 갑니다
    • 항상 악성코드에 감염이 되는것을 최소화 할려면 예방이 중요하다고 생각이 됩니다.
  3. 일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법 포스트 잘 읽고 갑니다.

Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법

Posted by Sakai
2017.10.30 00:52 소프트웨어 팁/보안

오늘은 Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법에 대해 알아보는 시간을 가져 보겠습니다.일명 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)으로 불리우는 해당 랜섬웨어는 기본적으로 MBR (Master Boot Record)도 함께 건드리기도 합니다.그래서 사용자 입장에서는 정말 나쁜 토끼입니다. 그리고 기본적으로 그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염이 성공을 하면 컴퓨터를 재부팅을 합니다. 그리고 나서 MBR에 걸린 랜섬웨어에 대해 랜섬노트를 제시를 하고 몸값을 제시합니다. 그리고 몸값으로 Tor 브라우저를 이용해서 Tor 네트워크의 사이트에 접속해서 0.05 Bitcoin (약 280달러)을 요구합니다.

그리고 2017년 초에 미국을 강타한 HDDCryptor Ransomware처럼 오픈소스디스크암호화도구인 DiskCryptor를 사용을 하고 있습니다.그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 미국 드라마인 Game of Thrones(왕좌의게임)를 매우 좋아하는지 Grayworm와 같이 Game of Thrones에 나오는 캐릭터 이름이 많이 나오는 것이 특징입니다.

일단 기본적으로 웹사이트를 해킹하고 가짜 어도비플래시플레이어를 설치를 하라는 메시지를 사용자가 나오면 install_flash_player.exe이라는 파일을 사용자가 실행하면 감염이 실행됩니다. 해당 나쁜 토끼 랜섬웨어가 실행이 되면 C:\Windows\infpub.dat를 삭제를 합니다. 그리고 나서 C:\Windows\system32 rundll32.exe,C:\Windows\ infpub.dat 명령어를 통해서 실행됩니다.그리고 실행이 되면 Infpub.dat을 생성을 하고 C:\Windows\cscc.dat,C:\Windows\dispci.exe파일을 생성을 합니다.파일을 암호화하고 나서

Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#1:
Network Activity:

라는 메시지를 내보내는 랜섬웨어 입니다. 일단 특이하게도 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)은 윈도우의 시스템 복원지점을 파괴하지 않는다는 것입니다. 일단 시스템 복원지점을 실행하는 분들은 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)에서 암호화된 파일을 복구할 가능성이 조금은 커졌다고 할 수가 있을 것입니다.

물론 백신프로그램으로 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)를 처리하고 나서 일입니다. 물론 100% 복구를 할 수가 있다는 것이 아닙니다. 러시아 보안 업체인 카스퍼스키(Kaspersky)에서는 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)을 제작을 할 때 두가지 실수를 했다고 합니다.
나쁜 토끼는 보통 기본적으로 랜섬웨어들이 하는 섀도우 볼륨 복사본을 삭제하지 않았다는 것이 가장 치명적인 실수였습니다. 즉 보통 랜섬웨어들은 해당 섀도우 볼륨 복사본을 삭제해서 복구하는 것을 어렵게 하는데 이상하게도 섀도우 볼륨 복사본를 삭제를 하지 않아서 백신프로그램으로 랜섬웨어를 제거를 하고 지난 시간에 소개해 드린 ShadowExplorer(새도우 익스플러워)를 사용을 해서 복구를 시도할 수가 있습니다. 물론 100% 복구가 된다는 보장은 없습니다.

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

다음은 카스퍼스키(Kaspersky)팀에서 MBR(마스터 부트 레코드)를 암호화하고 나서 부팅을 하면 부팅화면에 Bad Rabbit ransomware(배드래빗 랜섬웨어)는 몸값을 받으려고 하려고 할 것입니다. 여기서 카스퍼스키(Kaspersky)연구원들이 분석을 통해서 사용자 정의 부더를 무시가 되지만 사용자 컴퓨터에 들어가 져 있는 암호화된 파일들은 복구 불가입니다. 일단 Your personal installation key#1: 입력을 하라고 할 때 다음과 같이 입력을 해주면 됩니다.
8FuMr3mVjPnFLfwiEgQ571wGxyGzeoZF
입니다. 일단 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)에 감염이 되었으면 한 번쯤은 시도를 할 수가 있습니다. 물론 100% 복구는 불가하겠지만요.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법 잘보고 갑니다^^
    행복한 한 주 되세요
  2. 랜섬 웨어도 복구할 수 있는 방법이 있었군요
    • 복구가 되는것은 아주 확률적은 매우 낮습니다.랜섬웨어에 감염이 안되게 하는 랜섬웨어를 예방하는것이 가장 중요하다고 생각이 됩니다.
  3. 완전 유익한 정보네요~공감 누르고 갑니당 총총

Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법

Posted by Sakai
2017.10.26 00:00 소프트웨어 팁/보안

오늘은 지금 동유럽을 강타한 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 토끼라고 하면 사람들하고 귀엽고 사랑스러운 동물이기도 하지만 오스트레일리아 즉 호주에서는 인간에 의해서 자연이 파괴한 동물이기도 하고 세계경제공황과 1차 세계대전, 2차 세계대전 때에는 MRE로 활용이 되기 했고 경제 공황 속에서도 훌륭한 단백질 공급원이기도 합니다. 일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 현재 러시아, 우크라이나, 불가리아, 터키 등을 휩쓸고 있습니다. 현재 확인된 상황은 우크라이나의 오데사 공항, 우크라이나의 키예프 지하철 시스템, 우크라이나 인프라 자원부, 인터 팩스(Interfax)및폰탄카(Fontanka) 그리고 러시아 통신사도 표적이 되고 있습니다.

일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 가짜 어도비 플래시 플레이어(Adobe Flash Player)을 통해서 전파가 되고 있었지만, 현재는 드라이브 바이 공격으로 이용되고 있습니다. 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 Mimikatz를 사용하여 로컬 컴퓨터의 메모리에서 자격 증명을 추출하고 그다음에 하드 코드 된 자격 증명 목록과 함께 SMB를 통해 같은 네트워크의 서버 및 워크 스테이션에 접근을 시도합니다. 그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 Petya 및 NotPetya와 비슷하게 동작을 하는 것이 특징입니다. 먼저 컴퓨터 파일을 암호화하고 나서 MBR (Master Boot Record)를 건드립니다.

그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염이 성공을 하면 컴퓨터를 재부팅을 합니다. 그리고 나서 MBR에 걸린 랜섬웨어에 대해 랜섬노트를 제시를 하고 몸값을 제시합니다. 그리고 몸값으로 Tor 브라우저를 이용해서 Tor 네트워크의 사이트에 접속해서 0.05 Bitcoin (약 280달러)을 요구합니다. 그리고 2017년 초에 미국을 강타한 HDDCryptor Ransomware처럼 오픈소스디스크암호화도구인 DiskCryptor를 사용을 하고 있습니다.

NIKON CORPORATION | NIKON D7000

그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 미국 드라마인 Game of Thrones(왕좌의게임)를 매우 좋아하는지 Grayworm와 같이 Game of Thrones에 나오는 캐릭터 이름이 많이 나오는 것이 특징입니다. 일단 기본적으로 웹사이트를 해킹하고 가짜 어도비플래시플레이어를 설치를 하라는 메시지를 사용자가 나오면 install_flash_player.exe이라는 파일을 사용자가 실행하면 감염이 실행됩니다. 해당 나쁜 토끼 랜섬웨어가 실행이 되면 C:\Windows\infpub.dat를 삭제를 합니다. 그리고 나서 C:\Windows\system32 rundll32.exe,C:\Windows\ infpub.dat 명령어를 통해서 실행됩니다.

실행이 되면 Infpub.dat을 생성을 하고 C:\Windows\cscc.dat,C:\Windows\dispci.exe파일을 생성을 합니다. 그리고 DiskCryptor에서 생성된 파일은 Cscc.dat이며 dcrypt.sys 필터 드라이버이름이 바뀐 복사본입니다. 그리고 두 파일은 DDriver의 윈도우 서비스파일을 생성합니다. 그리고 Infpub.dat는 악성코드에 감염된 사용자가 컴퓨터를 로그인할 때 dispci.exe를 예약된 작업을 만듭니다.작업스케줄에 등록이 되는 것은 Game of Thrones 시리즈 중에 나오는 Rhaegal입니다.cscc.dat와  dispci.exe 파일과 함께 하드디스크를 암호화하고 마스터 부트 레코드를 수정하게 되고 피해자가 컴퓨터를 켤 때 비트코인을 통해서 몸값을 받으려고 랜섬메세지를 표시합니다.

랜섬메세지는 다음과 같습니다.

Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#1:
Network Activity:

그리고 암호화하는 대상은 다음과 같습니다.

3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

그리고 파일들은 AES 암호 알고리즘으로 암호화됩니다. 그리고 다음 파일을 암호화하는 데 사용이 된 AES 암호화 키가 내장 RSA-2048 공개키로 암호화됩니다. 그리고 Infpub.dat를 통해서 SMB를 통해서 다른 컴퓨터로 랜섬웨어를 확산시키려고 시도를 합니다.
생성되는 파일과 폴더 목록은 다음과 같습니다.

C:\Windows\infpub.dat
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
C:\Windows\cscc.dat C:\Windows\dispci.exe
레지스트리 부분은 다음과 같습니다.
HKLM\SYSTEM\CurrentControlSet\services\cscc
HKLM\SYSTEM\CurrentControlSet\services\cscc\Type 1
HKLM\SYSTEM\CurrentControlSet\services\cscc\Start 0
HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl 3
HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath cscc.dat
HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName Windows Client Side Caching DDriver
HKLM\SYSTEM\CurrentControlSet\services\cscc\Group Filter
HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService FltMgr
HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64

SMB를 통해서 다음과 같은 네트워크 활동을 합니다.
Local & Remote SMB Traffic on ports 137,139,445
caforssztxqzf2nm.onion

그리고 내장이 된 RSA-2048키는 다음과 같습니다.

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

그리고 바이러스토탈 결과는 다음과 같습니다.일단 해당 부분은 참고이므로 검사 당시에서는 업데이트가 되지 않았어 탐지가 되지 않았지만, 지금은 업데이트가 되는 제품들이 있는 것을 미리 알려 드립니다.

바이러스토탈 결과

일단 기본적으로 이런 랜섬웨어 같은 악성코드에 감염되지 않는 방법은 윈도우 업데이트 최신 업데이트로 유지를 하면 토렌트 같이 출처가 불확실한 곳에 있는 파일은 실행하지 않으면 기본적으로 어도비 플래시 플레이어 같은 경우 기본적으로 윈도우 8,윈도우 10 같은 경우에는 윈도우 업데이트를 통해서 업데이트를 할 수가 있으면 그리고 다른 브라우저를 사용하는 같은 경우에는 어도비 공식홈페이지에서 다운로드해서 사용을 하면 됩니다. 그리고 기본적으로 설치돼 있으면 특별한 설정 없으면 인터넷에 연결돼 있으면 알아서 업데이트를 할 것입니다. 그리고 백신프로그램은 항상 설치를 하고 최신 상태로 유지하면 실시간 감시를 하며 보조 백신프로그램 또는 랜섬웨어차단프로그램을 통해서 이런 랜섬웨어에 대비를 할 수가 있으면 프로그램은 항상 최신 업데이트를 유지를 하는 것이 이런 랜섬웨어 같은 악성코드에 감염되는 확률을 줄일 수가 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 이 참에 중요한 자료는 일단 백업해둬야 겠습니다.
    • 백업프로그램으로 미리 백업을 해두는것도 좋은 방법이라고 생각이 됩니다.
  2. 잘 보고 갑니다.
    조심해야겠군요
  3. Bad Rabbit Ransomware 나쁜 토끼 랜섬웨어의 감염 증상 및 예방 방법 잘 보고 갑니다^^
    행복한 목요일 하루 되시길 바래요-
  4. 면서 종류도 참 다양하네요 좋은 팁 잘 보고 갑니다
    • 랜섬웨어 기본은 같습니다.파일을 암호화 하고 나서 비트코인을 요구하는것이죠.
  5. 나쁜토끼가 새로 나왔나보네요..
    보안에 더 신경써야겠습니다..
    • 기본적으로 보안 업데이트와 보안 수칙을 잘 지키면 랜섬웨어에 감염이 될 확률은 줄어듭니다.
  6. 좋은정보 잘보고갑니다.
  7. 저도 이미 걸려 본 적이 있어서 그런지 요줌에는 더 많이... 조심하게 되더라구요.ㅠㅠ
    • 기본적으로 윈도우 업데이트와 자신이 사용을 하는 프로그램들은 최신 업데이트로 유지를 하면 악성코드에 감염이 되는것을 최소화 할수가 있습니다.

Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어) 감염 증상 및 예방 방법

Posted by Sakai
2017.10.18 00:00 소프트웨어 팁/보안

오늘은 Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어) 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져보겠습니다. 일단 Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어)은 또 다른 이름의 My Decryptor ransomware(MY Ransom 랜섬웨어)이라고도 부르고 있습니다. My Decryptor ransomware은 악성코드에 감염되면 기본적으로. kgpvwnrd으로 변경이 됩니다. 암호화는 AES 암호화로 암호화를 진행됩니다. 일단 랜섬웨어 감염이 되는 곳은 악의적으로 조작된 웹사이트에 사용자가 접속했으면 보안 취약점을 악용해서 컴퓨터에서 윈도우 보안 업데이트 및 기타 프로그램을 최신프로그램을 유지하지 않으면 원격코드가 실행되는 Exploit를 통해서 감염됩니다. 일단 해당 랜섬웨어에 감염이 되면 기본적으로 다음과 같은 폴더에 새로운 파일들을 생성을 시도합니다.
C:\Users\%UserName%\AppData\Local\Temp\kgpvwnr.exe
C:\Users\%UserName%\AppData\Local\Temp\_HOW_TO_DECRYPT_MY_FILES_(랜덤)_.txt
C:\Users\%UserName%\Desktop\(랜덤).exe
C:\Windows\System32\Tasks\kgpvwnr
C:\Windows\System32\Tasks\(랜덤)
작업 스케줄을 통해서 calua.exe -a %Temp%\kgpvwnr.exe,%Temp%\_HOW_TO_DECRYPT_MY_FILES_(랜덤)_.txt을 생성이 됩니다.

그리고 랜섬노트을 생성을 하고 내용은 다음과 같습니다.
_HOW_TO_DECRYPT_MY_FILES_(랜덤)_.txt
ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
To receive the private key and decryption program follow the instructions below:
1. Download “Tor Browser” from https://www.torproject.org/ and install it.
2. In the “Tor Browser” open your personal page here:
http://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/xxxxxxxxxxx
Note! This page is available via “Tor Browser” only.
Also you can use temporary addresses on your personal page without using “Tor Browser”:
http://27dh6y1kyr49yjhx8i3.sayhere.party/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.goflag.webcam/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.keysmap.trade/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.segon.racing/xxxxxxxxxxx
Note! These are temporary addresses! They will be available for a limited amount of time!
대충 번역을 하면 다음과 같습니다.
모든 사진, 사진, 데이터베이스 및 기타 중요한 파일이 암호화되었습니다!
파일이 손상되지 않았습니다! 파일은 수정됩니다. 이 수정은 되돌릴 수 있습니다.
파일을 복원하는 유일한 방법은 개인 키와 암호 해독 프로그램을 받는 것입니다.
타사 소프트웨어로 파일을 복원하려는 시도는 파일에 치명적입니다!
개인 키와 암호 해독 프로그램을 받으려면 다음 지침을 따르십시오.
1. http://www.torproject.org/에서 "Tor Browser"를 다운로드하여 설치하십시오.
2. Tor 브라우저에서 개인 페이지를 엽니다.
https://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/xxxxxxxxxxx
노트! 이 페이지는 "Tor 브라우저"를 통해서만 사용할 수 있습니다.
또한 "Tor Browser"를 사용하지 않고도 개인 페이지에서 임시 주소를 사용할 수 있습니다.
http://27dh6y1kyr49yjhx8i3.sayhere.party/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.goflag.webcam/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.keysmap.trade/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.segon.racing/xxxxxxxxxxx
노트! 이들은 임시 주소입니다! 제한된 시간 동안 사용할 수 있습니다!
라는 메시지를 볼 수가 있습니다.

그리고 랜섬웨어 몸값을 제공하기 위해서 Tor 브라우저(토르 브라우저)를 다운로드 및 실행을 접속하게 합니다.
그리고 READ_ME_FOR_DECRYPT_ (확장). txt에는 다음과 같은 내용은 다음과 같습니다.
ALL Y0UR DOCUMENTS, PHOTOS, DATABASES AMD OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
To receive the private key and decryption program follow the instructions below:
1. Download "Tor Browser" from https://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
http://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/xxxxxxxxxxxx
문서, 사진, 데이터베이스 및 기타 중요한 파일이 암호화되었습니다!
경고! 타사 소프트웨어로 파일을 복원하려는 시도는 파일에 치명적입니다! 경고!
파일을 해독하려면 특수 소프트웨어 ( "My Decryptor")를 구매해야 합니다.
모든 거래는 BITCOIN 네트워크를 통해 수행되어야 합니다.
5일 이내에 제품을 특별 가격으로 살 수 있습니다 : BTC 0.200(~$ 1105)
5 일 후 제품의 가격은 최대 BTC 0.400(~$ 2210)
그리고 친절하게 비트코인을 구매 및 거래를 할 수 있는 사이트 목록들을 다음과 같이 보여 줍니다.
How to get "My Decryptor"?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Here are our recommendations:
Buy Bitcoins with Cash or Cash Deposit
LocalBitcoins (https://localbitcoins.com/)
BitQuick (https://www.bitquick.co/)
Wall of Coins (https://wallofcoins.com/)
LibertyX (https://libertyx.com/)
Coin ATM Radar (https://coinatmradar.com/)
Bitit (https://bitit.io/)
Buy Bitcoins with Bank Account or Bank Transfer
Coinbase (https://www.coinbase.com/)
BitPanda (https://www.bitpanda.com/)
GDAX (https://www.gdax.com/)
CEX.io (https://cex.io/)
Gemini (https://gemini.com/)
Bittylicious (https://bittylicious.com/)
Korbit (https://www.korbit.co.kr/)
Coinfloor (https://www.coinfloor.co.uk/)
Coinfinity (https://coinfinity.co/)
CoinCafe (https://coincafe.com/)
BTCDirect (https://btcdirect.eu/)
Paymium (https://www.paymium.com/)
Bity (https://bity.com/)
Safello (https://safello.com/)
Bitstamp (https://www.bitstamp.net/)
Kraken (https://www.kraken.com/)
CoinCorner (https://www.coincorner.com/)
Cubits (https://cubits.com/)
Bitfinex (https://www.bitfinex.com/)
Xapo (https://xapo.com/)
HappyCoins (https://www.happycoins.com/)
Poloniex (https://poloniex.com/)
Buy Bitcoin with Credit/Debit Card
Coinbase (https://www.coinbase.com/)
CoinMama (https://www.coinmama.com/)
BitPanda (https://www.bitpanda.com/)
CEX.io (https://cex.io/)
Coinhouse (https://www.coinhouse.io/)
Buy Bitcoins with PayPal
VirWoX (https://www.virwox.com/)
Could not find Bitcoins in your region? Try searching here:
BittyBot (https://bittybot.co/eu/)
How To Buy Bitcoins (https://howtobuybitcoins.info/)
Buy Bitcoin Worldwide (https://www.buybitcoinworldwide.com/)
Bitcoin-net.com (http://bitcoin-net.com/)
3. Send BTC 0.200 to the following Bitcoin address:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
4. Control the amount transaction at the "Payments History" panel below
5. Reload current page after the payment and get a link to download the software
 Payments: Total received: BTC 0.000
At the moment we have received from you: BTC 0.000 (left to pay BTC 0.200)
입니다.
그리고 암호화되는 파일 목록들은 다음과 같습니다.
.PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI., .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG
입니다. 일단 해당 랜섬웨어인 Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어)은 Cerber 랜섬웨어와 비슷한 모습도 있습니다. 일단 이런 악성코드에 감염되지 않는 방법은 기본적으로 윈도우 보안 업데이트를 해야 하면 Adobe Flash Player 등과 같이 자신이 사용하는 프로그램은 최신으로 유지해야 하면 기본적으로 백신프로그램을 설치하고 최신 업데이트 및 실시간 감시를 해야 하면 토렌트와 같은 곳에서 함부로 파일을 다운로드해서 실행을 하는 것을 최소화해야 합니다. 그리고 윈도우에서 시스템 복원지점을 설정돼 있습니다. 일단 해당 시스템 복원지점 지정이 돼 있다고 하면 ShadowExplorer(새도우 익스플러워)를 통해서 복구를 시도할 수가 있습니다. 다만 기본적으로 백신프로그램으로 해당 랜섬웨어를 제거를 하고 나서 ShadowExplorer(새도우 익스플러워)로 복원을 시도하면 됩니다. 그리고 백신프로그램과 함께 보조 백신프로그램 또는 랜섬웨어 방어 프로그램을 다운로드를 해서 실행을 해두는 것도 좋을 것입니다. 예를 들면 앱체크, Zemana Anti Malware등과 같은 프로그램을 다운로드 해서 실시간 감시를 하는 것도 좋은 방법이라고 생각이 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 타사 소프트웨어로 절때 복구 하면 안되는군요.
    랜섬웨어 무서워지네요.
    • 원래 랜섬웨어에서는 저렇게 경고성 글을 넣어서 사용자를 놀라게 합니다.랜섬웨어에 감염이 안되게 하는것이 제일 중요한것이라고 생각이 됩니다.

파이어폭스에서 발생하는 오류 코드: sec_error_unknown_critical_extension 해결방법

Posted by Sakai
2017.10.17 00:00 소프트웨어 팁

오늘은 파이어폭스에서 발생하는 오류코드 중 하나인 오류 코드: sec_error_unknown_critical_extension에 대해 알아보겠습니다. 먼저 해당 오류는 아마도 한국의 일부 관공서에 접속하면 발생을 하는 문제이기도 합니다. 물론 다른 외국 사이트들을 인터넷 서핑을 하더라도 해당 문제는 발생하는 경우가 있습니다. 일단 기본적으로 파이어폭스는 안전한 접속이 되어 있는 웹 사이트 예를 들어 https://로 표시되는 사이트에서는 그 웹 사이트에 의하여 제시된 인증서의 정당성을 Firefox가 검증하는 절차를 거치게 돼 있습니다.

해당 오류인 SEC_ERROR_UNKNOWN_ISSUER가 발생을 하는 원인은 간단합니다. 파이어폭스에서 인증서를 검증할 수 없는 경우 Firefox에서는 웹 사이트 접속을 중지시키고 안전한 접속은 아닙니다라는. 오류 메시지를 사용자에게 표시합니다. 일단 해당 오류 SEC_ERROR_UNKNOWN_ISSUER 가 발생을 하는 경우는 한국의 일부 관공서, 학교 사이트 등에서 발생합니다. 일단 해당 코드 의미를 더 자세하게 이야기하면 안전한 접속을 하는 동안 사용자의 접속 처가 의도한 상대인 접속이 암호화되어 있음을 확실히 하기 때문에 웹 사이트는 신뢰되 인증 기관(Certificate Authority)이 발행된 인증서를 제시할 필요가 있습니다.

안전한 접속은 아닙니다는. 오류 페이지가 표시되며 오류 내용의 버튼을 클릭하고 오류 코드에 SEC_ERROR_UNKNOWN_ISSUER이라고 표시되었을 경우가 발생하는데 해당 경우에는 Firefox가 모르는 인증 기관에 따른 발행된 인증서가 제시되어 있는데, 그 페이지는 신뢰할 수 없음을 의미합니다. 즉 신뢰된 인증서가 없어서인 경우입니다.

이런 오류가 발생할 때 대처 방법은 간단합니다.

만약 공공기관에서 이런 오류가 발생하는 경우는 한국 정부에서 운영하는 사이트 또는 해당 학교 또는 공공사이트에서 발생하는 원인은 한국의 공인 인증기관 SSL 보안 통신 인증서가 파이어폭스에서 설치되어 있지 않아서 발생하는 문제입니다.

학교 또는 공공사이트에서 발생하는 원인은 한국의 공인 인증기관 SSL 보안 통신 인증서가 파이어폭스에서 설치되어 있지 않아서 발생하는 문제입니다. 이를 해결하는 방법은 간단합니다. GPIK 인증서를 설치하면 됩니다. 먼저 GPIK 인증서를 배포하는 사이트에 이동해서 해당 인증서를 다운로드를 해서 압축프로그램으로 압축을 해제해줍니다. 그리고 나면 gpki1.cer,gpki2.cer 두 개의 인증서가 있는것을 볼 수가 있습니다. Firefox->설정->고급->암호화를 선택합니다.

GPIK 인증서

그리고 여기서 인증서 보기를 선택하고 나서 가져오기 그리고 cer파일 선택을 하고 나서 신뢰 체크 및 확인을 눌러주어서 두 개의 인증서를 설치하면 됩니다. 그러면 해당 문제를 해결할 수가 있습니다.

이런 경우가 아닌데 발생을 하는 경우가 있는데 해당 경우는 백신프로그램에서 문제가 되어서 발생을 하는 경우입니다. 일단 Avast,Bitdefender,Bullguard,ESET,Kaspersky 백신프로그램을 사용하는 경우에 간혹 발생을 하기도 합니다. 이러면 어베스트 같은 경우에는 Active Protection 항목에서 Web Shield를 선택하고 Customize 버튼을 눌러서 Enable HTTPS Scanning 설정을 해제하면 되고 Bitdefender 같은 경우에는 Web Protection 항목에서 Scan SSL 설정을 꺼버리면 되고 2016 버전에서는 안전한 접속 방해를 꺼버리면 됩니다.Bullguard 제품을 사용하시는 분은 Antivirus settings->Browsing으로 이동해서 오류가 발생하는 웹사이트의 Show safe results 옵션 체크 부분을 제외하면 됩니다.

ESET 같은 경우에는 SSL/TLS protocol filtering 설정을 사용 안 함으로 변경을 하고 다시 사용으로 변경을 해보는 방법이 있습니다.Kaspersky 제품을 사용하는 경우에는 안전한 접속의 중단 부분을 사용 안함으로 변경을 하시면 됩니다. 만약 윈도우에서 Windows 계정 가족 보안 설정을 사용하는 경우에는 해당 기능을 잠시 중단하고 사용을 하면 됩니다. 일단 해당 방법을 사용하면 대부분 해당 오류인 SEC_ERROR_UNKNOWN_ISSUER 문제를 해결할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. SSL 보안 통신 인증서가 설치 되지 않은것이 원인이었군요.
    • 네~해당 오류를 경험하신분들은 인증서를 설치하는것이 좋은 방법중 하나일것입니다.
  2. 잘 배우고 갑니다 즐거운 하루 되세요
    • 오늘도 즐거운 하루 보내세요.

OhNo Ransomware(오노 랜섬웨어)감염 증상 및 예방방법

Posted by Sakai
2017.10.11 00:16 소프트웨어 팁/보안

OhNo Ransomware(오노 랜섬웨어)는 기본적으로 파일을 암호화해서 감염이 이루어진 컴퓨터 사용자에게 비트코인을 요구하는 악성코드입니다. 일단 OhNo Ransomware(오노 랜섬웨어)은 2017년8월30일에 발견이 된 랜섬웨어입니다. 일단 해당 랜섬웨어는 기본적으로 미완성작입니다. 일단 어떻게든 변형이 이루어질 가능성도 있습니다. 일단 기본적으로 백신프로그램에 탐지되는 것을 탐지를 되는 것을 회피하려고 테스트 목적으로 미완성으로 된 랜섬웨어 입니다. 일단 해당 랜섬웨어에 감염이 되면 기본적으로 파일 확장자를 .ohno!로 변경을 해버립니다. 일단 기본적으로 목표하는 파일들은 다음과 같습니다.
.7z, .bmp, .csv, .dll, .doc, .docx, .exe, .gif, .gz, .jpeg, .jpg, .lnk, .midi, .mp3, .pdf, .png, .ppt , .pptx, .txt, .wav, .wpd, .xlsm, .xlsx, .zip
먼저 감염이 되면 해당 기본적으로 해당 파일들을 검색하고 암호화됩니다. 그리고 암호화 방식은 AES와RSA로 암호화를 진행하면 물론 해당 랜섬웨어에 감염이 되면 복구도구가 없는 관계로 복구는 되지 않습니다. 일단 해당 OhNo Ransomware(오노 랜섬웨어)은 암호화가 진행되며 구글 크롬과 같은 Google 크롬 기본 페이지를 바탕화면에 표시합니다. 그리고 오노 랜섬웨어는 Monero(XMR)에서 암호화된 파일을 풀 수가 있는 조건으로 Bitcoins(비트코인)을 요구하는 랜섬웨어 노트를 표시합니다.

You have been, infected with OhNo! ALL your Documents, Downloads, and Desktop have been Encrypted with a Unique Key to your System. Each Key is a TOTALLY Random Key specific to that Machine. Please Pay 2. XMR to the specified address below and you will receive a Email with your Key. Monero (XMR) is a cryptocurrency based on 100% annoymous transactions. You can find how to purchase Monero by using Google. If you can't figure out how to Buy XMR, you probably shouldn't have a PC.
-Goodluck
XMR ADDRESS: [무작위 CHARCTERS]'
(당신은 OhNo에 감염되었다! 모든 문서, 다운로드 및 바탕 화면은 시스템의 고유한 키로 암호화되었습니다. 각 키는 해당 장치에 특정한 전적으로 무작위의 키입니다.
아래의 지정된 주소로 2.XMR을 지급하면 귀하의 키로 이메일이 발송됩니다.
Monero (XMR)은 100% annoymous 트랜잭션을 기반으로 하는 cryptocurrency입니다.
Google를 사용해서 Monero를 구매하는 방법을 확인할 수 있습니다. XMR을 사는 방법을 알아낼 수 없다면 아마 컴퓨터를 사용을 못 합니다.
행운을 빕니다.
XMR 주소:[무작위 Characters]

일단 보면 테이큰 영화를 좋아하는지 Good luck(행운을 빕니다.)라는 메시지를 볼 수가 있습니다. 그리고 2 Moneros는 미국 달러로 계산하면 약 290달러입니다. 그리고 이런 랜섬웨어에 감염이 되면 기본적으로 랜섬웨어 제작자에게 이메일을 보내거나 비트코인을 보내는 것은 어리석은 짓입니다. 그리고 만약 돈을 보냈다고 했다고 해도 랜섬웨어 복구도구를 보내준다는 보장도 없으면 복구될 확률도 거의 없습니다. 그리고 기본적으로 해당 악성코드는 기본적으로 백신프로그램에서 탐지되고 있습니다.

기본적으로 탐지 명은 Trojan.Ransom.OhNo,Trojan.GenericKD.12215582,Trojan/Win32.Snocry.C911015,PowerShell/Filecoder.N,Trojan-Ransom.PowerShell.Agent.f,Ransom.OhN등으로 탐지가 되고 있습니다.
일단 기본적으로 랜섬웨어 등과 같은 악성코드에 감염되는 것을 최소화하려면 반드시 윈도우 보안 업데이트 와 기타 프로그램을 최신으로 업데이트를 유지하고 백신프로그램을 반드시 설치하고 실시간 감시 최신 업데이트로 유지하는 것이 안전하게 컴퓨터를 사용하는 방법일 것입니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 아직도 랜섬 웨어가 기승을 부리고 있군요 빨리 차단 되었으면 좋겠네요
    • 일단 어둠의 사이트에서는 랜섬웨어 제작툴이 있어서 그것을 이용을 하는 것도 많은것이 영향을 미치는것도 같고 제일 중요한것은 사용자가 기본 보안 수칙을 지키는것이 안전하게 컴퓨터를 사용을 하는 방법일것입니다.
  2. 랜섬은 정말 골칫거리인것 같아요. 으으
    • 네~그렇지만 기본적인 보안 수칙을 준수한다고 하면 랜섬웨어 같은 악성코드에 감염이 되는것을 최소화 할수가 있을것입니다.
  3. OhNo Ransomware(오노 랜섬웨어)감염 증상 및 예방방법 에 대해 잘 알고 갑니다^^ 오늘도 멋진 하루 되세요
    • 오늘도 행복한 하루 보내세요.

올크라이 랜섬웨어(AllCry Ransomware) 감염 증상 및 예방 방법

Posted by Sakai
2017.10.09 10:01 소프트웨어 팁/보안

오늘은 올크라이 랜섬웨어(AllCry Ransomware) 감염 증상 및 예방 방법에 대해 알아보는 것을 알아보겠습니다. 일단 기본적으로 모든 랜섬웨어들 또는 악성코드의 공통점은 바로 윈도우 보안 업데이트 등과 같이 보안 업데이트가 이루어지지 않은 취약점을 가지는 컴퓨터를 노리게 돼 있고 이런 컴퓨터들이 악의적인 목적이 있는 웹사이트 방문 또는 파일을 다운로드 했을 때는 악성코드에 감염될 확률이 높아서 개인정보 유출 및 금전적인 피해로 이어지는 형태로 구성돼 있습니다.

그리고 가상화폐인 비트코인(Bitcoin)을 지급을 하면 암호화된 파일을 풀어준다는 식으로 협박하게 되면 그리고 물론 가상화폐인 비트코인(BitCoins)를 지급을 한다고 해도 암호화된 파일을 복구할 수가 있는 파일을 줄 확률도 낮습니다. 즉 간단하게 이야기하면 먹튀 할 수가 있으면 랜섬웨어 복구 도구를 제공한다고 해도 100% 복구된다는 보장이 없습니다. 올크라이 랜섬웨어(AllCry Ransomware)은 2017년9월26일부터 발견이 되고 있습니다.

일단 추석연휴가 끝이 나면 올크라이 랜섬웨어(AllCry Ransomware)에 감염된 컴퓨터가 활동할 가능성도 있습니다. 그리고 웹하드 설치 프로그램과 재적으로 불필요한 프로그램(Potentially Unwanted Program)등을 이용해서 컴퓨터 등을 변조해서 사용자에게 유포되고 있습니다. 일단 해당 랜섬웨어는 닷넷(.NET)을 통해서 악성코드이며 악성코드의 분석 및 탐지 회피 등을 하기 위해서 .NET Reactor 코드프로텍터로 Packing으로 돼 있습니다. 올크라이 랜섬웨어(AllCry Ransomware)는 난독화되어져 있는 숨겨진 코드를 해석하면 닷넷(.NET)으로 작성된 악성코드를 발견할 수가 있습니다. 그리고 올크라이 랜섬웨어(AllCry Ransomware)는 East Assia 즉 동북아시아 지역인 한국어, 중국어를 사용하는 사람을 대상으로 하고 있으며 물론 기본적으로 영어로도 구성돼 있습니다.

그리고 readme.txt에서는 한국어, 영어, 중국어를 선택할 수가 있게 구성이 돼 있습니다. 그리고 해당 랜섬웨어는 autoexe.bat, config.sys과 같은 특정 시스템 파일도 암호화되며 암호화 후 암호화된 파일을 확장자를 allcry 확장자로 변경합니다.암호화가 진행되면 랜섬 메시지에서는 다음과 같은 랜섬 메시지가 표시됩니다.

일부 파일이 암호화되었습니다.
비트코인 0.2개를 아래 지갑 주소에 보내시고 위에 보이는 하드웨어 코드를 아래 메일 주소로 보내주시면 암호해제프로그램하고 암호를 보내드립니다. 7일 이내에 지불이 없으면 더 이상 해독을 지원하지 않습니다.
(Some File have been encrypted
Please send 0.2 bit coins to my btc wallet
If you paid, send the hardware Id to my email
I will give you program to decryper
If there is no payment with seven days,
we will no longer support decrtption
Email: allcy@allcy@alquds.com
BTC wallet:XXXXXXXXXXXXXXXXXX
Your Hardware ID:XXXXXXXXXXXXX

 

일단 대충 비트코인을 0.2이면 약 886달러입니다.
해외에서는 Hoax.Win32.FakeRansom,Unwanted / Win32.FakeRansom.C2174 등으로 진단하고 있습니다. 랜섬웨어 내부에는 allcrys.exe이 포함이 돼 있고 파일 속성을 열어보면 마이크로소프트로 돼 있고 allcyrs이름으로 오타도 포함돼 있습니다. 즉 해당 올크라이 랜섬웨어(AllCry Ransomware)속성에 있는 마이크로소프트는 가짜입니다.
그리고 올크라이 랜섬웨어(AllCry Ransomware)가 정상적으로 설치되고 동작을 하면 한국에 있는 특정 C&C로 하드웨어 코드를 전송하고 응답을 기다립니다. 만약 응답이 정상적으로 암호화 작업이 시작되면 최근에서는 인터넷 접속을 차단했으면 올크라이 랜섬웨어(AllCry Ransomware)로 암호화가 되지 않습니다. 그리고 암호화가 정상적으로 되면 앞서 이야기한 랜섬노트가 나오고 해당 올크라이 랜섬웨어는 allcy@alquds.com(이스라엘 메일),allcry@naij.com(나이지리아 메일)를 사용을 하고 있습니다.

물론 지금은 웹서버가 차단돼 있기 때문에 오류가 뜨는 것을 볼 수가 있습니다. 그리고 삭제를 한다고 수동으로 삭제하는 것보다 백신프로그램들로 삭제하는 것이 안전하게 삭제를 하는 방법이고 그리고 자신이 사용하는 운영체제, 그리고 웹브라우저는 반드시 최신 상태 유지 백신프로그램은 반드시 설치해서 사용하시는 것이 안전하게 사용을 하는 방법입니다. 물론 랜섬웨어 보호 도구들을 따로 설치해서 운영하는 것도 좋은 방법이라고 생각이 됩니다.
만약 이지만 시스템 복원지점을 생성해놓은 상태에서 해당 시스템 복원 지점이 삭제되지 않았다고 하면 ShadowExplorer

(새도우 익스플러워)로 한번 랜섬웨어 복구를 시도는 할 수가 있을 것입니다. 그리고 기본적으로 윈도우 업데이트는 기본적으로 하면 백신프로그램 설치 및 백신프로그램 실시간.그리고 랜섬웨어 차단 프로그램을 통해서 컴퓨터가 랜섬웨어에 감염이 되는 것을 최소화할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

Posted by Sakai
2017.08.11 00:00 소프트웨어 팁/보안

랜섬웨어라고 하면 기본적으로 AES,RSA같은 개인정보 보호 또는 중요한 메일 같은 내용, 중요한 파일, 중요한 문자 등을 암호화를 통해서 다른 사람들이 자신의 중요한 파일이나 내용을 함부로 열 수 없게 하려고 사용이 되고 있습니다. 즉 좋은 쪽으로 사용하면 이렇게 사용을 할 수가 있겠지만 나쁘게 사용을 한다고 해당 종은 기술을 역으로 나쁘게 이용을 해서 다른 사람의 파일을 강제적으로 잠그고 그리고 해당 내용을 풀려고 하면 돈을 내거나 비트코인을 내라고 합니다.

물론 해당 해커들이 잡히는 경우나 프로그램의 버그 그리고 흔히 이야기하는 재능기부 아니면 보안업체에서 해당 랜섬웨어를 깨뜨리면 암호화된 파일은 복원화가 가능합니다. 다만, 요즈음 해커들은 이런 것도 알고 있기 때문에 개인키를 따로 만들어서 해당 개인키가 없는 경우는 해당 랜섬웨어로 암호화된 파일은 풀 수가 없습니다. 물론 풀려고 하면 사법당국에서 범죄자를 체포하고 그리고 해당 개인키를 획득을 하면 해당 랜섬웨어 복원화도구를 만들어서 배포할 수 있지만 사실상 불가능에 가깝습니다. 즉 기본적으로 랜섬뭬어와 같은 악성코드를 예방하는 방법은 간단합니다.

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

윈도우 보안 업데이트를 하고 그리고 백신프로그램을 설치하거나 보조 백신프로그램 설치 또는 랜섬웨어 감염 예방 프로그램을 설치해서 이에 대비를 하는 방법 그리고 자신이 사용하는 프로그램은 최신 업데이트로 업데이트를 해두어야지 이런 피해로부터 최소화가 가능합니다. 그리고 요즈음 랜섬웨어들은 MBR부분도 암호화하거나 파괴를 하기 때문에 정말 악성코드에 감염되면 머리가 아파집니다. 그래서 지난 시간에 MBR보호 프로그램을 소개를 해주었고 MBR보호 기능이 있는 앱체크라는 프로그램을 소개해 드렸습니다.

일단 오늘 시켜 드리는 랜섬웨어 감염 예방 프로그램인 Ransomoff(랜섬오프)은 기본적으로 무료인데 MBR 보호 기능이 있다고 하는 것이 특징입니다. 일단 특별하게 조작을 할 것이 없고 프로그램을 다운로드 해서 실행을 시켜주면 됩니다. 그리고 기본적인 옵션으로 사용하면 됩니다. 다만, 현재 Ransomoff(랜섬오프)은 RC 버전이라서 조금은 불안정할 수가 있습니다.
그러니까 자신이 한번 설치를 해보고 싶은 분만 설치를 하고 이런 위험 부담을 감수하기 싫은 분들은 정식 버전이 나올 때까지 기다렸다고 설치하는 방법과 아니면 가상 시스템를 통해서 설치를 해보는 것도 좋은 방법입니다. 일단 어느 것을 선택하든 자신이 좋은 방법을 선택하면 될 것입니다.

Ransomoff(랜섬오프)
다만, 앞서 이야기한 것처럼 기본적으로 악성코드에 감염되지 않으려면 자신이 사용하는 최신 프로그램은 항상 최신 업데이트로 유지 관리하면 윈도우 업데이트는 귀찮더라도 시간을 내어서 업데이트를 하고 백신프로그램도 무료로 제공되고 있는 것들도 좋은 것 많으니까 백신프로그램은 반드시 업데이트를 해서 사용을 하시길 바랍니다. 그것이 악성코드를 예방하는 길이면 그리고 제일 중요한 것은 기본적인 보안 수칙인 프로그램을 다운로드 설치를 하려고 하면 반드시 해당 프로그램이 정식으로 서비스하는 사이트에서 다운로드 하고 설치를 하시길 바랍니다. 그리고 토렌트 같은 곳에서 함부로 프로그램이나 동영상을 다운로드 해서 실행을 하는 것도 위험합니다. 그러한 곳에서는 악성코드들도 많이 배포가 되고 있고 물론 백신프로그램에 탐지가 되면 좋겠지만 그렇지 않았으면 악성코드 때문에 개인정보가 노출되는 현상을 피해야 할 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬 웨어도 조금은 잠잠해진 것 같아요
    • 그래도 새로운 랜섬웨어는 해외에서는 많이 제작이 되고 있고 언제 한국에 들어올지 모르니 미리 조심하는것이 좋을것 같습니다.
  2. 다양한 랜섬웨어가 생기는만큼 다양한 방어 프로그램도 많이 생기네요 ㅎㅎ
    • 네~자신에게 맞는 랜섬웨어 예방 프로그램을 사용을 하시면 될것입니다.

랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

Posted by Sakai
2017.07.31 00:01 소프트웨어 팁/보안

랜섬웨어라고 하면 아마도 간단합니다. 보안을 위해서 사용이 되는 AES등과 같은 암호화 기술을 이용해서 사용자 컴퓨터에서 감염 그리고 해당 암호화 기술을 이용해서 암호화를 진행하고 나서 가상화폐인 비트코인을 요구를 하고 비트코인이 입금이 되면 해당 암호화를 복원할 수가 있는 프로그램을 제공하는 방식을 취하고 있습니다.

물론 가상화폐인 비트코인을 받고 해당 복원화 도구를 제공하고 복원화에 성공을 한다고 하면 모르겠지만 복원화도구를 주지 않은 경우가 있거나 복원화가 되더라도 100% 복구가 되지 않는 경우가 있습니다.

즉 랜섬웨어에 감염이 되면 사실상 복구는 불가에 가깝다고 볼 수가 있습니다. 일단 오늘 소개해 드리는 랜섬웨어 예방 프로그램인 RansomFree은 Cybereason팀에서 제공을 하는 랜섬웨어 예방 도구입니다. 일단 작동이 되는 운영체제는 다음과 같습니다.

Cybereason RansomFree

Windows 7, Windows 8, Windows 10, Windows Server 2008 R2, Windows 2012 R2입니다. 일단 동작 방식은 허니팟으로 작동하는 파일 시스템 전체에 무작위로 이름이 지정된 폴더를 만들어 작동합니다. 그리고 시스템에 상주하고 있다가 랜섬웨어로 의심이 되는 행동을 하면 사용자에게 팝업으로 해당 메시지를 보여줍니다. 물론 여기서 사용자가 실행할 것인지 말 것인지를 결정을 하게 됩니다.

일단 해당 회사인 Cybereason 회사는 클라우드 기반의 보안 솔루션 Cybereason을 제공하는 보안 업체로서 이스라엘군의 첩보 부대에서 사이버 보안에 참여한 회원들에 의해 개발되고 있다고 하면 AI를 활용해서 자체 분석 기술로 랜섬웨어 공격의 징후를 실시간으로 탐지하고 표적 공격과 랜섬웨어 등으로부터 시스템을 보호할 수가 있다고 합니다.

일단 무료로 배포되고 있으면 먼저 해당 프로그램을 사용하기 전에 PDF로 작성된 설명서를 꼼꼼히 읽어보고 사용을 하는 것도 좋은 방법일 것입니다. 일단 기본적으로 랜섬웨어 같은 악성코드로부터 보호하고 싶은 경우에는 기본적으로 윈도우 보안 업데이트를 자동 업데이트를 해놓고 업데이트가 있으면 시간이 걸리더라도 반드시 보안 업데이트를 하면 그리고 자신이 사용하는 프로그램은 항상 최신 버전으로 유지 관리하면서 특히 토렌트 같은 곳에서 함부로 영화, 파일 같은 것을 다운로드 해서 실행을 하는 것은 조심해야 할 것입니다.

즉 유명한 동영상 프로그램을 가장해서 해당 파일을 실행하는 순간 감염이 이루어지는 방식을 취하고 있기 때문이죠. 일단 기본적인 보안 수칙을 지킨다고 하면 랜섬웨어 같은 악성코드에 감염되는 확률은 줄어들 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 드디어 감염예방 프로그램도 나왔군요
    • 여러가지 랜섬웨어 감몀 예방 프로그램들이 있으니까 자신에게 맞는것을 사용을 하면 될것이라고 생각이 됩니다.
  2. 랜섬웨어도 이제는 극복 하는 군요.
    • 가장 기본은 보안 업데이트를 하는것입니다.
  3. 믿음직스럽지 못한 알약도 페이크폴더 생성후 잡는것 같더라구요 ㅎㅎ
    • 대부분이 백신프로그램들은 그렇게 되어져 있는것 같습니다.

윈도우 10에서 파일 또는 폴더를 암호화하는 방법

Posted by Sakai
2017.07.24 00:01 소프트웨어 팁/보안

오늘은 윈도우 10에서 파일 또는 폴더를 암호화하는 방법에 대해 알아보겠습니다. 일단 기본적으로 암호화를 진행하려고 하면 별도의 프로그램이 필요하지만 그래도 Windows 10 Professional, Windows 10 Enterprise에서는 BitLocker 암호화가 제공되고 있습니다. 해당 BitLocker가 있으면 프로그램을 통해서 중요한 파일을 암호화해서 보관을 해서 다른 사람의 접근을 차단할 수가 있습니다. 물론 BitLocker가 싫고 다른 프로그램을 좋아한다고 하면 VeraCrypt같은 프로그램을 이용하는 방법도 있을 것입니다.

일단 Windows 10 운영 체제에서 사용자가 원하는 파일이나 폴더를 암호화할 수 있습니다. 바탕 화면에 파일이나 폴더를 넣거나 USB 메모리 카드 같은 곳에 파일이나 폴더를 보관할 수 있습니다. 사용을 하는 방법은 간단합니다. 먼저 자신이 원하는 파일 또는 폴더를 선택한 다음 마우스 오른쪽 버튼으로 클릭하고 메뉴에서 속성을 클릭하십시오. 그리고 나서 고급 버튼을 눌러줍니다. 여기서 속성을 눌러주었으면 압축 또는 암호화 특성 부분이 보일 것일 것입니다.

그리고 그곳에서 두 가지를 선택할 수가 있는 것이 볼 수가 있는데 내용을 압축하여 디스크 공간 절약, 데이터 보호를 위해 내용을 암호화가 있는데 여기서는 데이터 보호를 위해 내용을 암호화를 선택합니다.
그리고 나서 해당 부분을 체크를 하고 나서 확인을 누르고 파일 속성에서 적용을 눌러주면 암호화 경고라는 메시지와 함께 원하는 작업을 선택하십시오라는 메시지와 파일 및 상위 폴더를 암호화(권장), 파일만 암호화라는 것이 나타날 것인데 파일 및 상위 폴더를 암호화하면 해당 폴더를 포함한 파일들이 암호화될 것입니다. 그렇지 않기를 원한다고 하며 파일만 암호화를 선택하시면 됩니다. 해당 부분을 실행하면 실행이 될 것입니다. 해당 부분은 데이터를 암호화하는 것뿐입니다.

그러면 Windows 10은 방금 암호화한 파일을 백업하기 위해 화면 오른쪽 아래에 사용자에게 메시지를 제공 보여줄 것입니다. 암호화한 파일에 문제가 발생하고 암호를 해독할 수 없는 경우를 대비하여 파일을 백업하는 것이 가장 좋은 방법입니다. 백업 복사본을 암호로 보호할 수 있으므로 클라우드에 파일을 저장하도록 선택한 경우 파일을 여는 데 암호가 필요할 것입니다. 아재 파일이나 폴더는 이제 암호화되지만 BitLocker를 사용할 때와 달리 성공적으로 완료되면 파일이나 폴더에 자물쇠 이미지가 없습니다.

즉 사용자는 암호화된 내용과 암호화하지 않은 내용을 기억해야 합니다.
조금 더 안전한 방법을 원한다고 하면 지난 시간에 소개해 드린 VeraCrypt같은 프로그램을 이용해서 암호화하는 것이 더 안전하게 파일을 보관하는 방법이 아닐까 생각이 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 보안을 위해 보안을 위해서 필요한 기능이군요 잘 배우고 갑니다
    • 사용할 분들만 사용하시고 굳이 더 보안을 생각을 한다고 하면 암호화 프로그램을 이용을 하는것도 좋은 방법일것입니다.
  2. 보안을 위해 필요하지만 VeraCrypt 프로그램이 더 나을 수 있겠군요.
    • 개인적으로 베라크리프트이용을 하고 있습니다.