당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법

Posted by Sakai
2018.06.25 00:00 소프트웨어 팁/보안

오늘은 당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법에 대해 알아보겠습니다. 일단 해당 메시지는 간단하게 이야기하면 자신의 컴퓨터가 악성코드 감염 의심이 되어서 한국인터넷진흥원에 신고 접수가 되었다는 메시지를 볼 수가 있습니다. 해당 부분은 진짜 악성코드 및 좀비 PC(좀비 컴퓨터)에 감염이 되어서 진짜 신고가 되는 경우가 있고 자신이 컴퓨터를 정말로 컴퓨터를 잘 관리하고 있는데 IP 주소 때문에 생기는 경우가 있습니다. 일명 복불복입니다. 저 경우에는 ProcessMonitor,ProcessExplorer 등으로 관리하고 있습니다.

그리고 제가 사용하는 노트북은 블로그 전용으로만 사용하기 때문에 악성코드에 감염될 수가 없는 상태이면서 해당 IP 주소를 약 1년 전쯤부터 할당받아서 사용하다가 갑자기 저러니까 조금 당황하였습니다.

일단 기본적으로 자신의 컴퓨터 관리를 잘하고 계시면 간단하게 복불복에 걸린 것이고 관리에 소홀하게 사용을 하고 있으면 예를 들어 윈도우 업데이트 따위는 귀찮고 백신프로그램 실시간 감시 및 최신 업데이트를 사용을 하지 않거나 사용을 하더라도 토렌트를 이용을 하고 계시는 분들은 한번 의심을 해보아야겠습니다. 그리고 당연히 윈도우 정품 구매를 하지 않고 불법인증 툴을 사용해서 인증하신 분들은 한번 의심해야 할 것입니다.

해당 당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법은 간단합니다. 일단 악성코드치료용 전용백신프로그램을 다운로드해서 실행을 시켜줍니다. 그리고 나서 악성코드가 검출되면 악성코드를 제거하면 됩니다.

만약 컴퓨터 보안에 관심을 많이 두고 있고 정말 잘 관리를 하고 있다고 하면 IP 주소를 변경하시면 됩니다. 기본적으로 그냥 통신사에서 제공하는 공유기에 연결이 돼 있으면 공유기 모뎀을 약 1~3시간 정도 꺼주면 IP 주소가 재할당이 되어서 사용을 하면 되고 이런 환경이 아닌 공유기를 따로 사용을 해서 연결이 돼 있으면 공유기 MAC 주소를 살짝 변경을 해주시면 됩니다. 그러면 새로운 IP 주소를 할당돼 있을 것입니다.

아니면 두 개의 모뎀을 약 12시간 정도 꺼두고 있으면 IP 주소는 바뀌어 있을 것입니다. 해당 방법은 잠잘 때 공유기 꺼두고 아침에 일어나면 대부분 변경이 돼 있을 것입니다. 가장 쉬운 방법은 MAC 주소를 변경하는 방법일 것입니다. 일단 해당 방법으로 해당 부분을 해결할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 덕분에 좋은 정보 잘 얻어갑니다 조심할게요
    • 항상 미리 예방을 하는것이 중요하다고 생각이 됩니다.

MBR를 파괴하는 랜섬웨어-RedEye Ransomware(레드아이 랜섬웨어)

Posted by Sakai
2018.06.12 00:00 소프트웨어 팁/보안

오늘은 컴퓨터 MBR 영역을 파괴하는 랜섬웨어인 RedEye Ransomware(레드아이 랜섬웨어)에 대해 알아보는 시간을 가져 보겠습니다. RedEye Ransomware 는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 돈을 요구하는 악성코드입니다.

일단 해당 RedEye Ransomware(레드아이 랜섬웨어)에 감염이 되면 기본적으로 컴퓨터 파일들을 지우고 MBR(마스터 부트 레코드)를 지우면 컴퓨터를 부팅을 할 수가 없게 만드는 랜섬웨어 입니다.
RedEye Ransomware(레드아이 랜섬웨어)는 파일을 암호화하고 나서. RedEye 확장자로 변경합니다.

파일 크기를 0KB 로 변경을 합니다. 암호화는 AES 암호화 알고리즘을 사용합니다. 해당 랜섬웨어는 악의적인 스크립트를 시작하는 페이로드 드로퍼(payload dropper)가 인터넷에 퍼져 나가고 있으며 해당 파일이 컴퓨터 시스템에 저장되고 어떻게 든 실행 하면 컴퓨터 시스템이 감염됩니다. 일단 기본적으로 윈도우 업데이트는 최신을 유지하면서 의심 가는 파일은 실행하는 것은 삼가야 합니다.
랜섬웨어 노트는 다음과 같습니다.

RedEye Ransomware
All your personal files has been encrypted with an very strong key by RedEye!
(Rijndael-Algorithmus – AES – 256 Bit)
The only way to get your files back is:
– Go to http://redeye85x9tbxiyki.XXXXXon/tbxIyki –개인 ID
and pay 0.1 Bitcoins to the adress below! After that you need to click on
“Check Payment”. Then you will get a special key to unlock your computer.
You got 4 days to pay, when the time is up,
then your PC will be fully destroyed!
Your personal ID: [xxxxxxx]
대충 번역을 하면 다음과 같습니다.
RedEye Ransomware
RedEye는 모든 개인 파일을 매우 강력한 키로 암호화합니다!
(Rijndael-Algorithmus-AES-256 비트)
파일을 다시 가져 오는 유일한 방법은 다음과 같습니다.
- http://redeye85x9tbxiyki.XXXXXXX/tbxIyki로 이동 - 개인 ID를 입력하십시오.
아래 주소에 0.1 비트코인를 지급하십시오! 그 후 클릭해야 합니다.
"지급 확인". 그런 다음 컴퓨터의 잠금을 해제하는 특수 키를 받게 됩니다.
당신은 지급할 사흘이 있고, 시간이 다되면,
그러면 PC가 완전히 파괴될 것입니다!
귀하의 개인 ID: [XXXXX]

일단 기본적으로 비트코인를 지급을 한다고 해당 복원키를 받는다고 보장을 할 수가 없습니다. 그리고 해당 랜섬웨어는 PC 종료를 하거나 해당 랜섬웨어가 제시하는 타이머가 만료되면 컴퓨터가 다시 시작되고 MBR(마스터 부트 레코드)이 시스템에 액세스 할 수 없다고 간주하여 MBR 영역이 교체됩니다. 그리고 운영체제를 재부팅을 하고 나면 다음과 같은 메시지를 볼 수가 있습니다.
RedEye Terminated your computer!
The reason for that could be:
– The time has expired
– You clicked on the ‘Destroy PC’ button
There is no way to fix your PC! Have Fun to try it :)
My YouTube Channel: iCoreX <- Subscribe :P Add me on discord! iCoreX#3333 <- Creator of Jigsaw, Annabelle & RedEye Ransomware! My old discord account named ’ iCoreX#1337’ got terminated by discord.
그리고 암호화하는 파일은 다음과 같습니다.
.bmp, .doc, .docx, .jpg, .png, .ppt, .pptx, .mp3, .xsl, .xslx
RedEye Ransomware(레드아이 랜섬웨어)는 섀도우 볼륨 복사본을 삭제하는 명령어를 다음과 같이 실행을 합니다.
vssadmin.exe delete shadows /all /Quiet를 실행을 합니다.
그래서 시스템복원지점을 만들어 놓았더라도 그렇게 도움이 되지 않습니다. 그래서 미리 중요한 파일은 백업하는 것이 제일 좋은 방법이고 그다음은 윈도우 자동업데이트는 함부로 끄지 말고 UAC도 마찬가지로 끄지 말고 그리고 백신프로그램도 실시간 감시 최신 갱신을 해야 하면 그리고 지난 시간에 소개해 드린 MBRFilter 같은 것을 사용해서 MBR 영역이 파괴되는 것을 차단할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어 피해가 많이 줄어든 거 같아요
    • 그래도 방심하면 랜섬웨어에 감염이 될수가 있으니까 항상 주의를 해야 될것 같습니다.
  2. 와 mbr 영역까지 건드리는 녀석도 있네요..

윈도우 10 1803 KB4103721 보안 업데이트

Posted by Sakai
2018.05.11 17:23 소프트웨어 팁/보안

마이크로소프트에서 제공하는 윈도우 10에 대한 KB4103721 보안 업데이트가 진행이 되었습니다. 이번 보안 업데이트에서는 다음과 같이 변경이 되었습니다.
Addresses an issue with the April 2018 Windows Servicing update that causes App-V Scripts (User Scripts) to stop working.
Addresses an issue that may cause some devices to stop responding or working when using applications, such as Cortana or Chrome, after installing the Windows 10 April 2018 Update.
Addresses an issue that prevents certain VPN apps from working on builds of Windows 10, version 1803. These apps were developed using an SDK version that precedes Windows 10, version 1803, and use the public RasSetEntryProperties API.
Addresses additional issues with updated time zone information.

Addresses an issue that may cause an error when connecting to a Remote Desktop server. For more information, see CredSSP updates for CVE-2018-0886.
Security updates to Windows Server, Microsoft Edge, Internet Explorer, Microsoft scripting engine, Windows app platform and frameworks, Windows kernel, Microsoft Graphics Component, Windows storage and filesystems, HTML help, and Windows Hyper-V.
이 변경이 되었습니다. 일단 윈도우를 사용을 하고 계시는 분들은 반드시 보안 업데이트를 적용하시길 바랍니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 윈도우는 업데이트가 없을 정도로 안정적이었으면 좋겠어요
    • 일단 보안관련 취약점은 계속 발견이 되고 있으므로 반드시 업데이트를 진행을 하는것이 좋을거라 생각이 됩니다.

Apophis Ransomware(아포피스 랜섬웨어)감염 증상

Posted by Sakai
2018.05.07 00:00 소프트웨어 팁/보안

오늘은 Apophis Ransomware(아포피스 랜섬웨어)감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 Apophis Ransomware(아포피스 랜섬웨어)은 일단 개인적인 생각으로는 이집트 신화에 등장하는 거대한 독사를 인용해서 만든 랜섬웨어 인 것 같습니다.

일단 아포피는 이집트어로는 아펩(Apep),아페피(Apepi)로 불리고 있으며 거대한 코브라 또는 맹독을 지닌 독사의 모습을 하고 있으며 태양신 라의 숙적 이면서 라가 하늘을 건너는 배에 올라타 하늘을 일주하고 나서 밤에는 지하세계를 통과하게 되는 과정에서 12시간으로 나누어진 밤의 제7시에 그를 공격합니다.

일단 해당 Apophis Ransomware(아포피스 랜섬웨어)는 일단 지난 시간에 소개해 드린 직쏘 랜섬웨어 하고 비슷하게 생겼습니다. 아마도 직쏘 랜섬웨어를 모방했거나 아니면 변형을 한 랜섬웨어가 아닐까 생각이 됩니다.

일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)은 2018년4월쯤에 발견이 된 랜섬웨어로서 앞서 이야기한 것처럼 Jigsaw Ransomware(직쏘 랜섬웨어)의 변종인 것 같습니다. 일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)는 매크로스크립트가 삽입된 .DOCX를 포함해서 악성코드가 배포되는 방식을 취하고 있으면 이메일 형태로도 전파가 되고 있습니다.

일단 다른 직쏘 랜섬웨어 처럼 24시간 안에 몸값을 지급을 요구하면 악성코드가 감염되면 기본적으로 컴퓨터 안에 있는 파일을 검색하고 다음 확장자들을 검색해서 암호화를 진행합니다.
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm. pptx, .prel, .prproj, .ps, .ps, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip
그리고 해당 암호화 방식은 RSA 및 AES 암호화 방식을 사용해서 암호화되므로 사용자는 파일을 사용할 수가 없으면. fun으로 확장자로 변경해버립니다.
그리고 기본적으로 msiexec.exe를 통해서 악성코드는 실행됩니다.
You have been hacked by Apophis Squad!
We have encrypted your files using AES 256, which is NOT easy to reverse! XD
Do not panic, we will let you fix this by sending us a payment.
However I've already encrypted your personal files, so you cannot access them.
Twitter: @apophissquadv2 Web: apophissquad.rx Maker:P13x13t
[1H COUNDDOWN TIMER]
Time till file delete.
{View encrypted files|BUTTON]
Send $500 worth of Bitcoin here:
[34 자리 랜덤 챕터]
[I made a payment, now give me back my files!]
대충 번역을 하면 다음과 같습니다.
당신은 아포피스 분대에 의해 해킹당했습니다!
우리는 AES 256을 사용하여 파일을 암호화했습니다. XD
당황하지 마시고, 우리에게 지급금을 보내 당신이 해결하도록 하겠습니다.
그러나 이미 개인 파일을 암호화했으므로 액세스 할 수 없습니다.
트위터:@apophissquadv2 웹:apophissquad.rx 제조사:P13x13t
[1H COUNDDOWN TIMER]
파일 삭제까지의 시간.
{암호화 된 파일 보기}
여기에 Bitcoin을 500달러 상당 보내십시오.
[34개의 무작위 챕터]
[지급을 했고, 이제 당신의 파일을 돌려줍니다!]
일단 연결이 되는 사이트는 보면 러시아 사이트를 이용하고 있으면 그리고 랜섬웨어 노트 같은 경우 독일 3 제국인 나치를 상징하는 문장이 있는 것으로 보아서 아마도 나치 추종자가 아닐까 생각이 됩니다. 일단 랜섬웨어에 감염이 되는 것을 최소화하려고 하면 기본적으로 윈도우 업데이트는 무조건 해야 하면 백신프로그램, 백신보조프로그램, 랜섬웨어 방어 프로그램 등을 이용해서 방어해야 하면 그리고 기본적으로 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하는 것을 자제해야 할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

강제로 배틀그라운드를 해야 하는 랜섬웨어-PUBG Ransomware

Posted by Sakai
2018.04.16 00:00 소프트웨어 팁/보안

배틀그라운드라는 게임은 블루홀의 자회사인 PUBG주식회사(舊 블루홀 지노게임즈)에서 개발한 MMO 슈팅 게임입니다. 일단 게임을 해보면 일본 영화인 배틀로얄(2000)과 비슷하게 게임이 진행되는 방식입니다. 일단 해당 게임의 기본 사양은 다음과 같습니다.
시스템 최소 요구 사양
운영체제: Windows 7, Windows 8.1, Windows 10(64비트)
CPU: Intel Core i5-4430, AMD FX-6300
RAM: 8GB
VGA: NVIDIA GeForce GTX 960 2GB,AMD Radeon R7 370 2GB
이며 최소한 램은 12GB를 이상 증설을 해서 사용을 해야 합니다. 일단 해당 랜섬웨어인 PUBG Ransomware은  RensenWare Ransomware등과 비슷하게 구성이 돼 있습니다. 즉 해당 랜섬웨인 PUBG Ransomware은 PlayerUnknown의 전장을 플레이하면 PUBG Ransomware가 파일을 해독되는 방식입니다. 일단 해당 랜섬웨어에 감염이 되면 사용자의 컴퓨터에서 사용자의 파일과 폴더를 암호화하고 .PUBG 확장자를 추가하며 파일의 암호화가 끝나면 암호화된 파일의 암호를 해독하는 데 사용할 수 있는 두 가지 방법을 제공하는 화면이 표시됩니다.

[소프트웨어 팁/보안] - 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어)

[소프트웨어 팁/보안] - RensenWare 랜섬웨어 증상과 파일 복구 방법

그리고 랜섬노트의 내용은 다음과 같습니다.
PUBG Ransomware
Your files, images, musics, documents are Encrypted!
Your files is encrypted by PUBG Ransomware!
but don't worry! It is not hard to unlock it.
I don't want money!
Just play PUBG 1 Hours!
Or Restore is [s2acxx56a2sae5fjh5k2gb5s2e ]
As stated in the ransom instructions, the first method that can be used to decrypt the files is to simply enter the "s2acxx56a2sae5fjh5k2gb5s2e" code into the program and click the Restore button.
PUBG Ransomware
파일, 이미지, 음악, 문서가 암호화됩니다!
귀하의 파일은 PUBG Ransomware에 의해 암호화됩니다!
그러나 걱정하지 마라! 잠금을 해제하는 것은 어렵지 않습니다.
나는 돈을 원하지 않아!
PUBG 1시간만 플레이하십시오!
또는 복원은 [s2acxx56a2sae5fjh5k2gb5s2e]입니다.

몸값 지침에 명시된 것처럼 파일을 해독하는 데 사용할 수 있는 첫 번째 방법은 s2acxx56a2sae5fjh5k2gb5s2e 코드를 프로그램에 입력하고 복원 버튼을 클릭하는 것입니다.)
해당 랜섬웨어는 TslGame 이라는 실행 프로세스를 모니터링하며 PlayerUnknown의 전장을 확인합니다. 그리고 몸값 기록에서는 1시간 동안 실행해야 한다고 되어 있지만 3초 동안 실행 파일만 실행하면 됩니다. 그리고 랜섬웨어에 감염이 된 사용자가 게임을 하면 프로세스가 감지되면서 랜섬웨어가 자동으로 피해자의 파일을 해독합니다. 그리고 랜섬웨어는 프로세스 이름만 찾고 게임이 실제로 실행되고 있는지 확인하기 위한 다른 정보는 확인하지 않습니다. 쉽게 이야기하면 TslGame.exe라는 실행 파일을 실행하면 파일을 해독할 수 있습니다.
그리고 해당 랜섬웨어가 암호화하는 파일은 다음과 같습니다.
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg
그리고 해당 랜섬웨어는 진단명은 다음과 같습니다.
Gen:Heur.Ransom.MSIL.1,Ransom.PUBG,Ransom_RAMSIL.SM,Trojan(0050fab71),Trojan-Ransom.Win32.Crypmodadv.xrg,Trojan.Win32.Generic!BT,W32/Trojan.JNOZ-0330,Win32.Trojan,Ransom.Filecoder.P@gen
그리고 이런 랜섬웨어에 감염이 되지 않는 방법은 간단합니다. 기본적으로 윈도우 업데이트,백신프로그램 설치 및 실시간 감시 및 최신 업데이트,보조 백신프로그램 또는 랜섬웨어 방지 프로그램을 설치해서 유지하면서 토렌트 같은 곳 및 그리고 출처가 불분명한 사이트 및 파일은 다운로드 및 실행을 해서는 안 됩니다. 그리고 해당 랜섬웨어 해쉬값은 다음과 같습니다.
해쉬값:SHA256:3208efe96d14f5a6a2840daecbead6b0f4d73c5a05192a1a8eef8b50bbfb4bc1


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 정말 희한한 랜섬웨어 네요
    • 아마도 자신의 실력을 과시하거나 글에도 적은것 처럼 일부러 저런식으로 만든 랜섬웨어들입니다.

한국을 노리는 랜섬웨어 Magniber 랜섬웨어(메그니베르 랜섬웨어)(README.txt) 복구툴 공개

Posted by Sakai
2018.04.04 17:47 소프트웨어 팁/보안

일단 오늘은 한국을 목표하는 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상에 대해 알아보는 시간을 알아보겠습니다. 일단 랜섬웨어라는것이 기본적으로 개인적으로 사용자이든 공적으로 중요한 문서들을 개인정보 보호하기 위해서 사용이 되는 AES와RSA같은것을 역으로 이용해서 컴퓨터 취약점을 통하거나 또는 토렌트 같은 곳에서 출처가 의심스러운 파일을 실행했으면 랜섬웨어 같은 악성코드에 감염될 수가 있는 확률이 높아집니다.
메그니베르 랜섬웨어(Magniber ransomware)는 다른 랜섬웨어와 다르게 작동하는 것이 일반적인 랜섬웨어들은 기본적으로 자신이 원하는 대로 컴퓨터를 악성코드를 감염을 시키고 나서 자신이 수행하는 랜섬웨어 원칙에 맞게 비트코인을 입금을 하라고 컴퓨터를 검색해서 문서 또는 비디오파일 또는 사진파일들을 암호화시켜 사용자에게 비트코인을 요구를 하는 것이 특징이지만 이번 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)은 언어 점검, 외부 IP 및 지역들을 점검해서 한국에서 사용하는지 확인을 하는 과정을 거치게 됩니다.
즉 한국인이 해당 컴퓨터를 사용하는지 확인을 하려고 윈도우 언어, IP 주소, 지역들을 점검한다는 점에서 한국인을 노리는 랜섬웨어 입니다. 일단 해당 랜섬웨어는 기본적으로 CVE-2016-0189 취약점을 노린다는 점입니다. 즉 윈도우 업데이트를 하면 해당 랜섬웨어는 피해갈 수가 있습니다.
해당 CVE-2016-0189는 Internet Explorer의 메모리 손상 취약점입니다. 그리고 오랫동안 보이지 않고 있었던 Cerber ransomware(사이버 랜섬웨어)의 귀환을 알리는 랜섬웨어이기도 합니다.

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

일단 2017년 10월 중순경부터 한국어 운영체제를 사용하는 사용자에게 파일 암호화 행위가 이루어지는 랜섬웨어 입니다. 즉 기본적으로 윈도우 보안 업데이트 및 기타 프로그램에서 제공하는 보안 패치를 잘하면 해당 랜선웨어는 걸릴 확률이 줄어듭니다.
최근에 한국에 대표적인 보안 업체인 안랩(AhnLab)에서 최근에 유포되고 있는 Magniber 랜섬웨어(메그니베르 랜섬웨어)의 취약점을 확인하며 무료로 복구할 수가 있는 복구 도구를 공개했습니다. 다만, 기존에 유포된 랜섬웨어인 Magniber 랜섬웨어 중 "_HOW_TO_DECRYPT_MY_FILES_<Random>_.txt, READ_ME_FOR_DECRYPT_<Random>_.txt, READ_ME_FOR_DECRYPT.txt, READ_FOR_DECRYPT.txt, READ_ME.txt" 메시지 파일을 생성했던 변종은 복구할 수 없으며, 최근에 파일 암호화 후 생성되는 README.txt 메시지 파일이 생성되는 경우에만 복구할 수 있습니다.

일단 해당 랜섬웨어 복구를 하려면 기본적으로 파일 복구를 위해서는 반드시 키(Key)값과 벡터(Vetor)값을 사용자가 알고 있어야 합니다.

벡터(Vetor)값은 Magniber 랜섬웨어 감염으로 생성된 README.txt 파일에 표시된 URL 주소의 뒷자리 값으로 사용자가 확인할 수가 있습니다.

그리고 사용자는 기본적으로 암호화된 파일 확장명과 벡터값만 확인할 수 있으며 암호화에 사용된 공개키 정보는 알 수 없기에 안랩(AhnLab) 블로그에서는 지속적으로 복구 가능한 확장명을 기준으로 키 정보를 공개할 예정할 예정입니다. 일단 2018년 4월 2일경에 유포된 Magniber 랜섬웨어 변종에 의해 암호화된 파일은 .hxzrvhh 확장명으로 암호화된 경우에는 다음과 같이  적용을 할수가 있을것입니다.

암호화된 파일 확장명:.hxzrvhh
키(Key):EsoNSQ0oaSE614v
벡터(Vetor):lEF91UX3DHb1N194
암호화된 파일 확장명:.gcwssbfuw
키(Key)::B4484pQ2w3y6Icq6
벡터(Vetor):X0x117b1Um535FD8
4월 3일
암호화된 파일 확장명:.jxrhgat
키(Key):CZH7Fy6Q537ycWX3
벡터(Vetor):R9Ltm45J2oVk7ciZ
4월 3일
암호화된 파일 확장명:.qgsxyzidg
키(Key):g5eIdGlVqO9s1Naj
암호화된 파일 확장명:Nu4996t2h6m7K3bx

입니다.
일단 안랩에서 제공을 하는 Magniber 랜섬웨어 복구툴을 임의의 폴더에 다운로드한 후 실행을 위해서는 명령 프롬프트를 관리자 권한으로 실행합니다. 그리고 나서 Magniber 랜섬웨어 복구툴이 위치한 폴더로 지정하면 됩니다.
암호화된 개별 파일 복구 방법
Magniber 랜섬웨어에 의해 암호화된 파일 중 사용자가 특정 암호화된 파일만을 복구하는 방법은 다음과 같습니다.
먼저 CMD 명령 프롬프트 창에 MagniberDecryptV1 /f "암호화된 파일 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vetor)> 씩으로 입력을 하시면 됩니다.
정 폴더 내의 파일 전체를 복구하는 방법
Magniber 랜섬웨어에 의해 암호화된 파일을 사용자가 특정 폴더 내에 모두 넣고 파일들을 일괄적으로 복구하는 방법은 다음과 같습니다.
CMD 명령 프롬프트 창에 MagniberDecryptV1 /d "암호화된 파일이 존재하는 폴더 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vetor)> 방식으로 정보를 입력하시면 됩니다.
물론 해당 방법은 일시적으로 사용할 수가 있습니다. 왜냐하면, 악성코드를 제작하는 사람들이 바꾸어 버리면 끝이니 때문입니다.
그리기 때문에 귀찮더라도 기본적으로 윈도우 업데이트를 꺼버리는 것은 하지 말며 그리고 랜섬웨어 방어 프로그램은 반드시 설치를 해서 사용을 하시면 됩니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

윈도우 10 1709 버전 KB4058258 누적 업데이트

Posted by Sakai
2018.02.03 00:00 소프트웨어 팁/보안

오늘은 윈도우 10 1709 버전 KB4058258 누적 업데이트에 대해 적어 보는 시간을 가져 보겠습니다. 일단 이번 KB4058258 누적 업데이트에서는 윈도우 10에서 발생을 하는 윈도우 10 1709 버전에 있던 문제를 수정했습니다. 수정한 내용은 다음과 같습니다.
시스템이 넓은 색 영역을 지원하는 디스플레이에 연결될 때 색상이 왜곡되는 호환성 문제를 해결합니다. (システムが広い色域をサポートするディスプレイに接続されているときに色が歪む互換性の問題に対処します,Addresses a compatibility issue where colors are distorted when the system is connected to displays that support wide color gamut.)
휴면 모드에서 깨어난 후 기존 AMD 디스플레이 어댑터에 연결된 두 번째 모니터가 깜박거리는 문제를 해결합니다. (スリープ解除後にレガシーAMDディスプレイアダプタに接続されている2台目のモニタが点滅する状態に対処します,Addresses a condition where a second monitor that is connected to legacy AMD display adapters flashes after waking from sleep)
Alt+Shift를 사용하여 키보드 언어를 전환할 때 지연을 가져오는 문제를 해결합니다. ( Alt + Shiftを使用してキーボード言語を切り替えると遅延が発生する問題を解決しました,Addresses issue that causes delays when switching keyboard languages using Alt+Shift.)
비디오 재생 중에 특정 닫힌 캡션이나 자막 형식을 렌더링할 때의 호환성 문제를 해결합니다. (ビデオの再生中にクローズドキャプションや字幕フォーマットをレンダリングするときの互換性の問題を解決します,Addresses compatibility issues when rendering certain closed captions or subtitle formats during video playback)

장애가 발생한 상태에 대한 Microsoft Edge 허용 확장 그룹 정책이 작동하지 않는 문제를 해결합니다. (無効な状態のMicrosoftエッジ許可拡張グループポリシーが機能していない場所で問題が発生する,Addresses issue where the Microsoft Edge Allow Extension Group Policy for the disabled state was not working)
Windows 10, 버전 1709의 32비트 (x86) 버전에 대한 추가 보호 기능을 제공합니다. (Windows 10、バージョン1709の32ビット(x86)バージョンに対する追加の保護を提供します,Provides additional protections for 32-bit (x86) versions of Windows 10, version 1709)
2018년 1월 3일 KB4056892 (OS Build 16299.192)를 설치하고 프로세서가 부팅 할 수 없는 상태가 된 일부 구형 AMD 프로세서의 문제를 해결합니다. (2018年 1 月 3日、2040-KB4056892(OS Build 16299.192)をインストールした後、プロセッサがブート不能な状態になった、古いAMDプロセッサの小さなサブセットで報告された問題を解決します,Resolves the issue reported by some customers on a small subset of older AMD processors where the processor entered an unbootable state after installing January 3, 2018—KB4056892 (OS Build 16299.192))
그리고 백신프로그램의 호환성을 위해서 레지스터리에서 다음을 확인을 해주셔야 합니다.
HKEY_LOCAL_MACHINE Subkey=SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
Value Name=cadca5fe-87d3-4b96-b7fb-a231484277cc(値の名前= cadca5fe-87d3-4b96-b7fb-a231484277cc)
Type=REG_DWORD(タイプ= REG_DWORD)
Data=0x00000000(データ= 0x00000000)
After installing this update, some users may experience issues logging into some websites when using third-party account credentials in Microsoft Edge.    Microsoft is working on a resolution and will provide an update in an upcoming release.(この更新プログラムをインストールすると、一部のユーザーがMicrosoft Edgeでサードパーティのアカウント資格情報を使用しているときに、一部のWebサイトにログインする際に問題が発生することがあります)
일단 윈도우 10 1709를 사용하고 계시는 분들은 해당 부분들이 변경이 되어가 때문에 수동갱신이든 자동 업데이트 해당 업데이트를 진행을 하고 컴퓨터를 사용하는 것이 조금은 안정되게 사용을 하는 방법이 아닐까 생각이 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 윈도우 업데이트를 자동으로 해놔서 걱정이 없어요
    • 네~자동 업데이트를 해두면 크게 걱정은 하지 않아도 될것이라고 생각이 됩니다.

MadBit Ransomware 감염 증상 및 예방 방법

Posted by Sakai
2018.01.10 00:00 소프트웨어 팁/보안

오늘은 간단하게  MadBit Ransomware 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 먼저 Ransomware (랜섬웨어)라고 하는 것은 간단하게 이야기하면 먼저 AES 및 RSA 같은 암호화 알고리즘을 이용해서 사용자의 컴퓨터에 있는 사진, 동영상 파일들을 암호화해서 해당 감염된 사용자에게 옛날에는 현금을 요구했지만, 최근에는 가상화폐인 비트코인을 요구하는 악성코드입니다.

먼저 해당 랜섬웨어인 MadBit는 파일은 AES 군사 등급 암호화 알고리즘으로 파일을 잠그며 MadBit cryptovirus는 데이터와 파일을 암호화하고. enc 확장자를 각 파일에 추가를 진행합니다.
일단 기본적으로 MadBit Ransomware은 기본적으로 스팸 메일, 이메일 첨부 파일 등으로 전파가 되는 랜섬웨어 입니다.MadBit ransomware는 다양한 방식으로 감염을 확산이 되고 있으며 랜섬웨어에 대한 악의적인 스크립트를 시작하는 페이로드 드로퍼 (payload dropper)를 통해서 인터넷을 통해서 악성코드가 유포됩니다. 물론 MadBit ransomware는 우리가 사용하는 트위터, 인스타그램, 페이스북 등 SNS를 통해서 전파도 가능한 랜섬웨어 입니다.
MadBit ransomware는 Windows 레지스트리에 항목을 만들어서 지속성을 유지하면서 Windows 환경에서 프로세스를 시작하거나 제어를 할 수 있습니다. 이러한 항목은 일반적으로 Windows 운영 체제를 시작할 때마다 자동으로 악성코드를 시작하도록 설계돼 있었습니다.
그리고 몸값을 받으려고 랜섬웨어 노트를 보여 주며 제목은 다음과 같습니다.

madbit encryptor: Hello, you are encrypted!이라는 메시지를 볼 수가 있습니다. 그리고 나서 몸값을 받기 위한 랜섬웨어 노트를 사용자에게 보여줍니다.

***!WARNING!***
***YOUR COMPUTER ARE INFECTED***
***ALL DATABASES, SITES AND USERS HOME FILES HAVE BEEN ENCRYPTED***
================================================
>>>You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.<<< ***After payment we will send you the decryption tool ,that will decrypt all your files.*** ===FREE DECRYPTION AS GUARANTEE=== ===Before paying you can send to us up to 1 files for free decryption=== Please note: that files must NOT contain valuable information and their total size must be less than 1Mb === Important information === YOUR COMPUTER UID : COPY&SEND YOUR UID TO EMAIL'S : adaline.lowell.85@mail.ru ================================================ ***!WARNING!*** ===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===
The following e-mail address is used to contact the cybercriminals:
adaline.lowell.85@mail.ru
굳이 한국어로 번역하면 다음과 같은 내용이 될 것입니다.
***!경고!***
*** 귀하의 컴퓨터가 감염되었습니다 ***
*** 모든 데이터베이스, 사이트 및 사용자 홈 파일은 암호화되었습니다 ***
======================================================================================================
>>> Bitcoins에서는 암호 해독에 대한 비용을 지급해야 합니다. 가격은 당신이 우리에게 쓰는 속도에 달렸습니다. <<< *** 지불 후 모든 파일을 해독할 수 있는 해독 도구를 보내드립니다. *** === 보장된 무료 진술 ============================================================================================================================ 지급하기 전에 무료 암호 해독을 위해 최대 1개의 파일을 보낼 수 있습니다.
===주의 사항 : 파일에 유용한 정보가 없어야 하며 총 크기는 1Mb보다 작아야 합니다.
=== 중요 정보 === 사용자 컴퓨터 UID : 복사 및 보내기 이메일로 이동 : adaline.lowell.85@mail.ru ==================================== ======
경고! *** === ****rnadbit***madbit***madbit***madbit***madbit ***rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit **** ===
adaline.lowell.85@mail.ru

이라는 메시지를 볼 수가 있으면 이메일은 해당 랜섬웨어 제작자와 연락을 하려고 사용이 되는 이메일입니다.
암호화할 파일 확장명 목록 :
MS Office 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 아카이브 등입니다.
Ransomware 관련 파일은 다음과 같습니다.
WindowsProcessor.exe(Cmd.exe)
그리고 랜섬웨어가 사용하는 위치는 다음과 같습니다.
\Desktop\
\User_folders\
그리고 사용자가 윈도우에서 기본적으로 설치되어서 작동하는 윈도우 복원지점을 통해서 파일을 복구하는 것을 막으려고 랜섬웨어는 다음의 명령어를 통해서 해당 윈도우 복원지점을 삭제합니다.
vssadmin.exe delete shadows /all /Quiet
이런 랜섬웨어에 감염이 되지 않으려면 일단 기본적으로 윈도우 업데이트는 최신 상태를 유지하고 그리고 백신프로그램은 반드시 설치 및 실시간 감시 최신갱신을 유지해야 하면 그리고 토렌트 같이 출처가 불분명한 사이트에서 파일을 내려받기 및 설치 그리고 이메일에서 링크 같은 것은 함부로 눌리거나 파일을 내려받기해서 실행하는 것에 대해서 주의해야 합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

CPU 취약점 Meltdown(멜트 다운),Specter(스펙터) 윈도우 KB4056892 보안 업데이트

Posted by Sakai
2018.01.05 17:44 소프트웨어 팁/보안

오늘은 최근에 문제가 되는 보안 취약점인 Meltdown(멜트 다운),Specter(스펙터)에 대해서 마이크로소프트가 오늘 Meltdown 및 Spectre CPU 결함을 해결하기 위해 대역 외 Windows 업데이트 를 제공을 하고 있습니다. 일단 정보를 컴파일하는 데 사용한 네 가지 마이크로소프트 도움말 페이지가 있으며, 다음 같은 경우에 읽을 수도 있습니다.
1: Windows 데스크톱 사용자를 위한 지침
2: Windows Server 사용자를 위한 지침
3: 보안 권고 ADV180002 (업데이트 패키지의 KB 번호 포함)
4: 타사 안티바이러스 소프트웨어를 사용하는 사용자의 호환성 경고 업데이트
호환되지 않는 백신프로그램으로 말미암은 중지 오류를 방지하기 위해 마이크로소프트는 2018년 1월 3일에 배포된 윈도우 보안 업데이트를 통해 해당 소프트웨어가 2018년 1월 Windows 운영 체제와 호환되는지 확인한 파트너의 백신프로그램 실행하는 장치에만 제공합니다. 기본적으로 윈도우 갱신을 통해서 업데이트를 통해서 업데이트를 진행을 할 수가 있습니다.
마이크로소프트는 테스트 중에 BSD 충돌로 말미암아 컴퓨터가 Meltdown 및 Spectre 패치를 설치하고 부팅 하지 못하게 하는 일부 백신프로그램을 을 발견했다고 말합니다. 백신프로그램 공급 업체에 제품을 수정하고 고객 PC에 레지스트리 키를 생성하여 제품을 확인하거나 업데이트함으로써 Windows PC의 붕괴 후 유령 업데이트를 중단시키지 않도록 지시했다고 했습니다.
AV 회사에서 해당 레지스트리 키를 추가할 계획이 없는 이었으면 이 레지스트리 키는. reg 파일을 자동으로 다음 레지스트리 키를 만듭니다.
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”

AV 공급 업체에 Meltdown and Spectre 패치와 호환된다는 것을 확인하지 않는 한. reg 파일을 실행하지 않는 것이 좋습니다.
마이크로소프트는 또한 컴퓨터가 업데이트를 제대로 설치했는지 또는 추가 펌웨어 업데이트가 필요한지 확인하는 데 사용할 수 있는 Powershell one-liners를 출시했습니다.
PowerShell을 시작할 때 필요한 모듈을 설치할 수 있도록 관리자 권한으로 시작해야 합니다.
아래의 Powershell 명령은 Meltdown 및 Spectre 결함을 테스트하기 위해 Powershell 모듈을 다운로드하고 설치합니다.
Install-Module SpeculationControl
명령을 실행하고 실행 오류가 발생하면 Powershell 실행 정책을 조정해야 할 수 있습니다. 다음 명령을 실행해야 합니다.
Set-ExecutionPolicy Bypass
이제 실제로 시스템을 검사하는 두 번째 Powershell 명령을 실행할 수 있습니다.
Get-SpeculationControlSettings
그리고 업데이트가 끝나면 Get-SpeculationControlSettings를 다시 실행해야 합니다.
해당 방법을 통해서 하는 것이 조금은 귀찮은 분들은 일단 먼저 윈도우 업데이트를 통해서 KB4056892를 다운로드 해서 설치를 하면 됩니다. 설치 방법은 간단하게 윈도우 업데이트를 통해서 KB4056892를 업데이트를 하는 방법과 수동으로 윈도우 카탈로그 KB4056892에서 자신이 운영체제에 맞게 해당 파일을 내려받아서 설치하면 됩니다. 일단 어느 쪽을 선택하든 일단 윈도우를 사용을 하시는 분들은 반드시 업데이트를 진행을 하시면 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

File Locker Ransomware(파일락커 랜섬웨어)감염 증상 및 예방 방법

Posted by Sakai
2017.12.23 17:07 소프트웨어 팁/보안

오늘은 한국과 영어권 사용자를 노리는 File Locker Ransomware(파일락커 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 랜섬웨어는 한국어로 친절하게 제작이 돼 있는 랜섬웨어입니다. 일단 기본적으로 랜섬웨어에 감염이 되면 랜섬웨어가 파일을 암호화 파일들을 풀어주는 대가로 5만 원 또는 미국 달러 50달러를 요구합니다. 일단 해당 랜섬웨어의 특징은 다른 랜섬웨어 보다는 다른 점은 정적 암호인 dnwls07193147 통한 AES 암호화를 사용하므로 쉽게 해독할 수 있을 수가 있습니다. 해당 랜섬웨어에 감염이 되면 기본적으로 감염된 파일 확장자 들은 .locked 확장자로 변경됩니다.
그리고 해당 파일락커 랜섬웨어는 컴퓨터에 있는 다음 파일들을 검색하고 파일을 암호화를 시도합니다.

.txt, .doc, .docx, .xls, .index, .pdf, .zip, .rar, .css, .lnk, .xlsx, .ppt, .pptx, .odt, .jpg, .bmp, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .bk, .bat, .mp3, .mp4, .wav, .wma, .avi, .divx, .mkv, .mpeg, .wmv, .mov, .ogg, .java, .csv, .kdc, .dxg, .xlsm, .pps, .cpp, .odt, .php, .odc, .log, .exe, .cr2, .mpeg, .jpeg, .xqx, .dotx, .pps, .class, .jar, .psd, .pot, .cmd, .rtf, .csv, .php, .docm, .xlsm, .js, .wsf, .vbs, .ini, .jpeg, .gif, .7z, .dotx, .kdc, .odm, .xll, .xlt, .ps, .mpeg, .pem, .msg, .xls, .wav, .odp, .nef, .pmd, .r3d, .dll, .reg, .hwp, .7z, .p12, .pfx, .cs, .ico, .torrent, .c

일단 한국 사람들이 가장 많이 사용을 하는 문서 형식인 hwp도 포함된 것을 확인할 수가 있으면 토렌트 관련 파일도 함께 암호화해버리기 때문에 토렌트를 사용을 하시는 분들에게는 불편함을 줄 수도 있습니다. 일단 크게 다른 랜섬웨어 보다는 목표를 하는 파일 수는 적은 것을 확인할 수가 있습니다.
그리고 파일이 암호화가 완료되면 Warning!!!!!!.txt라는 텍스트 파일을 생성하고 해당 파일을 통해서 몸값을 받으려고 시도를 합니다.
그리고 해당 텍스트 파일을 열어보면 다음과 같은 글이 적혀져 있습니다.

한국어: 경고!!! 모든 문서, 사진, 데이테베이스 및 기타 중요한 파일이 암호화되었습니다!!
당신은 돈을 지불해야 합니다
비트코인 5만원을 fasfry2323@naver.com로 보내십시오 비트코인 지불코드: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
결제 사이트 http://www.localbitcoins.com/
English: Warning!!! All your documents, photos, databases and other important personal files were encrypted!!
You have to pay for it.
Send fifty thousand won to fasfry2323@naver.com Bitcoin payment code: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT Payment site http://www.localbitcoins.com/

일단 한국어 부분에 주어진 비트 코인 주소는 실크로드(Silk Road)게시 중단 계정입니다. 일단은 목적은 비트코인이 목적인 것을 확인할 수가 있습니다. 그리고 해당 부분의 개인적인 생각을 적자고 하면 해당 부분에 보이는 네이버 계정은 아마도 도용당한 네이버 계정이거나 부정적으로 발급이 된 이메일 계정이 아닐까 생각이 됩니다. 저번에 매트릭스 랜섬웨어 처럼 말이죠. 그리고 두 가지 지갑에 대한 많은 거래가 이미 수집되었습니다. 하나는 현재 거의 30 BTC이고 다른 하나는 2 BTC보다 많습니다. 거래 날짜는 최근 지불을 나타내고 있습니다.
일단 해당 랜섬웨어의 해쉬값은 다음과 같습니다.
파일 이름: File-Locker Ransomware.exe
SHA256: b6b5e455c4ebe875907aa185988c2eb654ed373dc0e6b712a391069d63dc5c3f
아마도 랜섬웨어 제작자들이 제일 싫어하는 보안 업체인 Emsisoft 쪽에서 랜섬웨어 복원화 도구를 만들어 낼 것 같습니다. 그리고 바이러스 토탈 결과입니다. 일단 진단이 되지 않는 백신프로그램이 있는데 해당 부분들은 시간이 지나면 업데이트가 될 수가 있으니까 해당 부분은 그냥 참고만 하시면 될 것 같습니다.
네트워크 연결: 없음
이메일:fasfry2323@naver.com
한국어 텍스트의 BTC(비트코인 주소):1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
영어 텍스트의 BTC(비트코인 주소):1BoatSLRHtKNngkdXEeobR76b53LETtpyT

바이러스토탈 결과
일단 기본적으로 이런 랜섬웨어로 부터 컴퓨터가 악성코드가 감염되는 것을 방지하려면 최소한 윈도우 업데이트는 기본적으로 하고 윈도우 업데이트를 하기 귀찮다고 하면 윈도우 업데이트는 자동 업데이트 부분을 수동으로 변경하지 않으면 윈도우는 인터넷에 연결이 되어져 있으면 기본적으로 보안 업데이트를 진행을 합니다. 그리고 나서 사용을 하는 프로그램은 최신 업데이트로 유지를 하면 그리고 백신프로그램도 함께 실시간 감시, 최신 업데이트로 유지를 하는 것이 중요합니다. 그리고 토렌트 같은 곳에서 파일을 함부로 다운로드 및 실행을 하는 것도 주의하시길 바랍니다. 그리고 지난번에 소개해 드린 우크라이나를 노린 랜섬웨어 처럼 아마도 특정 지역, 특정 국가 및 언어를 사용하는 랜섬웨어는 증가할 것으로 생각합니다. 그리고 또 다른 방법으로는 윈도우에서 사용을 하는 스크립트 기능을 무력화시켜버리는 방법도 있습니다. 먼저 레지스트리 편집기를 열어줍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\Enabled
특정 컴퓨터의 모든 사용자에 대해 WSH를 사용하지 않으려면 해당 항목을 만들어 사용하면 됩니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled
적용되면 사용자가 WSH 스크립트를 실행하려고 할 때마다 다음 메시지가 표시됩니다.
물론 스크립트를 사용하고 싶지 않을 때에는 Enabled의 값을 0으로 만들면 되며 Enabled는(DWORD)로 만들어야 합니다. 물론 이런 방법을 사용하면 컴퓨터를 사용하면서 불편함도 있을 것입니다.

<기타 관련 글>

[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 올크라이 랜섬웨어(AllCry Ransomware) 감염 증상 및 예방 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 소개/소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

윈도우 디펜더 맬웨어 방지 엔진의 취약점 발견

Posted by Sakai
2017.12.11 21:40 소프트웨어 팁/보안

마이크로소프트에서 제공하는 윈도우 디펜더 맬웨어 방지 엔진의 취약점 발견이 되었고 해당 취약점에 대해서 보안 취약점 보안 업데이트가 되었다는 소식입니다. 마이크로소프트에서는 2017년12 월 7일 (미국 시각)으로 맬웨어 방지 엔진의 취약점에 대한 새로운 정보를 공개했습니다. 문제가 되는 해당 엔진은 전날 6일에도 다른 취약성 정보가 공개되어 있어 Malware Protection Engine 1.1.14405.2 로 수정되었습니다. 일단 기본적으로 업데이트 방법은 간단합니다.윈도우 업데이트를 통해서 업데이트를 진행을 하시면 됩니다.

해당 보안 취약점은 Malware Protection Engine의 1.1.14306.0 이전 버전에 존재하며 악용의 적으로 작성된 악성코드에 의해서 파일이 제대로 스캔 되지 않을 수 인해 메모리 손상을 일으키는 임의의 코드를 실행시킬 수 있는 문제입니다. 해당 취약점을 영향을 받은 제품은 다음과 같습니다.
Endpoint Protection, Exchange Server, Forefront Endpoint Protection, Security Essentials, Windows Defender, Windows Intune Endpoint Protection 등의 보안 제품이며 심각도는 모두 Microsoft의 4단계 평가에서 가장 높은 긴급으로 입니다.

일단은 이번 취약성을 악용 실제 공격은 보안 정보를 공개한 시점에서는 확인되지 않고 있지만, 악용이 될 수가 있으므로 해당 윈도우 디펜더를 사용을 하시는 분들은 윈도우 업데이트를 통해서 업데이트를 하시면 됩니다.
해당 CVE- 2017-11937은 특수하게 조작된 파일을 제대로 검색하지 못하여 메모리 손상을 일으키는 경우 원격 코드 실행 취약점이 존재하며 해당 취약점을 성공적으로 공격자가 공격에 성공했으면 LocalSystem 계정의 보안 컨텍스트에서 임의 코드를 실행하고 시스템을 제어할 수 있습니다.

더 자세한 내용
그러면 공격자가 프로그램을 설치할 수 있으며 데이터보기, 변경 또는 삭제; 또는 전체 사용자 권한으로 새 계정을 만들 수 있는 문제입니다. 그리고 결함을 악용하려면 침입자가 먼저 조작된 파일을 조작하여 전자 메일, IM 메시지, 사용자가 사이트에 액세스 할 때 웹 사이트 코드의 일부로 원격 컴퓨터로 보내거나 스캔 한 다른 위치에 배치해야 하여야 합니다. 일단 기본적으로 윈도우 디펜더를 사용을 하시는 분들은 반드시 보안 업데이트를 진행을 하시면 됩니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 업데이트는 못해도 취약점 업데이트는 해야 될 거같아요.
    • 어차피 윈도우 디펜더를 사용을 하고 있으면 바이러스 정의 데이터를 다운로드를 하면 자동으로 업데이트가 됩니다.

윈도우 7 업데이트 오류 코드 80248015 해결 방법

Posted by Sakai
2017.12.08 00:00 소프트웨어 팁

오늘은 윈도우 7 업데이트 오류 코드 80248015 해결 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 Windows 7에서는 윈도우 업데이트를 할경우에 가끔 윈도우 7 업데이트 오류 코드 80248015가 발생을 하고 있습니다.해당 오류는 C:\Windows\SoftwareDistribution\AuthCabs\ authcab.cab 파일 때문에 발생을 한다고 합니다.
해당 CAB 파일에는 authorization.XML이라는 XML 파일이 있으며 이 파일의 유효 기간은 2011년 12월 3일 11:59:25 PST입니다. 이 시간이 지나면 사용자가 창을 갱신하려고 하면이 파일이 만료되어 Windows Update가 실패한다고 합니다.
사용자가 그냥 해당 파일에 있는 시간을 수정할 수가 있지만, 문제는 사용자가 문제를 해결할 수가 없다는 것이 때문에 하는 방법은 간단합니다. 이 문제를 해결하려면 시계를 다시 2017년 12월 2일로 설정하고 Windows Update를 다시 실행합니다. Windows Update는 업데이트를 실행하고 내려받아 설치하는 것을 허용했습니다. 만약 해당 문제가 계속되는 경우 다음 단계를 시도하는 방법도 있습니다.

먼저 컴퓨터를 재부팅 합니다.

그리고 나서 컴퓨터 시간을 2017년 3월 12일로 날짜를 변경하고 윈도우 업데이트를 새로 시작을 해봅니다.윈도우를 업데이트 할 때 마이크로소프트 제품 업데이트 및 새 선택적 마이크로소프트웨어 확인에 대한 설정이 더는 표시되지 않아야 한다고 합니다. 아니면 Windows Update MiniTool를 도구를 이용해서 사용하면 만료날짜가 2025년까지 됩니다. 그리고 다음으로, 해결을 하는 방법은 다음과 같습니다.

명령 프롬프트를 관리자 권한으로 열고, 윈도우 업데이트를 멈추어야 합니다.
net stop WuAuServ 명령어를 실행을 시켜줍니다.
그리고 나서 %windir% 경로에 가서 windows update 폴더의 이름을 변경합니다. 예를 들어 다른 이름으로 변경으로 하시면 됩니다.
\Windows\SoftwareDistribution 폴더 명을 변경하면 됩니다.
그리고 다시 windows update(윈도우 업데이트) 서비스를 실행한다.
net start WuAuServ
그리고 다시 컴퓨터를 재부팅을 하고 나서 다시 한번 윈도우를 시도를 하시면 될 것입니다.
그리고 시스템 시간 동기화는 필수입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 업데이트 오류 해결할 수 있는 방법 잘알고 갑니다
  2. 좋은 정보 잘보고갑니다. 행복한 아침되세요^^
  3. 업데이트 오류 해결 방법 잘보고 갑니다^^
  4. 업데이트하다가 전기코드 잘못건드려서 복구되면서 windows.old 가 생겼더라구요..
    지워지지도 않고 해서.. 한번 포맷을 할까 생각중입니다..
    • windows.old 파일은 윈도우에 있는 디스크 정리로 삭제가 가능 합니다.

윈도우 10에서 윈도우 업데이트 다운로드 속도 제한 방법

Posted by Sakai
2017.12.04 06:01 소프트웨어 팁

오늘은 윈도우 10에서 윈도우 업데이트 다운로드 속도 제한 방법에 대해 알아보는 시간을 가져 보겠습니다. 윈도우 10이 출시된 이후 윈도우 업데이트를 진행을 하면 윈도우 사용 가능한 대역폭을 소모합니다. 물론 윈도우 업데이트를 그렇다고 안 할 수가 없고 그렇다고 하기는 해야 하는데 윈도우 업데이트에서 다운로드 하는 과정에서 고사양 컴퓨터를 사용하거나 또는 기가 인터넷을 사용하지 않을 때에는 저 사양 컴퓨터를 사용하시는 분들에게는 자동 업데이트 하는 과정에서 컴퓨터가 느려지는 상황이 발생하기도 합니다. 물론 이런 문제를 하려면 윈도우 업데이트 내려받기 속도를 줄이는 방법입니다.

즉 대역폭을 줄이는 방법입니다.윈도우 다운로드 및 업로드 속도를 제한하는 것입니다. 해당 기능은 윈도우 10에 관심이 있으신 분들은 잘 아실 것입니다.

기본적으로 지난 Windows Insider Build 16241에 처음 추가가 된 기능입니다. 일단 윈도우 10에서 다운로드 속도를 제한하는 방법입니다. 먼저 Windows Update 다운로드 대역폭을 제어하려면 컴퓨터에서 설정으로 이동합니다.
그리고 나서 설정 항목에 보면 업데이트 및 복구 부분이 보일 것입니다. 해당 버튼을 눌러주면 인터넷이 연결돼 있으면 기본적으로 윈도우 업데이트를 검색을 할 것입니다. 일단 윈도우 업데이트 부분에서 고급 옵션으로 이동합니다.

그리고 나서 다음에 보면 배달 최적화라는 것이 보일 것입니다.
해당 배달 최적화를 클릭해줍니다. 배달 최적화에서 고급 옵션을 클릭하면 보면 다운로드 설정, 업로드 설정, 월간 업로드 제한이 보일 것입니다. 여기서 자신이 원하는 부분을 선택하면 됩니다.

특히 다운로드 설정을 보일 것입니다. 해당 부분을 체크를 하고 자신이 원하는 밴드 대역폭을 조절하면 됩니다. 즉 해당 부분은 보이는 것에서 백그라운드에서 업데이트를 다운로드 하는 데 사용되는 밴드폭의 양을 제한을 하는것입니다. 물론 윈도우 업데이트(Windows Update)및 월간 업로드 제한에 대한 업로드 대역폭을 선택할 수가 있습니다.

물론 해당 방법을 사용하는 것은 사용자 마음입니다. 물론 윈도우 업데이트를 자동업데이트를 하지 않고 수동으로 업데이트 즉 윈도우 업데이트가 나오는 시간을 아시는 분들은 특별하게 해당 기능을 제한하지 않아도 될 것 같습니다. 일단 해당 기능을 활성화하는 것은 자신 스스로 결정하시면 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 다운로드 속도를 제어할 수 있다니 잘 배우고 갑니다
    • 네~다운로드 속도를 제한을 할수가 있습니다.필요하시는분들은 사용을 해보는것도 좋을것 같습니다.

스캐럽 랜섬웨어(Scarab Ransomware) 감염 및 예방 방법

Posted by Sakai
2017.11.28 00:31 소프트웨어 팁/보안

오늘은 스캐럽 랜섬웨어(Scarab Ransomware) 감염 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 스캐럽 랜섬웨어(Scarab Ransomware)은 일단 기본적으로 스팸 전자 메일, 전자 메일 첨부 파일, 실행 파일 형태로 악성코드가 감염이 이루어집니다. 스캐럽(Scarab)처럼 풍뎅이입니다. 아마도 해당 랜섬웨어를 만든 사람이 풍뎅이를 좋아해서 붙였을 것 같습니다. 스캐럽 랜섬웨어(Scarab Ransomware)은 일단 앞서 이야기한 것처럼 이메일 형태로 배포됩니다. 스팸 패턴은 기본적으로 Necurs 봇넷(Necurs botnet)으로 유포가 되며 AES 암호화 알고리즘을 사용하고 있습니다. 일단 해당 랜섬웨어에 감염이 되며 언제나 현금보다는 가상화폐인 BitCoin(비트코인)으로 몸값을 지급을 요구합니다. 그리고 나서 암호화한 파일 확장자 이름은 .scarab으로 변경을 해버리고 IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT이라는 파일을 추가합니다. 일단 전자메일은 Lexmar, HP, Canon, Epson 등과 같은 유명한 회사의 이름을 내세워서 해당 회사에서 직접 이메일을 보낸 것처럼 속이는 이메일을 무작위로 보냅니다. 이메일 자체에는 .vbs 파일로 된 7Zip 형식의 파일이 포함되어 있고 해당 VBS 스크립트가 활성화되면 Scarab ransomware의 악의적인 파일인 .exe 실행 파일 유형을 내려받고 실행하는 원격 호스트에 연결을 시도합니다. 물론 이메일을 통해서 배포만 이루어지지 않습니다. 배포 방식은 다양합니다.
Exploit kits,Web injectors,Fake updates.,E-mail spam messages.,Malicious e-mail attachments.,Web-injectors,Infected software setups,Malicious macros 즉 스팸메일, 이메일에 포함된 첨부파일 방식, 악성코드에 감염된 프로그램, 악성 매크로, 가짜 업데이트,윈도우,어도비 플래시플레이어, 브라우저 취약점을 활용해서 악의적으로 제작된 웹사이트에 접속하자마자 다운로드 해서 실행을 하는 방법 등 여러 가지 방법이 있습니다.

스캐럽 랜섬웨어(Scarab Ransomware)은 악의적인 목적이 있는 사람이 사용하는 명령 및 제어 서버에 연결할 수 있으며 다음에는 스캐럽 랜섬웨어(Scarab Ransomware)는 감염된 컴퓨터의 시스템 정보를 중계하고 악성 실행 파일 내의 기능을 사용하여 감염된 컴퓨터를 고유번호로 구별합니다. Scarab Ransomware의 악의적으로 제작된 파일은 무작위로 명명된 .exe 파일이며 다양한 % SystemDrive % 디렉터리에 존재합니다. 그리고 암호화를 시작하고 나서 IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT라는 텍스트 파일을 만듭니다.
그리고 해당 랜섬웨어 노트는 다음과 같습니다.

*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
Your files are now encrypted!
—–BEGIN PERSONAL IDENTIFIER—–
**************************************
—–END PERSONAL IDENTIFIER—–
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: qa458@yandex.ru
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
‘Buy bitcoins’, and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
*** 모든 파일을 가져오고 싶다면이 파일을 읽어주십시오 ***
이제 파일이 암호화됩니다!
- 최초 개인 신상 기록자 (BEGIN PERSONAL IDENTIFIER)
***************************************
- 개인 신상 기록
모든 파일은 PC의 보안 문제로 말미암아 암호화되었습니다.
이제 귀하의 개인 식별자를 이메일로 보내주십시오.
이 전자 메일은 암호 해독 키 비용을 지급할 준비가 되었음을 나타냅니다.
Bitcoins에서 암호 해독에 대한 비용을 지급해야 합니다. 가격은 당신이 우리에게 얼마나 빨리 쓰는지에 달렸습니다.
지급 후 모든 파일을 해독할 수 있는 해독 도구를 보내드립니다.
이 이메일 주소로 문의하기 :qa458@yandex.ru
보증으로 무료 암호 해독!
지급하기 전에 무료 암호 해독을 위해 최대 3개의 파일을 보낼 수 있습니다.
파일의 전체 크기는 5MB 미만 (보관되지 않음)이어 야하며 중요한 정보 (데이터베이스, 백업, 큰 Excel 시트 등)가 포함되어서는 안 됩니다.
Bitcoins을 얻는 방법?
* 비트 코인을 사는 가장 쉬운 방법은 LocalBitcoins 사이트입니다. 등록을 클릭해야 합니다.
구매 비트 코인'을 선택하고 지급 방법 및 가격별로 판매자를 선택하십시오.
https://localbitcoins.com/buy_bitcoins
* 또한, Bitcoins 및 초보자 가이드를 구입할 수 있는 다른 장소를 찾을 수 있습니다 :
http://www.coindesk.com/information/how-can-i-buy-bitcoins
주의!
* 암호화된 파일의 이름을 변경하지 마십시오.
* 타사 소프트웨어를 사용하여 데이터의 암호 해독을 시도하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
* 제3자의 도움을 받아 파일을 해독하면 가격이 올라가고 (우리 회사에 요금이 추가됨) 사기의 희생자가 될 수 있습니다.

일단 보면 3개 정도는 무료로 복원화 해주지만 나머지 파일을 복원화 하려면 비트코인을 보내어야 풀 수가 있다는 것을 볼 수가 있으면 그리고 친절하게 비트코인이 없는 사람들을 위해서 비트코인을 구매를 할 수가 있게 비트코인을 구매를 할 수가 있는 주소와 그리고 비트코인이 무엇인지 모르는 사람들을 위해서 비트코인에 대한 초보자 가이드를 제공하는 비트코인 구매 사이트 주소를 볼 수가 있습니다.
그리고 해당 랜섬웨어를 제거를 하고 파일을 복구할 수가 있을 수 있는 시스템복원도구인 섀도우 볼륨 복사본을 삭제합니다.
암호화 대상이 되는 파일 확장자들은 다음과 같습니다.

PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG

일단 섀도우 볼륨 복사본이 삭제되지 않았으며 먼저 랜섬웨어를 제거를 하고 나서 Shadow Explorer(새도우익스플로워)를 이용을 해서 파일을 이용해서 시도합니다. 물론 100% 복구된다는 보장은 없습니다.

그리고 이런 랜섬웨어에 감염이 되지 않으려면 출처가 불분명한 사이트에 있는 사이트에 있는 파일을 내려받기 실행을 하지 않으며 그리고 윈도우 업데이트를 최신업데이트로 유지를 하면 그리고 백신프로그램 사용과 자신이 사용하는 프로그램은 항상 최신 업데이트를 유지를 하면 만약을 대비해서 외장하드디스크에 중요한 파일은 반드시 백업을 해두고 사용을 하는 것도 좋은 방법일 것입니다. 그리고 랜섬웨어 방지 프로그램을 사용하는 것도 좋은 방법일 것입니다.

<기타 관련 글>

[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 소개/소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 불분명한 출처 정말 중요한거 같습니다.
    • 네~저도 그렇게 생각을 합니다.프로그램을 정식 경로가 아닌 토렌트 같이 출처가 불분명한곳을 이용을 하면 악성코드에 감염이 될 가능성이 매우 높습니다.
  2. 랜섬웨어위 종류 그리고 감염경로가 정말 많네요. 오늘은 스캐럽 랜섬웨어(Scarab Ransomware) 감염 및 예방 방법 글 잘 보고 갑니다.

    기분좋은 화요일 보내시길 바래요
    • 어차피 랜섬웨어 같은 악성코드 같은 경우에는 기본적인 보안 수칙을 지키면 안전하게 컴퓨터를 사용을 할수가 있습니다.
  3. 새로운 랜섬웨어군요 잘알고 갑니다
  4. 새로운 정보 잘 배우고 가네요
  5. 랜섬웨어는 정말 무섭습니다. 종류가 너무 많아서 예방도 쉽지 않은것 같아요.
    조심하는수 밖에요.
    • 기본적인 보안 수칙과 랜섬웨어예방프로그램을 설치해서 사용을 하면 도움이 될것입니다.

크립토믹스 랜섬웨어(Cryptomix Ransomware) 새로운 변종-0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)

Posted by Sakai
2017.11.19 00:01 소프트웨어 팁/보안

오늘은 최근에는 발견이 되고 조금 오래된 크립토믹스 랜섬웨어|Cryptomix Ransomware)의 새로운 변종인 0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)이 발견이 되었습니다.해당 랜섬웨어인 0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)은 일단 기본적으로 다른 랜섬웨어와 같이 랜섬웨어가 작동을 해서 암호화 하는 방법은 똑같습니다.그리고 _HELP_INSTRUCTION.TXT이라는 파일을 생성을 하면 해당 _HELP_INSTRUCTION.TXT안에는 랜섬웨어 제작자와 연결을 할수가 있게 이메일이 포홤이 되어져 있습니다.
일단 이메일 주소를 보면 y0000@tuta.io, y0000@protonmail.com, y0000z@yandex.com 및 y0000s@yandex.com입니다.보시면 기본적으로 tuta 보안 메일과 그리고 protonmail을 사용을 할수가 있는것을 확인을 할수가 있으면 기본적으로 yandex가 있는것으로 보아서 아마도 러시아에서 제작이 되었지 않나 추정을 해봅니다.

0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)는 파일이0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)에 의해 암호화 될 때 파일 이름을 수정 한 다음 파일을 추가합니다 . 0000 암호화 된 파일 이름 확장로 변경을 해버립니다.

0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어) 변종은 피해자의 파일을 암호화하는 데 사용되는 AES 키를 암호화하는 데 사용되는 11 개의 공개 RSA-1024 암호화 키를 포함하게 되고 이렇게하면 인터넷없이 랜섬웨어가 완전히 오프라인으로 작동 할 수가 있습니다.

그리고 특이한점은 해당 변종 랜섬웨어는 11 개의 공개 RSA 키는 이전의 XZZX Cryptomix Ransomware 변종과 똑같습니다.

랜섬웨어 노트는 다음과 같습니다.

Hello! Attention!
All Your data was encrypted! For specific informartion,
please send us an email with Your ID number: y0000@tuta.io y0000@protonmail.com y0000z@yandex.com y0000s@yandex.com Please send email to all email addresses!
We will help You as soon as possible! DECRYPT-ID-감염자 컴퓨터 ID
안녕 주의하세요.너의 모든 데이터는 암호화되었습니다.그리고 너의 ID를 이메일로 보내주시면 됩니다.

그리고 다음 명령어를 수행을 합니다.

sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc cmd.exe /C bcdedit /set {기본} recoveryenabled
No cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

일단 실행되는 명령어 보면 윈도우 디펜더,윈도우 방화벽,윈도우 보안 관련은 물론 기본적으로 새도우볼륨복사본도 삭제를 시도를 합니다.
사용하는 RSA-1024 키는 다음과 같습니다.

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCyagbOaf3s/ePCxre9cs9BwaX3 D40qF7jAzB/xoWktfDlY2PVslZ2reYhQC9dSIvkEtuZqlUUYgFUdaaqTsE7pA8ik 2zXI5Ou7I0YtwWRoFNCl8YlMTRKgDHRQhclPNbtpi2ucm507Unr8EnT2ZzcTOYv1 7ITFgkBdNr4zHLFrpQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDChVnFfbDa3rp1sug7tbE6ba/O RWAwsk6WQ21XHgAXF7dKuEtG/4q7QJyHahQvys2oLkJ4Et2+S4YS3FSYXYqNOq/e 5ahdS19KiuGLnf1u7acnsGvikJgvXiwe/NH2h48ZtK0Uyn1Q1ijVNU66f1pehSmB YQupamnC2XkV9d6Z0wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXbf7u6Pq5kB+O1Cb9GIG9GlVG Mswk342Er1HMiHFXUsVMlljLFTJPz5rdcVB4QAXsOynm67uw8yEAlNC90AHohuIV dGDNVoQuuyNvanI1Ur4cA4aKqpJZKbkVauTpCDdEAse4LSH4NrGTgCao42jiaksj pZvKyFK8yvdoAwd3JQIDAQAB
-----END PUBLIC KEY-----
 -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCetENrtjivjYOthpX2yTlYKJ0x gZ0R367J8tSFikEhVoko4SKRmN9Y1s88iCdeRPUZh2Q0rHOesf/AxONK1buzygXl BkE5X86I3EFUFbPjyOnIgEKFru728aLlwkslqYPIWS29DZUCboHzv1YWU8gtFkwL 5bUEB444se2UXi+pjwIDAQAB -----END PUBLIC KEY----- -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQa9aSkupoA7jxeOhS/mbRvy4u H/hI6XbTsv+ilfj8v9XHBaptsExUvCDG3fXvDKxSLxa6HBXnemM3weUDS0njH9Sb MJjImRjQ+OambwAYaj/hnFM3TYWU4KhPPKWrsxHT1ReSo1i+G2bNxr2gyS2D606N xaN4LNmYw3PLL2omGQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCIiEAs1V5JBCLKmDy0Il6rfC4w pQm0s9224Yvxs5pRRic3IQwAJ6wWw0Nrl42LxiA88jggso2EZ05lAl9FIuCNvzCr PO2QOjRLT0w2bYEEneK+rQR9sexZSI90zYVjziI26muOG1M8neAHqWkPvZI1a1sd hG5MwboKBkPYbtXI1wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC4ShCcW3W2gmG5HT/Vcrzf4HKi OXAmVWpTRkyqxkw/wU7Ax+A63Fgo5tV4psuxHcJUGYQv4B8+Ag+POHmE4a7Vd4Ra 7tVXBEoyl1ZKF8fFCAAaw6G/ALCL0LEQiTLaqQuIjNXRo7S4Mt/alOM18uMP/kEA mqnGDXEblePIsMUzkQIDAQA
 -----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOXllDk/itDr0oW7hxm01XLeEo pVCg63jWxr5ZEKMU3zmYPtIPGayJbOacU+pPf6t77IMR8ainmJXjAK1c0V07XJv2 UrRsQARYDGEnItYphiYI7t1AgXSPoUi8pvQJrpja3WpuFNmhsWE2lz5uEO7QeejG jSToXALGsvmgvGq5SQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCWeBww97UHcRLjztOKvXB0xzRC LcZGov/Y/6x/m8uo42nLkyPgUjrqR7EAzB6bbB6L6aOgCJb2WyffOaNN5df07gIV f1Ea8u/jMIr5uhR+pnFMNB0jQIqqU9/slURM+U7dFvELbli5HL+7Ac/EehJNjLNW bpB5dTPCSSpKFoeoxQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCIX+Ay2zjnnViZsCDCk/TS2wZV 85YVVWpAXzsu4wzJzo4Mux2PK5pW0+i6+O1KZLcu+d5xElKM0KgrmE8uY1xylA18 SMBHHhBNhJdYXIaARFNp1uRG+kR8IDgT3sDrSseTt//l2tn8oo5xxw6UHtsBqRwF KP3u+Vspd+gFRsTC5wIDAQAB
 -----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCxsV6vYenwHV4noHlPuOL/Dc7b dcLDWzJCmCToF5wCnUdkeifop7s6Kuz4nujPWq+6/foz5od8GySTtKiZtoq3lcmI 04RMzKqvo1PkR4RzfXGBLVk6EqeCrueY86l8Gu71oiPois8jJV6VQ96IJuc0HNRb IVKuPQZRttC1CjuZHQIDAQAB
-----END PUBLIC KEY-----

일단 기본적으로 이런 랜섬웨어에 감염이 되는것을 최소화할려며 기본적으로 토렌트 같은 곳에서 함부로 파일을 다운로드 해서 실행을 하면 안되며 그리고 백업은 필수이며 백신프로그램과 보조백신프로그램,랜섬웨어 방어프로그램 같은 것을 설치를 해서 보호를 해야 되면 기본적으로 윈도우 보안 업데이트 최신 업데이트 유지,Adobe Reader,Adobe Flash Player,Java같은 프로그램을 사용을 하면 항상 최신 업데이트로 유지를 하면 이메일을 보낸 사람이 잘 모르는 사람일경우에는 함부로 다운로드 및 실행을 하는것을 자제해야 합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 크립토믹스 랜섬웨어(Cryptomix Ransomware) 의 변종이 나왔군요. 유용한 소식 체크하고 갑니다^^ 편안한 주말 보내시길 바래요
  2. 변종이 계속 나오네요..
    얼마나 더 지나야.. 이런 소식들도 안들리게될런지..
    • 어차피 범죄이다 보니 사람들이 올바르게 사용을 하려고 하지 않는 이상은 안될것 같습니다.
  3. 어머~ 랜섬웨어의 새로운 변종이 발견되다니 슬픈 소식이네요~
    함부로 파일 다운받지 말고 보안업데이트를 최신으로 유지하며 보안에 신경써야겠네요^^
    • 그냥 가상 환경을 만들고 메인 컴퓨터와 공유를 하지 않은 상태에서 이용하는 방법도 있습니다.
  4. 바이러스는 변종이 더 무서운 거 같아요 업계에서 신속하게 대응하는 게 중요한 거 같아요
    • 어차피 기본적으로 기본적인 보안 수칙을 지킨다고 한다면 악성코드로 부터 피해를 줄일수가 있을것입니다.
  5. 랜섬웨어 무섭네요.^^;
    잘보고갑니다.^^
    • 항상 조심하는것이 좋은 방법인것 같습니다.

랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

Posted by Sakai
2017.11.14 00:00 소프트웨어 팁/보안

랜섬웨어(Ransomware)라고 하면 기본적으로 AES와 그리고 RSA 암호화 알고리즘을 사용해서 사용자가 사용자의 컴퓨터를 감염을 시켜 암호화를 진행해서 해당 암호화된 파일을 풀고 싶으면 가상화폐 중 하나인 비트코인을 내보라고 하는 악성코드입니다. 물론 비트코인을 보낸다고 암호화를 풀 수 있는 파일을 랜섬웨어 복원화 도구를 받는다는 100% 보장이 없습니다.

즉 이런 악성코드에 감염되는 것을 최소화하려면 기본적으로 예방이 중요합니다. 즉 윈도우 업데이트 제때하고 백신프로그램 설치를 하고 최신으로 유지하면 최신 업데이트로 유지를 하며 자신이 사용하는 프로그램을 최신 상태로 유지하면 토렌트와 같은 곳에서 출처가 불분명한 곳에서 파일이나 동영상을 다운로드르 및 실행을 하지 않고 보조 백신프로그램이나 랜섬웨어예방프로그램을 사용을 하는 것이 안전하게 컴퓨터를 사용하는 방법의 하나일 것입니다.

오늘은 소개해 드리는 프로그램인 Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버) 일명 Rifr은 간단하게 랜섬웨어가 남겨놓은 랜섬노트를 지우는 역할을 합니다.

일단 랜섬웨어는 제거를 하지 않으므로 랜섬웨어 안내파일만 삭제합니다. 일단 해당 스크립트인 Rifr은 일단 MZK로 유명한 ViOLeT님이 제작을 해서 배포를 하고 있습니다. 일단 사용은 무료로 할 수가 있으면 프로그램의 계발을 위해서 기부도 가능합니다. 일단 배포 하는 곳은 예전부터 몸을 담고 있던 바이러스 제로 시즌 2에서 제공을 합니다. 일단 제거를 할 수가 있는 랜섬웨어 종류는 다음과 같습니다.
726, Cerber, CryptoLocker, CryptoShield, CryptoWall, CryptXXX, CTB-Locker, Locky, Matrix,My Ransom, Sage, WannaCry
일단 기본적으로 해당 파일은 바이러스 제로 시즌 2에서 내려받기하면 되면 실행을 하려면 먼저 해당 프로그램을 압축프로그램으로 풀고 나서 그리고 나서 해당 파일을 관리자 권한으로 실행을 시켜 줍니다. 그리고 나서 잠시 기다리다 보면 다음과 같은 메시지가 나올 것입니다.

Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

Ransomware Information File Remover
Virus Zero Season 2 : cafe.naver.com/malzero
Batch Script : ViOLeT (archguru)
────────────────────────────────────────────────
ⓘ 진행 전에 반드시 읽어주세요!
 이 스크립트는 랜섬웨어 안내 파일만 삭제하며, 랜섬웨어 본체 삭제 기능은 없습니다.
랜섬웨어 안내 파일 삭제 시, 비트 코인 송금을 통한 복호화가 불가능해지므로 유의 바랍니다.
ⓘ 안내 파일 제거 가능 랜섬웨어 종류 안내
726, Cerber, CryptoLocker, CryptoShield, CryptoWall, CryptXXX, CTB-Locker, Locky, Matrix
My Ransom, Sage, WannaCry
● 동의 및 삭제를 진행하시겠습니까 (Y/N)? y
◇ 고정식 및 이동식 드라이브 정보 읽는중 . . .
◇ C:\ 드라이브 랜섬웨어 안내 파일 제거 중 (데이터가 많을 경우 상당 시간 소요) . . .

일단 726, Cerber, CryptoLocker, CryptoShield, CryptoWall, CryptXXX, CTB-Locker, Locky, Matrix,My Ransom, Sage, WannaCry에 감염이된 분들에게 랜섬웨어 노트를 제거하는데 도움을 받을 수가 있을 것입니다. 일단 기본적으로 무료이면 프로그램 계발 자인 ViOLeT 님에게 후원을 하고 싶은 분들은 페이팔과 카카오뱅크계좌로 후원을 하시는 것도 좋은 방법일 것입니다.

일단 기본적으로 앞서 이야기한 것처럼 랜섬웨어에 감염이 되지 않는 것이 제일 나은 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. MZK 도 사용중인데 랜섬웨어 제거 툴도 나왔군요.
    • 해당 프로그램은 랜섬웨어 노트만을 제거합니다.랜섬웨어를 제거를 하는것이 아닙니다.랜섬웨어 제거는 MZK등과 같은 보조 프로그램과 백신프로그램을 이용을 하는것이 좋을것 같습니다.
  2. 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover 글 잘 읽고 갑니다^^ 항상 건강하세요
  3. 맥신프로그램이 많이 개발되면 더 좋을 것 같아요
    • 백신프로그램도 중요하지만 일단 기본적으로 사용자의 보안 의식도 중요한것 같습니다.백신프로그램이 100% 잡아주지 않기 떄문이죠.
  4. 정말 대단하신분인것 같아요
    mzk도 만들어서 배포하시고 이 프로그램도 만드시고 ㅎㅎ
    • 저도 그렇게 생각을 하고 있습니다.

아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware) 감염 증상

Posted by Sakai
2017.11.09 00:20 소프트웨어 팁/보안

오늘은 간단하게 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware) 감염 증상에 대해 알아보는 시간을 가져보겠습니다. 일단 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware)는 3번째 버전입니다. 일단 기본적으로 아돌프 히틀러(Adolf Hitler)는 아마도 나치 독일의 지도자 겸 총통이면서 타임지 선정 20세기 가장 영향력 있는 인물 100인이기도 하면서 홀로코스트, T-4 프로그램 등과 그리고 2차 세계대전 그리고 아리아 족 우월주의의 한 정치사상을 가지고 있으며 한때는 미술에도 소질이 있었던 사람 그리고 국민을 다스리는 방법은 빵과 서커스만 있으면 된다는 말을 한 사람이기도 합니다. 그러나 문제는 히틀러는 세계최고의 학살자이기도 합니다.

일단 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware)에 감염이 되면 랜섬웨어들이 하는 행동이 기본적으로 컴퓨터를 감염시키고 그리고 나서 컴퓨터 안에 있는 문서 파일, 동영상 파일, 사진 파일 등을 암호화를 진행합니다. 그리고 나서. AdolfHitler 확장자로 암호화를 진행합니다.

그리고 나서 비트코인을 요구를 합니다.비트코인은 BTC 당 20€입니다.BTC 주소는 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB를 사용을 하고 있습니다. 그리고 나서 기본적으로 윈도우를 설치를 하고 나서 기본적으로 실행되는 시스템 보호 부분에 있는 시스템 복원기능을 삭제를 시도합니다. 즉 해당 시스템 복원기능을 삭제하면 지난 시간에 소개해 드린 새도우익스플로워(ShadowExplorer)를 사용을 해서 파일을 복구할 수가 없습니다.

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

일단 먼저 실행이 되면 다음과 같이 나치식 경례를 하는 모습을 볼 수가 있습니다. 그리고 나서 나치 문장과 함께 비트코인을 요구하는 화면을 볼 수가 있습니다. 그리고 바탕화면으로 컬러도 히틀러 사진으로 강제적으로 변경해버립니다.

물론 바탕화면에서는 _AdolfHitler_.bmp파일이 생성이 되고 해당 파일이 사용자 화면으로 대체되는 방식을 취하고 있습니다. 일단 기본적으로 이런 랜섬웨어에 감염이 되지 않는 방법은 기본적으로 윈도우 업데이트(긴급 업데이트 제외,매월 두쨰주 수요일)을 하면 백신프로그램 사용과 보조 백신프로그램 또는 랜섬웨어차단 프로그램을 사용해서 예방하고 그리고 기본적으로 자신이 사용하는 프로그램은 최신 업데이트로 유지를 하는 것이 이런 랜섬웨어에 감염이 되지 않을 것이면 토렌트 같은 곳에서 출처가 불명확한 사이트에서 파일을 다운로드 및 실행을 하는 것을 자제해야지 이런 악성코드에 감염되지 않을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 아돌프 히틀러 랜섬웨어도 있네요!?
    감염 증상에 대해 잘보고 갑니다.
    • 네~이런 랜섬웨어도 있습니다.
  2. 랜섬웨어 종류도 참 다양하네요 덕분에 잘 알아 갑니다
  3. ㅇㅏㅇㅏ.. 히틀러 랜섬웨어라니... 별개 다 있네요.
    • 네~저도 그렇게 생각을 합니다.
  4. 요즘 변종랜섬웨어들이 참 많은 것 같습니다. 이름만 바꿔가며 사람들의 컴퓨터에 피해를 줘가며 돈을 갈취하는 행위가 끊임없네요. 좋은 정보 감사합니다. ^^
    • 랜섬웨어 제작도구가 있다보니 쉽게 제작을 할수가 있습니다.
    • 헐.. 랜섬웨어도 제작 툴이 있었군요;; 저는 어떻게 그런걸 만드나 신기했었는데.. 그런 툴이 존재했을 줄이야.. 흠.. 랜섬웨어 너무 후덜덜해요.ㅎㅎ
    • 네~있습니다.다만 좋은것은 가격이 비싸죠.
    • 헐~~비싼 돈을 줘서 랜섬웨어 툴을 사는 이유가 뭘까요?ㅠㅠ;; 랜섬웨어도 일종의 바이러스 같은건가요? 아니면 그냥 해킹툴?
    • 랜섬웨어는 간단하게 악성코드 일종이면 랜섬웨어 제작툴은 돈이 들어가면 성능이 더 좋아서 다양하게 만들수가 있습니다.물론 무료로된 랜섬웨어 제작툴도 있고 랜섬웨어 제작툴 자체가 바이러스 입니다.

Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법

Posted by Sakai
2017.10.26 00:00 소프트웨어 팁/보안

오늘은 지금 동유럽을 강타한 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 토끼라고 하면 사람들하고 귀엽고 사랑스러운 동물이기도 하지만 오스트레일리아 즉 호주에서는 인간에 의해서 자연이 파괴한 동물이기도 하고 세계경제공황과 1차 세계대전, 2차 세계대전 때에는 MRE로 활용이 되기 했고 경제 공황 속에서도 훌륭한 단백질 공급원이기도 합니다. 일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 현재 러시아, 우크라이나, 불가리아, 터키 등을 휩쓸고 있습니다. 현재 확인된 상황은 우크라이나의 오데사 공항, 우크라이나의 키예프 지하철 시스템, 우크라이나 인프라 자원부, 인터 팩스(Interfax)및폰탄카(Fontanka) 그리고 러시아 통신사도 표적이 되고 있습니다.

일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 가짜 어도비 플래시 플레이어(Adobe Flash Player)을 통해서 전파가 되고 있었지만, 현재는 드라이브 바이 공격으로 이용되고 있습니다. 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 Mimikatz를 사용하여 로컬 컴퓨터의 메모리에서 자격 증명을 추출하고 그다음에 하드 코드 된 자격 증명 목록과 함께 SMB를 통해 같은 네트워크의 서버 및 워크 스테이션에 접근을 시도합니다. 그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 Petya 및 NotPetya와 비슷하게 동작을 하는 것이 특징입니다. 먼저 컴퓨터 파일을 암호화하고 나서 MBR (Master Boot Record)를 건드립니다.

그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염이 성공을 하면 컴퓨터를 재부팅을 합니다. 그리고 나서 MBR에 걸린 랜섬웨어에 대해 랜섬노트를 제시를 하고 몸값을 제시합니다. 그리고 몸값으로 Tor 브라우저를 이용해서 Tor 네트워크의 사이트에 접속해서 0.05 Bitcoin (약 280달러)을 요구합니다. 그리고 2017년 초에 미국을 강타한 HDDCryptor Ransomware처럼 오픈소스디스크암호화도구인 DiskCryptor를 사용을 하고 있습니다.

NIKON CORPORATION | NIKON D7000

그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 미국 드라마인 Game of Thrones(왕좌의게임)를 매우 좋아하는지 Grayworm와 같이 Game of Thrones에 나오는 캐릭터 이름이 많이 나오는 것이 특징입니다. 일단 기본적으로 웹사이트를 해킹하고 가짜 어도비플래시플레이어를 설치를 하라는 메시지를 사용자가 나오면 install_flash_player.exe이라는 파일을 사용자가 실행하면 감염이 실행됩니다. 해당 나쁜 토끼 랜섬웨어가 실행이 되면 C:\Windows\infpub.dat를 삭제를 합니다. 그리고 나서 C:\Windows\system32 rundll32.exe,C:\Windows\ infpub.dat 명령어를 통해서 실행됩니다.

실행이 되면 Infpub.dat을 생성을 하고 C:\Windows\cscc.dat,C:\Windows\dispci.exe파일을 생성을 합니다. 그리고 DiskCryptor에서 생성된 파일은 Cscc.dat이며 dcrypt.sys 필터 드라이버이름이 바뀐 복사본입니다. 그리고 두 파일은 DDriver의 윈도우 서비스파일을 생성합니다. 그리고 Infpub.dat는 악성코드에 감염된 사용자가 컴퓨터를 로그인할 때 dispci.exe를 예약된 작업을 만듭니다.작업스케줄에 등록이 되는 것은 Game of Thrones 시리즈 중에 나오는 Rhaegal입니다.cscc.dat와  dispci.exe 파일과 함께 하드디스크를 암호화하고 마스터 부트 레코드를 수정하게 되고 피해자가 컴퓨터를 켤 때 비트코인을 통해서 몸값을 받으려고 랜섬메세지를 표시합니다.

랜섬메세지는 다음과 같습니다.

Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#1:
Network Activity:

그리고 암호화하는 대상은 다음과 같습니다.

3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

그리고 파일들은 AES 암호 알고리즘으로 암호화됩니다. 그리고 다음 파일을 암호화하는 데 사용이 된 AES 암호화 키가 내장 RSA-2048 공개키로 암호화됩니다. 그리고 Infpub.dat를 통해서 SMB를 통해서 다른 컴퓨터로 랜섬웨어를 확산시키려고 시도를 합니다.
생성되는 파일과 폴더 목록은 다음과 같습니다.

C:\Windows\infpub.dat
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
C:\Windows\cscc.dat C:\Windows\dispci.exe
레지스트리 부분은 다음과 같습니다.
HKLM\SYSTEM\CurrentControlSet\services\cscc
HKLM\SYSTEM\CurrentControlSet\services\cscc\Type 1
HKLM\SYSTEM\CurrentControlSet\services\cscc\Start 0
HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl 3
HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath cscc.dat
HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName Windows Client Side Caching DDriver
HKLM\SYSTEM\CurrentControlSet\services\cscc\Group Filter
HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService FltMgr
HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64

SMB를 통해서 다음과 같은 네트워크 활동을 합니다.
Local & Remote SMB Traffic on ports 137,139,445
caforssztxqzf2nm.onion

그리고 내장이 된 RSA-2048키는 다음과 같습니다.

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

그리고 바이러스토탈 결과는 다음과 같습니다.일단 해당 부분은 참고이므로 검사 당시에서는 업데이트가 되지 않았어 탐지가 되지 않았지만, 지금은 업데이트가 되는 제품들이 있는 것을 미리 알려 드립니다.

바이러스토탈 결과

일단 기본적으로 이런 랜섬웨어 같은 악성코드에 감염되지 않는 방법은 윈도우 업데이트 최신 업데이트로 유지를 하면 토렌트 같이 출처가 불확실한 곳에 있는 파일은 실행하지 않으면 기본적으로 어도비 플래시 플레이어 같은 경우 기본적으로 윈도우 8,윈도우 10 같은 경우에는 윈도우 업데이트를 통해서 업데이트를 할 수가 있으면 그리고 다른 브라우저를 사용하는 같은 경우에는 어도비 공식홈페이지에서 다운로드해서 사용을 하면 됩니다. 그리고 기본적으로 설치돼 있으면 특별한 설정 없으면 인터넷에 연결돼 있으면 알아서 업데이트를 할 것입니다. 그리고 백신프로그램은 항상 설치를 하고 최신 상태로 유지하면 실시간 감시를 하며 보조 백신프로그램 또는 랜섬웨어차단프로그램을 통해서 이런 랜섬웨어에 대비를 할 수가 있으면 프로그램은 항상 최신 업데이트를 유지를 하는 것이 이런 랜섬웨어 같은 악성코드에 감염되는 확률을 줄일 수가 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 이 참에 중요한 자료는 일단 백업해둬야 겠습니다.
    • 백업프로그램으로 미리 백업을 해두는것도 좋은 방법이라고 생각이 됩니다.
  2. 잘 보고 갑니다.
    조심해야겠군요
  3. Bad Rabbit Ransomware 나쁜 토끼 랜섬웨어의 감염 증상 및 예방 방법 잘 보고 갑니다^^
    행복한 목요일 하루 되시길 바래요-
  4. 면서 종류도 참 다양하네요 좋은 팁 잘 보고 갑니다
    • 랜섬웨어 기본은 같습니다.파일을 암호화 하고 나서 비트코인을 요구하는것이죠.
  5. 나쁜토끼가 새로 나왔나보네요..
    보안에 더 신경써야겠습니다..
    • 기본적으로 보안 업데이트와 보안 수칙을 잘 지키면 랜섬웨어에 감염이 될 확률은 줄어듭니다.
  6. 좋은정보 잘보고갑니다.
  7. 저도 이미 걸려 본 적이 있어서 그런지 요줌에는 더 많이... 조심하게 되더라구요.ㅠㅠ
    • 기본적으로 윈도우 업데이트와 자신이 사용을 하는 프로그램들은 최신 업데이트로 유지를 하면 악성코드에 감염이 되는것을 최소화 할수가 있습니다.

윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

Posted by Sakai
2017.10.19 02:10 소프트웨어 팁/보안

오늘은 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 기본적으로 마이크로소프트에서 제공하는 백신프로그램입니다. 물론 윈도우 7 포함 이전 버전에서는 따로 설치를 해야 하지만 윈도우 8부터는 기본적으로 설치된 백신프로그램입니다. 물론 컴퓨터 사용자가 따로 백신프로그램을 설치하면 윈도우 디펜더(Windows Defender)는 꺼지게 돼 있습니다. 물론 가끔은 자동으로 꺼지지 않아서 수동으로 꺼야 하는 일도 있지만 그렇게는 흔하지 않을 것으로 생각합니다. 일단 윈도우 디펜더는 자이언트 컴퍼니 소프트웨어(GIANT AntiSpyware)에서 개발했던 자이언트 안티 스파이웨어를 기반으로 개발한 백신프로그램입니다.

마이크로소프트는 2004년 12월 17일 자이언트 컴퍼니 소프트웨어 인수를 했고 윈도우 디펜더는 윈도우 비스타에 기본 내장되어 있고, 윈도우 XP와 윈도우 서버 2003의 경우 마이크로소프트 사이트에서 무료로 다운로드해서 사용을 할 수가 있으면 2006년에서는 윈도우 디펜더라는 정식 이름으로 불리면 현재까지 이어져 오고 있습니다.

일단 랜섬웨어 같은 경우에는 AES와RSA같은 암호화 기능을 이용해서 악의적으로 제작된 사이트 또는 악성프로그램을 사용할 때 사용자 컴퓨터를 감염해서 예전에는 현금을 요구하거나 사용자 컴퓨터를 못 사용하게 했지만, 최근에는 가상화폐인 비트코인 같은 걸로 암호화를 풀어주는 대가로 비트코인을 요구하기도 합니다. 물론 해당 비트코인을 지불을 한다고 해도 해당 암호화된 복구도구를 줄 가능성도 없고 그리고 그냥 비트코인만 받고 복구도구를 줄 가능성도 없습니다.

즉 이런 위험에 대비하려면 미지 준비를 해주는 것이 좋을 것입니다. 그리고 지난 시간에 이야기한 것처럼 윈도우 10 레드스톤 3에서 제공이 되는 윈도우 디펜더(Windows Defender)에서는 기본적으로 랜섬웨어 방지 기능을 추가한다고 했고 최근에 윈도우 10 레드스톤 3에서는 해당 기능이 추가되었습니다. 물론 기본적으로 사용자가 따로 설정을 해주어야 합니다.
먼저 기본적으로 윈도우 디펜더(Windows Defender)를 열어 줍니다. 그리고 나서 바이러스 및 위협방지 설정으로 이동합니다.

그리고 아래로 내려가다 보면 제어된 폴더 액세스라는것이 보일 것이고 해로운 응용 프로그램에서 의한 무단 변경으로부터 파일과 폴더를 보호합니다. 라는 것이 있는 것을 볼 수가 있습니다. 해당 기능을 기본적으로 끔으로 돼 있는데 이것을 켬으로 변경을 해주면 됩니다. 그러면 윈도우 디펜더(Windows Defender)에서 제공을 하는 랜섬웨어 방지 기능을 사용할 수가 있습니다.

물론 다른 랜섬웨어 방어 프로그램들인 앱체크등과 같은 랜섬웨어 예방 프로그램을 사용하는 방법과 아니면 보조 백신프로그램을 사용하는 방법도 있을 것이라고 합니다. 일단 어느 쪽을 선택하든 간에 기본적으로 윈도우 업데이트와 기타 프로그램은 최신프로그램을 유지하고 토렌트 같은 곳에서 함부로 내려받아서 실행하는 것은 조심해야 랜섬웨어 같은 악성코드에 감염되는 것을 최소화할 수가 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 외부백신없어도 디벤더로 그나마 예방이 가능해졌군요.
    • 다만 일반적으로 사용자가 수동으로 설정을 해야 되는 점과 그리고 해당 설정을 하면 조금은 불편하더라고요.그래도 사용할만 기능이라고 생각이 됩니다.
  2. 유용한 정보입니다^^
    알려주신대로 디펜더에서 랜섬웨어 방어 기능을 사용해봐야겠습니다.
    • 네~윈도우 디펜더를 사용을 하시는 분들은 한번 사용을 해보시는것도 좋은 방법이라고 생각이 됩니다.
  3. 레드스톤3 로 빨리 업데이트 해야겠습니다.
    • 네~윈도우 레드스톤 3로 업데이트 하는것도 좋은 방법중 하나일것입니다.
  4. 바이러스 프로그램을 만드는 사람을 빨리 찾아서 처벌 했으면 좋겠어요
    • 해당 범죄는 컴퓨터와 인터넷이 존재하는 한 이런 범죄는 계속 있을거라 생각이 됩니다.
  5. 윈도 디펜더가 생각보다 좋다고하더라구요^^
    잘보고갑니다. 행복한 하루되시길^^

Adobe Flash Player 27.0.0.170(어도비 플래시 플레이어 27.0.0.170)보안 업데이트

Posted by Sakai
2017.10.17 22:27 소프트웨어 팁/보안

어도비에서 제공하는 Adobe Flash Player(어도비 플래시 플레이어)에 대한 보안 업데이트가 진행이 되었습니다. 이번에 보안 업데이트를 진행이 되었습니다. 일단 해당 제로데이 공격은 Windows를 사용하는 사용자를 대상으로 한 표적 공격에 악용될 수가 있는 문제입니다. 어도비에서 공개한 취약점인 APSB17-32(CVE-2017-11292)는 악의적으로 조작으로 만들어진 파일을 실행했을 때는 원격코드가 실행될 수가 있는 문제가 있습니다.

Windows, Mac, Linux, Chrome OS에서 업데이트 적용 순위는 리눅스를 제외한 모든 OS 환경에서 72시간 즉 3일 이내에 업데이트를 요구가 될 수가 있는 위험 단계입니다. 그리고 Windows 8.1, Windows 10에서 사용이 되는 Internet Explorer 11, Microsoft Edge에서 사용되는 Adobe Flash Player(어도비 플래시 플레이어)는 윈도우 업데이트를 통해서 업데이트를 하면 됩니다.

그리고 Google Chrome 같은 경우에는 자동으로 업데이트가 됩니다. 그리고 기본적으로 Adobe Flash Player에서 자동 업데이트를 설정을 했으면 자동 업데이트를 통해서 24시간 이내에 자동으로 업데이트가 될 것입니다.

그러니 특별하게 수동으로 업데이트를 하고 싶은 경우에는 수동으로 어도비 홈페이지에서 직접 다운로드 해서 설치를 해서 사용을 할 수가 있습니다. 일단 가능한 한 빨리 업데이트를 통해서 해당 취약점인 혼동 취약점을 해결하는 것이 랜섬웨어 같은 악성코드에 감염되는 것을 최소화할 수가 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로