당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법

Posted by Sakai
2018.06.25 00:00 소프트웨어 팁/보안

오늘은 당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법에 대해 알아보겠습니다. 일단 해당 메시지는 간단하게 이야기하면 자신의 컴퓨터가 악성코드 감염 의심이 되어서 한국인터넷진흥원에 신고 접수가 되었다는 메시지를 볼 수가 있습니다. 해당 부분은 진짜 악성코드 및 좀비 PC(좀비 컴퓨터)에 감염이 되어서 진짜 신고가 되는 경우가 있고 자신이 컴퓨터를 정말로 컴퓨터를 잘 관리하고 있는데 IP 주소 때문에 생기는 경우가 있습니다. 일명 복불복입니다. 저 경우에는 ProcessMonitor,ProcessExplorer 등으로 관리하고 있습니다.

그리고 제가 사용하는 노트북은 블로그 전용으로만 사용하기 때문에 악성코드에 감염될 수가 없는 상태이면서 해당 IP 주소를 약 1년 전쯤부터 할당받아서 사용하다가 갑자기 저러니까 조금 당황하였습니다.

일단 기본적으로 자신의 컴퓨터 관리를 잘하고 계시면 간단하게 복불복에 걸린 것이고 관리에 소홀하게 사용을 하고 있으면 예를 들어 윈도우 업데이트 따위는 귀찮고 백신프로그램 실시간 감시 및 최신 업데이트를 사용을 하지 않거나 사용을 하더라도 토렌트를 이용을 하고 계시는 분들은 한번 의심을 해보아야겠습니다. 그리고 당연히 윈도우 정품 구매를 하지 않고 불법인증 툴을 사용해서 인증하신 분들은 한번 의심해야 할 것입니다.

해당 당신의 PC가 악성코드에 감염되었습니다. 메시지 해결 방법은 간단합니다. 일단 악성코드치료용 전용백신프로그램을 다운로드해서 실행을 시켜줍니다. 그리고 나서 악성코드가 검출되면 악성코드를 제거하면 됩니다.

만약 컴퓨터 보안에 관심을 많이 두고 있고 정말 잘 관리를 하고 있다고 하면 IP 주소를 변경하시면 됩니다. 기본적으로 그냥 통신사에서 제공하는 공유기에 연결이 돼 있으면 공유기 모뎀을 약 1~3시간 정도 꺼주면 IP 주소가 재할당이 되어서 사용을 하면 되고 이런 환경이 아닌 공유기를 따로 사용을 해서 연결이 돼 있으면 공유기 MAC 주소를 살짝 변경을 해주시면 됩니다. 그러면 새로운 IP 주소를 할당돼 있을 것입니다.

아니면 두 개의 모뎀을 약 12시간 정도 꺼두고 있으면 IP 주소는 바뀌어 있을 것입니다. 해당 방법은 잠잘 때 공유기 꺼두고 아침에 일어나면 대부분 변경이 돼 있을 것입니다. 가장 쉬운 방법은 MAC 주소를 변경하는 방법일 것입니다. 일단 해당 방법으로 해당 부분을 해결할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 덕분에 좋은 정보 잘 얻어갑니다 조심할게요
    • 항상 미리 예방을 하는것이 중요하다고 생각이 됩니다.

시리아 난민을 위한 기부금으로 위장한 랜섬웨어-RansSIRIA 랜섬웨어

Posted by Sakai
2018.05.29 00:00 소프트웨어 팁/보안

일단 해당 랜섬웨어는 감염이 되어서 복원화를 하려고 지불을 하는 몸값이 시리아 난민을 위해서 사용이 된다고 하는 랜섬웨어 입니다. 물론 이 말은 거짓말입니다. 해당 랜섬웨어는 WannaPeace 랜섬웨어의 변종이며 브라질 사용자를 공격 대상을 하고 있습니다.
그래서인지 포르투갈어로 돼 있습니다.

해당 랜섬웨어는 사용자 파일을 암호화하는데 약간 시간을 걸리는 이때 가짜 Word 창을 표시합니다.

그리고 파일 암호화가 완료되면 시리아 난민들을 도우려고 사용될 몸값을 지급하기 위한 열정적인 탄원? 을 담는 화면이 표시됩니다.마치 지난 시간에 소개해드린 랜섬웨어중 하나인 GPAA Ransomware(GPAA 랜섬웨어)와 비슷합니다.
랜섬노트 내용은 다음과 같습니다.

Sorry, your files have been locked Permita nos apresentar como Anonymous, e Anonymous apenas. Nós somos uma idéia. Uma idéia que não pode ser contida, perseguida nem aprisionada. Milhares de seres humanos estão nesse momento rufigiados, feridos, com fome e sofrendo... Todos como vítimas de uma guerra que não é nem mesmo deles!!! Mas infelizmente apenas palavras não mudarão a situação desses seres humanos... NÃO queremos os seus arquivos ou lhe prejudicar..., queremos apenas uma pequena contribuição... Lembre-se.., contribuindo você não vai estar apenas recuperando os seus arquivos... ...e sim ajudando a recuperar a dignidade dessas vitimas... nvie a sua contribuição de apenas: Litecoins para carteira/endereço abaixo.

일단 개인적으로 포르투갈 어를 모르는 관계로 번역은 하지 않겠습니다. (죄송합니다.)

[소프트웨어 팁/보안] - 세계 빈곤 퇴치기구(GPAA)를 가장한 랜섬웨어-GPAA Ransomware(GPAA 랜섬웨어)감염 및 증상

그리고 다른 랜섬웨어들은 보통 비트코인으로 지급을 하게 하지만 해당 랜섬웨어인 RansSIRIA은 Litecoins(라이트코인)이라는 가상화폐를 요구합니다. 해당 라이트코인은 2011년 10월 7일, 구글의 전 소프트웨어 엔지니어이자 코인베이스(Coinbase)의 디렉터였던 찰리 리(Charlie Lee) 에 의해 공개된 암호화폐이고 한국에서는 암호화폐 투자자들 사이에서 쓰이는 비공식 약칭은 라코이이라고 한다고 합니다. 일단 암호화폐 시가총액으로 2018년 2월 기준으로는 세계 5위권 내에 든다고 합니다.
그리고 해당 랜섬웨어인 RansSIRIA은 전쟁과 그리고 전쟁에서 오는 공포를 한 여자아이의 시선으로 만들어진 동영상이 담긴 유튜브로 연결되어서 감염된 사용자에게 보여줍니다. (암호 해독 후)즉 리아 난민에 관한 Worldvision 의 기사를 보게 됩니다. 지금 시리아에서 일어나는 현실은 정말로 끔찍합니다. 하지만, 이런 끔찍한 전쟁으로 자신의 이익을 챙기려고 한다는 것이 조금은 슬프기도 합니다. 그리고 해당 랜섬웨어인 RansSIRIA가 암호화하는 파일은 다음과 같습니다.

3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip

일단 이런 랜섬웨어들에 감염이 되지 않으려면 기본적으로 윈도우 업데이트는 기본적으로 자동업데이트를 하고 그리고 백신프로그램은 반드시 설치 실시간 감시 최신업데이트는 해야 하면 랜섬웨어방어 프로그램 등은 필요하면 설치를 해서 사용을 하면 됩니다. 그리고 자신이 사용하는 프로그램은 반드시 최신업데이트와 출처가 불분명한 곳에 프로그램 다운로드 금지 그리고 토렌트 같은 곳은 이용은 자제하는 것이 좋습니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 조심해야겠네요 덕분에 잘 알고 갑니다
    • 기본적인 보안 수칙들을 준수한다고 하면 악성코드에 감염이 되는것을 최소화 할수가 있을것입니다.

GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상

Posted by Sakai
2018.05.01 02:22 소프트웨어 팁/보안

오늘은 최근에 유행하는 랜섬웨어 중 하나인 GandCrab Ransomware(갠드 랜섬웨어)가 새로운 버전인 GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)으로 업데이트가 되었다는 소식입니다. 최근에 켤 스위치가 발표되었지만, 그것도 거의 2주도 안 된 사이에 새로운 버전으로 업데이트가 되었습니다. 일단 GandCrab Ransomware(갠드 랜섬웨어)는 오리지널 버전은 다음과 같은 증상이 있습니다.
섬웨어는 기본적으로 감염되면 확장자를.GDCB으로 변경을 해버립니다. 기본적으로 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)는 기본적으로 스팸메일, 불법다운로드 파일에 있으면 익스플로잇으로도 감염이 되면 해당 GandCrab Ransomware(갠드크랩 랜섬웨어)의 특징 중 하나가 보통 랜섬웨어들은 기본적으로 비트코인이라는 가상화폐를 이용하지만 해당 랜섬웨어는 대쉬이라는 가상화폐를 요구합니다.
그리고 해당 랜섬웨어는 GandCrab Ransomware(갠드드크랩 랜섬웨어)은 기본적으로 해당 감염이 된 환경이 어떤 보안 프로그램이 사용되고 있는지 확인을 하고 샌드박스, 가상환경을 사용하는지 체크를 합니다. 일단 다음 보안 프로그램이 설치돼 있는지 확인을 합니다.
Avast
Avira
Comodo
ESET NOD 32
F-Secure
Kaspersky
McAfee
Microsoft
Norton/Symantec
Panda
Trend Micro

입니다. 여기서 마이크로소프트는 윈도우에 탑재된 윈도우 디펜더 제품을 이야기합니다. 그리고 컴퓨터가 감염되면 기본적으로 다음과 같은 파일들이 암호화됩니다.
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend,.bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des.design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho,.gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost,.otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,.ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
일단 해당 랜섬웨어 배포 방식은 스팸 메일, 이 메일 첨부 파일, 웹사이트 등으로 유포되고 있습니다. 일단 해당 랜섬웨어 제작자는 악성코드를 유포하기 위해서 다양한 방법을 사용합니다. 예를 들어서 사회공학적기법(쉽게 이야기하면 현재 인터넷 또는 사회에서 인기 있는 키워드 또는 정치적 이슈등을 이용을 하는 공격 방식)입니다.그리고 해당 방법이 아니면 소프트웨어프로그램에 악성코드를 삽입하는 방법입니다.

즉 프로그램을 다운로드를 하더라도 공식사이트에서 해야지 악성코드에 감염되는 것을 최소화할 수가 있지만 토렌트 같은 곳이나 출처가 불분명한 사이트에서 프로그램을 다운로드 및 실행을 하는 것은 위험한 행동 중 하나입니다. 아니면 Mozilla Firefox, Safari,Microsoft Edge,Opera,Internet Explorer,Google Chrome 같은 브라우저에서 사용되는 플러그인을 이용하는 방법도 있습니다. 물론 출처가 확실한 곳에서도 악성 플러그인 발견이 되고 있으므로 조심을 해야 할 것입니다. 그리고 Magnitude, RIG,GrandSoft,Exploit Kit들을 활용한 윈도우 취약점 및 브라우저 취약점 등을 활용한 공격입니다. 즉 윈도우 최적화를 한다고 윈도우 업데이트는 꺼버리는 것은 비추천 합니다. 물론 자신이 윈도우 업데이트가 되는 날을 알면 그때만 윈도우 업데이트 켜서 업데이트를 하고 꺼버리면 되겠지만, 보안을 위해서는 보안에 관한 것은 꺼버리는 것은 해서는 안 됩니다.

특히 UAC(사용자계정컨트롤),DEP(데이터실행방지)등과 같은 기능을 꺼버리면 안 됩니다. 일단 해당 GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)에 감염이 되면 먼저 부팅 순서를 변경하면 명령 프롬프트와 PowerShell을 관리자로 사용하여 사용자가 랜섬웨어 복구를 하려고 기본적으로 사용하는 볼륨 섀도 복사본(시스템복원지점)을 제거를 하면 그리고 파일들은 AES-256(CBC 모드)+RSA-2048 암호화 알고리즘을 사용하여 암호화하기 때문에 복구는 해당 랜섬웨어가 잡히지가 않는 이상 복구는 그냥 포기해야 합니다.

[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)변종 발견

[소프트웨어 팁/보안] - 랜섬웨어 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

그래서 백업을 하라고 하는 이유입니다. 그리고 백그라운드에서 random.exe를 실행하며 explorer.exe를 하이재커으로 하여서 시스템을 강제로 다시 시작하여 암호화를 완료할 수 있습니다. 그리고 기본적으로 250개 이상의 파일 형식을 대상으로 공격합니다. 그리고 나서 암호화를 완료되면 CRAB-DECRYPT.txt라는 파일을 형성하면 해당 내용은 다음과 같습니다.

--—= GANDCRAB V3 =—--
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter “username”: 21b1a2d1729f0695
1) Enter “password”: your password
2. Add new account in Psi
3. Add and write Jabber ID:ransomware@sjms any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!
굳이 번역을 하면 다음과 같이 됩니다.
- = GANDCRAB V3 = -
주의!
모든 파일, 사진, 데이터베이스 및 기타 중요한 파일은 암호화되어 있으며 확장자는 .CRAB입니다
파일을 복구하는 유일한 방법은 개인 키를 사는 것입니다. 그것은 우리 서버에 있으며 파일만 복구할 수 있습니다.
키가 있는 서버가 닫힌 네트워크 TOR에 있습니다. 다음과 같은 방법으로 거기에 갈 수 있습니다.
Tor 브라우저 다운로드 - https://www.torproject.org/
1. Tor 브라우저 설치
2. Tor 브라우저 열기
3. TOR 브라우저에서 링크 열기 :
4.이 페이지의 지시 사항을 따르십시오.
우리 페이지에서 지급에 대한 지시 사항을 볼 수 있으며 1 파일을 무료로 해독할 기회를 얻습니다.
우리에게 연락하는 다른 방법은 Jabber messenger를 사용하는 것입니다. 방법을 읽어보십시오.
0. Psi-Plus Jabber 클라이언트 다운로드 : https://psi-im.org/download/
1. 새 계정 등록 : http://sj.ms/register.php
0) "username"을 입력하십시오 : 21b1a2d1729f0695
1) "암호"를 입력하십시오 : 암호
Psi에 새 계정을 추가하십시오.
3. Jabber ID를 추가하고 쓰십시오 : ransomware@sj.ms 모든 메시지
4. 명령 봇을 따르십시오.
주의!
봇입니다! 그것은 인간의 제어 없이 완전히 자동화된 인공 시스템입니다!
우리에게 연락하려면 TOR 링크를 사용하십시오. 우리는 언제든지 해독 가능한 모든 증거를 제공할 수 있습니다. 우리는 대화에 개방적입니다.
jabber 설치 및 사용 방법은 여기를 참고하십시오. http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
주의!
파일을 수정하거나 개인 키를 사용하지 마십시오. 이렇게 하면 데이터가 영구히 손실됩니다!

입니다. 그리고 전에도 소개해 드린 ShadowExplorer(새도우 익스플로워)는 아무런 소용이 없습니다. 앞서 이야기한 것처럼 볼륨 섀도 복사본(시스템복원지점)을 제거를 했기 때문에 아무런 소용이 없습니다.

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

굳이 복구 방법은 일단 포멧을 하고 나서 기존에 볼륨 섀도 복사본(시스템복원지점)을 만들어 놓은 백업파일을 이용해서 복구하거나 외장하드디스크 등에 저장된 복구지점을 통해서 이용하는 방법입니다. 즉 기본적으로 윈도우 업데이트는 기본적으로 자동업데이트로 하고 백신프로그램 설치,최신업데이트 유지,보조백신프로그램 또는 랜섬웨어 방지 프로그램 설치 및 실행 그리고 출처가 불분명한 사이트에서 프로그램, 영화 같은 것을 다운로드 및 실행을 하는 것은 하지 말아야 합니다. 즉 안전하게 사용을 하고 싶으면 윈도우도 공식사이트에서 ISO를 다운로드 및 정품인증을 위해서 윈도우를 구매해서 사용하는 것이 안전할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁] - 윈도우 업데이트 오류코드 0x8024402f 해결방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어 정보 잘 보고 갑니다

백장미 랜섬웨어(WhiteRose Ransomware)감염 증상

Posted by Sakai
2018.04.11 00:00 소프트웨어 팁/보안

오늘 새롭게 발견된 랜섬웨어인 백장미 랜섬웨어(WhiteRose Ransomware)에 대해 알아보는 시간을 가져 보겠습니다. 일단 지난 4월5일에 처음 발견된 랜섬웨어 입니다. 일단 랜섬웨어 이름처럼 백장미입니다. 일단 이름은 정말 아름다운 랜섬웨어이기도 합니다. 해당 랜섬웨어는 기본적으로 원격 데스크톱 서비스를 해킹하여 수동으로 설치됩니다. 그리고 해당 랜섬웨어는 기본적으로 아직은 아시아 쪽이나 북미, 남미에는 퍼지지 않고 있으면 일단 유럽 쪽에서 퍼지고 있으면 특히 스페인을 목표하고 있습니다. 즉 아마도 스페인 사용자를 노리고 있으면 그리고 스페인 관련 일을 하시는 분들에게는 주의가 필요한 부분이기도 합니다. 일단 해당 랜섬웨어는 BlackRuby Ransomware 와 WhiteRose Ransomware 는 몸값 요구보다는 일단 조금 더 창조적인 글쓰기로 이루어진 랜섬웨어 입니다.
일단 백장미 랜섬웨어(WhiteRose Ransomware)는 특이하게도 왠지 시적인 이미지가 느껴지는 랜섬웨어 노트를 하고 있습니다. 일단 랜섬웨어는 고독한 해커가 정원에 흰 장미로 둘러싸인 이야기를 전하고 있으며 해커는 컴퓨터를 암호화하고 꽃으로 바꾸어 흰 장미를 세상과 공유하고 싶어한다고 이야기를 하고 있습니다.
랜섬웨어 노트는 다음과 같습니다.

I do not think about selling white roses again. This time, I will plant all the white roses of the garden to bring a different gift for the people of each country. No matter where is my garden and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter if you are the west of the world or its east, it's important that the white roses are endless and infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow. Wait for good days with White Rose. I hope you accept this gift from me and if it reaches you, close your eyes and place yourself in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension. Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.

일단 해당 백장미 랜섬웨어(WhiteRose Ransomware)은 기본적으로 C:\Perfect.sys 파일이 있는지 확인을 합니다. 그리고 파일이 존재하면 프로그램을 종료하고 그렇지 않으면 새로운 파일을 만듭니다.
Perfect.sys
Perfect.sys
그리고 랜섬웨어는 컴퓨터에 있는 파일들을 검색하고 나서 해당 파일을 암호화를 진행합니다. 암호화하는 파일은 다음과 같습니다.

.1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .ARC, .PAQ, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .back , .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .c , .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf , .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .cs , .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db3, .db_journal, .dbf, .dbf , .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk , .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg , .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ora , .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt , .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip, 3dm, onetoc2

그리고 암호화할 파일을 검색할 때 다음 폴더에 있는 파일은 암호화하지 않습니다.
Windows Program Files
$Recycle.Bin Microsoft
그리고 파일이 암호화에 성공하면 다음과 같은 확장자가 _ENCRYPTED_BY.WHITEROSE로 강제 변경이 됩니다. 그리고 컴퓨터에 있는 폴더에는 장미의 ASCII 이미지, 흥미로운 이야기 및 몸값 지불 방법에 대한 지침이 포함된 HOW-TO-RECOVERY-FILES.TXT을 생성을 합니다.
그리고 나서 백장미 랜섬웨어(WhiteRose Ransomware)는 사용자가 컴퓨터를 복구할 수가 없게 복구지점을 파괴하는 명령어를 실행합니다.
cmd.exe /C vssadmin.exe delete shadows /all /Quiet
cmd.exe /C WMIC.exe shadowcopy delete
cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C wevtutil.exe cl Application
cmd.exe /C wevtutil.exe cl Security
cmd.exe /C wevtutil.exe cl System
그리고 WhiteRose Support & Help (화이트 로즈 지원 및 도움말) 항목에 요청을 작성합니다. 그리고 랜섬웨어는 운영체제별로 생성하는 폴더는 다음과 같습니다.

%APPDATA% - Application Data files
Windows Vista,Windows 7,Windows 8:
Disk:\Users\User_Name\AppData\Local\
Disk:\Users\User_Name\AppData\Roaming\
Windows NT,Windows 2000,Windows XP:
Disk:\Documents and Settings\User_Name\Application Data\
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\
%TEMP% - Temporary files
%WinDir%\Temp\
Disk:\Windows\Temp\
%TEMP%\<random_name>\
%TEMP%\<random_name>.tmp\
%TEMP%\<random_name>.tmp\<random_name>\
Disk:\Users\User_Name\AppData\Local\Temp\
Disk:\Users\User_Name\AppData\LocalLow\Temp\
%WinDir% - Windows files
Disk:\Windows\ =>
Disk:\Windows\system32\
Program files
Disk:\Program Files\
Disk:\Program Files (x86)\
Disk:\ProgramData\ =>
Disk:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Users files
Disk:\Users\User_Name\Desktop\
Disk:\Users\User_Name\Documents\
Disk:\Users\User_Name\Documents\Downloads\
Disk:\Users\User_Name\Downloads\
Recycler files
Disk:\Recycler\             
Disk:\$RECYCLE.BIN\  
Disk:\$RECYCLE.BIN\s-1-5-21-**********-***********-**********-1000  
Temporary Internet Files of Internet Explorer:
Windows Vista,Windows 7,Windows 8:
Disk:\Users\User_Name\Local\Microsoft\Windows\Temporary Internet Files\
Disk:\Users\User_Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\
Disk:\Users\User_Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\<random_name>\ (a-z, 0-9)
Windows NT,Windows 2000,Windows XP:
Disk:\Documents and Settings\User_Name\Local Settings\Temporary Internet Files\
Temporary Internet Files of Google Chrome и Chromium:
Windows 8,Windows 7,Windows Vista
Google Chrome:
Disk:\Users\User_Name\AppData\Local\Google\Chrome\User Data\Default\
Chromium:
Disk:\Users\User_Name\AppData\Local\Chromium\User Data\Default\
Windows XP:
Google Chrome:
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\Google\Chrome\User Data\Default\
Chromium:
Disk:\Documents and Settings\User_Name\Local Settings\Application Data\Chromium\User Data\Default\
Temporary Internet Files of Opera:
Windows 8, Windows7:
Disk:\Users\User_Name\AppData\Local\Opera Software\Opera Stable\
Disk:\Users\User_Name\Roaming\Opera Software\Opera Stable\
Temporary Internet Files of Firefox:
Windows 8, Windows 7:Disk:\Users\User_Name\AppData\Roaming\Mozilla\Firefox\Profiles\
Temporary Internet Files of Microsoft Edge
Disk:\Users\User_Name\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\<-Ransomware 도움말 및 기술 지원 부분입니다.

그리고 랜섬웨어 노트에 나오는 내용은 다음과 같습니다.

..   8"=,,88,   _.
     8""=""8'  "88a88'
.. .;88m a8   ,8"" "8
 "8"'  "88"  A"     8;
   "8,  "8   8       "8,
    "8   8,  8,       "8
     8,  "8, "8,    ___8,
     "8,  "8, "8mm""""""8m.
      "8,am888i"'   ,mm"
      ,8"  _8"  .m888"
     ,88P"""""I888888
     "'         "I888
                  "I8,
                   "I8
                    "I8_
        ,mmeem.m""i, I8""  ,mmeem,'.
       m""    . "8.8 I8  ,8"   .  "88
      i8  . '  ,mi""8I8 ,8 . '  ,8" 88
      88.' ,mm""    "8I88"m,,mm'"    8
      "8_m""         "I8   ""'
       "8             I8
                      I8_
                      I8""
                      I8
                     _I8
                    ""I8
                      I8
                     
_    _  _      _  _          ______                  
| |  | || |    (_)| |         | ___ \                 
| |  | || |__   _ | |_   ___  | |_/ /  ___   ___   ___
| |/\| || '_ \ | || __| / _ \ |    /  / _ \ / __| / _ \
\  /\  /| | | || || |_ |  __/ | |\ \ | (_) |\__ \|  __/
 \/  \/ |_| |_||_| \__| \___| \_| \_| \___/ |___/ \___|
=====================[PersonalKey]=====================
PpWh3f536rfFjmNhSaUaaV+fAc/hCqLtHujsZ18SdiNH6FzINtYaAOK
9ctyI8AGYf3ltM/XQiZm9LKVT5tyGHuIaKjjg0wxTvJvvovjxD0QBrS
7scZINf8zL9+hPThPy/62rKdEbGrEczf0mBMw7z78lKZsCnTBeEDksn
6wxZCI=
=====================[PersonalKey]=====================
The singing of the sparrows, the breezes of the northern mountains and smell of the earth
that was raining in the morning filled the entire garden space. I'm sitting on a wooden chair next
to a bush tree, I have a readable book in my hands and I am sweating my spring with a cup of
bitter coffee. Today is a different day.
Behind me is an empty house of dreams and in front of me, full of beautiful white roses.
To my left is an empty blue pool of red fish and my right, trees full of spring white blooms.
I drink coffee, I'll continue to read a book from William Faulkner. In the garden environment,
peace and quiet. My life always goes that way. Always alone without even an intimate friend.
I have neither a pet, nor a friend or an enemy; I am a normal person with fantastic wishes
among the hordes of white rose flowers. Everything is natural. I'm just a little interested
in hacking and programming. My only electronic devices in this big garden are an old laptop for
do projects and an iPhone for check out the news feeds for malware analytics on Twitter
without likes posts.
Believe me, my only assets are the white roses of this garden.
I think of days and write at night: the story, poem, code, exploit or the accumulation
of the number of white roses sold and I say to myself that the wealth is having different friends
of different races, languages, habits and religions, Not only being in a fairly stylish garden with
full of original white roses.
Today, I think deeply about the decision that has involved my mind for several weeks. A decision
to freedom and at the worth of unity, intimacy, joy and love and is the decision to release white
roses and to give gifts to all peoples of the world.
I do not think about selling white roses again. This time, I will plant all the white roses
of the garden to bring a different gift for the people of each country. No matter where is my garden
and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter
if you are the west of the world or its east, it's important that the white roses are endless and
infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow.
Wait for good days with White Rose.
I hope you accept this gift from me and if it reaches you, close your eyes and place yourself
in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension.
Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
[Recovery Instructions]
I. Download qTox on your computer from [https://tox.chat/download.html]
II. Create new profile then enter our ID in search contacts
Our Tox ID:"6F548F217897AA4140FB4C514C8187F2FFDBA3CAFC83795DEE2FBCA369E689006B7CED4A18E9".
 III. Wait for us to accept your request.
IV. Copy '[PersonalKey]' in "HOW-TO-RECOVERY-FILES.TXT" file and send this key with one encrypted file less size then 2MB for
trust us in our Tox chat. 
IV.I. Only if you did not receive a reply after 24 hours from us,
end your message to our secure tor email address "TheWhiteRose@Torbox3uiot6wchz.onion".
IV.II. For perform "Step IV.I" and enter the TOR network, you must download tor browser
and register in "http://torbox3uiot6wchz.onion" Mail Service)
V. We decrypt your two files and we will send you.
VI. After ensuring the integrity of the files, We will send you payment info.
VII. Now after payment, you get "WhiteRose Decryptor" Along with the private key of your system.
VIII.Everything returns to the normal and your files will be released.   
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////   
What is encryption?
In cryptography, encryption is the process of encoding a message or information in such a way that only authorized parties can access it,
and those who are not authorized cannot. Encryption does not itself prevent interference,
but denies the intelligible content to a would-be interceptor. In an encryption scheme, the intended information or message,
referred to as plaintext, is encrypted using an encryption algorithm – a cipher – generating ciphertext that can be read only if decrypted.
For technical reasons, an encryption scheme usually uses a pseudo-random encryption key generated by an algorithm.
It is in principle possible to decrypt the message without possessing the key, but, for a well-designed encryption scheme,
considerable computational resources and skills are required.
An authorized recipient can easily decrypt the message with the key provided by the originator to recipients but not to unauthorized users.
in your case “WhiteRose Decryptor” software for safe and complete decryption of all your files and data.
Any other way?
If you look through this text in the Internet and realise that something is wrong with your files but you do
not have any instructions to restore your files, please contact your antivirus support.

그리고 여기서 언급하는 것은 백장미는 제2차 세계대전 때에 독일 나치 시절에 독일 내에서 나치에 저항한 조직이름이기도 합니다.
하얀 장미단(die Weiße Rose)은 1941년에 한스 숄(Hans Scholl)과 조피 숄(Sophie Scholl) 남매가 결성했으며 뮌헨에서 아우구스트 폰 갈렌 주교가 나치의 T-4 프로그램 비판하는 강론을 듣고 갈렌 주교 허락을 받고 강론 전문을 전단으로 만들어 뮌헨 대학 전단지를 뿌리다가 게슈타포에 체포를 당하고 나서 심문을 받을 때에도 스페인 소설인 하얀 장미에서 나오는 유드 네보른과 안네트 둠바흐라고 했으며 알렉산더 슈모렐(Alexander Schmorell),빌리 그라프(Willi Graf), 크리스토프 헤르만 아난다 프롭스트(Christoph Hermann Ananda Probst),쿠르트 이포 테오도어 후버(Kurt Ivo Theodor Huber)등으로 구성이 되었고 해당 하얀 장미단에 가담을 해서 나치 정권의 잘못된 점에 대해서 저항을 했고 그리고 1943년2월18일에 뮌헨 대학에서 전단지를 배포를 하다가 체포가 되고 그 뒤로 가담자들이 잡히고 그리고 재판을 받은 지 몇 시간에 지나고 나서 사형이 되었다고 합니다. 그리고 련재 Karlsplatz 광장 바닥에는 하얀 장미단 단원들의 이름과 생애 그리고 추모사 그리고 처형당하던 당시의 신문들을 조각 형태로 찾아볼 수 있습니다.

[영화] - [영화]Der Untergang(몰락,The Downfall,2004)

즉 화이트 로즈 (die Weiße Rose)는 영화, 게임, 드라마들에서 많이 등장하는 단체이기도 합니다.
해시 값은 SHA256: 9614b9bc6cb2d06d261f97ba25743a89df44906e750c52398b5dbdbcb66a9415
관련 파일은 다음과 같습니다.
C:\Perfect.sys
HOW-TO-RECOVERY-FILES.TXT
그리고 바이러스토탈 결과는 다음과 같습니다. 물론 지금은 대부분 백신프로그램에서 탐지할 것입니다.

바이러스토탈 결과

일단 해당 랜섬웨어에 암호화되면 복원화는 할 수가 있습니다. 다만, 랜섬웨어 복구를 하려면 비용이 듭니다. 복구는 일단 러시아 보안 업체 Dr.Web에서 제공하고 있으면 해당 복구 비용을 무료로 하고 싶은 경우에는 Dr.Web 제품을 유료로 구매하는 분들은 무료로 제공하고 있으면 복구 비용은 파일의 개수에 따라 달라집니다. 해당 복구인 Dr.Web Rescue Pack는 러시아 루블로 제공해야 하면 닥터웹 유료로 사용하고 계시는 분들은 무료이며 복구비용은 데이터양에 따라 달라집니다. 해당 주소는 다음과 같습니다.

Dr.Web Rescue Pack 영어

Dr.Web Rescue Pack 러시아 어

입니다. 일단 이런 악성코드에 감염되지 않으려면 백신프로그램 설치,윈도우 업데이트는 필수이며 자신이 사용하는 프로그램은 최신으로 유지하면 그리고 출처가 불분명한 사이트에서 파일 다운로드 금지, 그리고 특히 토렌트 같은 곳에서 있는 파일을 통해서도 악성코드가 감염될 확률이 높으면 그리고 기술지원이 중단은 Windows XP,Windows Vista 그리고 2020년에 기술지원이 중단될 예정인 Windows 7은 특히 조심해야 하면 될 수 있으면 Windows 10을 이용하시면 도움이 되면 랜섬웨어 방어 프로그램 또는 보조 백신프로그램을 사용하면 악성코드에 감염되는 것을 최소화할 수가 있을 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

[소프트웨어 팁/보안] - 악성코드 수동 제거 프로그램-Adwcleaner 7.0 업데이트

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 이름이 참 예쁘고 재미있지만 조심해야겠어요
    • 항상 미리 조심하는것이 중요하다고 생각이 됩니다.귀찮더라도 백업은 필수 인것 같습니다.
  2. 이름이 참 예쁘고 재미있지만 조심해야겠어요

애나벨 랜섬웨어(Annabelle Ransomware) 감염 증상

Posted by Sakai
2018.02.26 00:00 소프트웨어 팁/보안

해당 랜섬웨어인 애나벨 랜섬웨어(Annabelle Ransomware)은 공포영화인 애나벨(Annabelle)을 모티브로 제작된 랜섬웨어 입니다. 일단 해당 랜섬웨어인
Annabelle Ransomware은 일단 기본적으로 일단 해당 애나벨 랜섬웨어는 일단 기본적으로 보안 프로그램 종료, Windows Defender 사용 안 함, 방화벽 끄기, 파일 암호화, USB 드라이브를 통한 확산 그리고 다양한 프로그램을 실행할 수 없도록 설정 한 다음 사용자의 컴퓨터를 엉망진창으로 만들려고 만들어진 랜섬웨어 입니다.

일단 기본적으로 보통 랜섬웨어들은 기본적으로 비트코인,대쉬 같은 가상화폐를 요구해서 수익을 창출하는 것보다는 기본적으로 실력 과시에 가깝지 않나 싶습니다. 일단 해당 랜섬웨어는Annabelle Ransomware은 Windows에 로그인할 때 자동으로 시작되도록 구성이 돼 있습니다. 그리고 기본적으로 Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome 등을 강제 종료합니다.

그리고 나서 이미지 파일 실행 레지스트리 항목을 구성하여 위에 나열된 프로그램과 notepad++, 메모장, Internet Explorer, Chrome, Opera, bcdedit 등과 같은 다양한 프로그램을 시작할 수 없도록 막아 버립니다. 그리고 나서 모든 작업이 끝이 나면 파일 확장자 명을 .ANNABELLE 확장자로 변경해버립니다. 그리고 언제나 랜섬웨어들이 하는 것처럼
랜섬 노트를 남겨줍니다.

랜섬 노트 내용은 다음과 같습니다.
What Happened to my files? All your files are encrypted and secured with a strong key. There is no way to get them back without your personal key. How can I get my personal key? Well, you need to pay for it. You need to visit one of the special sites below & then you need to enter your personal ID (you find it on the top) & buy it. Actually it costs exactly 0.1 Bitcoins. How can I get access to the site? You easily need to download the Torbrowser, you can get it from this site: https://www.torproject.org What is goin to happen if I'm not going to pay? If you are not going to pay, then the countdown will easily ran out and then your system will be rboken. If you are going to restart, then the countdown will ran out a much faster. So, its not a good idea to do it. I got the key, what should I do now? Now you need to enter your personal key in the textbox below. Then you will get access to the decryption program. - The darknet sites are not existing, its just an example text. The other things are right, except the darknet thing. Its possible to get the key, but if I going to do a new trojan, or new version of this then I will add real ways to get the key :) If you wanna that I going to do a 2.0 or a new trojan, then write it below in the comments. Thanks If you wanna chat with me, contact me easily in discord: iCoreX#1337

그리고 해당 랜섬웨어는 마스터 부트 레코드(MBR)까지 가짜 부트 로더로 덮어쓰기 기능도 추가로 있기 때문에 정말 감염이 되면 파일 복구는 포기하는 것으로 목적으로 하는 것 같습니다. 그리고 해당 랜섬웨어 제작자하고 대화하고 싶다고 하면 디스코드(Discord)라는 메신저를 사용을 하라고 합니다.
그리고 삭제대상이 되는 폴더는 다음과 같습니다.
%Windows%
%System%
%System32%
%Temp%
%AppData%
%Local%
%LocalLow%

그리고 언제나 랜섬웨어들의 기본적으로 수행하는 시스템 복원지점을 파괴하는 명령어를 실행합니다.
vssadmin delete shadows / all / quiet
그리고 나서 윈도우의 시스템 정상 명령어인 shutdown를 실행을 해서 컴퓨터를 강제 재부팅을 합니다.
C:\Windows\System32\shutdown.exe"-r -t00 -f
그리고 컴퓨터를 다시 부팅을 하기 전에 다음과 같은 메시지를 볼 수가 있습니다.

그리고 컴퓨터 재부팅 후 타이머와 IP 주소가 있는 잠금 화면을 표시하며. 타이머는 시간을 초 단위로 계산되며 잠시 후 다른 요소가 화면에 나타납니다.
타이머가 끝까지 계산되면 BSOD(블루스크린)가 나타나면 다음 MBR이 수정되었다는 화면을 볼 수가 있습니다.

그리고 암호화되는 파일들은 동영상 파일, 사진파일, 문서 파일들입니다. 일단 랜섬웨어에 감염이 되기 싶지 않은 분들은 반드시 윈도우 업데이트,백신프로그램설치,그리고 랜섬웨어 예방 프로그램 설치와 그리고 제일 중요한 것은 토렌트와 같은 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하는 것을 하지 않는 것이 좋습니다.

일단 해당 해쉬값은 다음과 같습니다.
716335ba5cd1e7186c40295b199190e2b6655e48f1c1cbe12139ba67faa5e1ac
관련된 파일은 다음과 같습니다.
Copter.flv.exe
MBRiCoreX.exe
입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

유블럭 오리진으로 강제 가상화폐채굴 차단 방법

Posted by Sakai
2018.02.12 00:00 소프트웨어 팁/보안

오늘은 유블럭 오리진으로 강제 가상화폐채굴 차단 방법에 대해 알아보는 시간을 가져보겠습니다. 일단 최근에 가상화폐 열풍에 가상화폐를 채굴에 동원하는 악성코드들이 많이 늘어났습니다. 일단 기본적으로 악성코드를 이용하는 방법과 그리고 사이트에 특별하게 스크립트를 사용해서 가상화폐를 채굴하는 것이 많이 늘어났습니다.
이런 것을 Cryptojacking(크립토재킹)이라고 하고 백그라운드 상태에서 CPU 리소스를 사용하여 사용자의 컴퓨터에 가상화폐를 채굴하는데 동원을 해서 악의적인 목적이 있는 사람은 가상화폐를 채굴합니다. 그리고 희생자의 웹 브라우저에 스크립트를로드하고 해당 스크립트에는 고유한 키가 있고 cryptominer 도구는 컴퓨터에 하드디스크에 설치도 하지 않고 저장도 하지 않습니다.
다만, 웹 브라우저가 해당 웹사이트에 접속하는 사용자들의 CPU, GPU를 사용해서 비트코인 및 가상화폐를 채굴하는 것입니다. 그러면 사용자의 컴퓨터 사용률은 높아지고 느려지는 것입니다. 물론 해당 부분이 잘못된 것이 아닙니다.

원래는 웹사이트에 광고를 붙이는 대신에 해당 스크립트 코드를 넣어서 소정의 가상화폐를 채굴하기 위해서 사용을 하는 것입니다. 그러나 최근에서는 해당 코드를 이용해서 토렌트 같은 곳을 통해서 악성코드에 함께 심어 놓아서 사용자의 컴퓨터 또는 스마트폰을 사용량을 증가시켜서 사용자의 컴퓨터 혹은 스마트폰을 고장을 내서 해커들은 금전적인 이익을 추구하면서 문제가 되고 있습니다. 오늘은 간단하게 유블럭 오리진(uBlock filters​​​​​)를 이용해서 해당 스크립트 코드들을 차단하는 방법을 알아보겠습니다.

Canon | Canon EOS 650D

먼저 기본적으로 ​​​​유블럭 오리진(uBlock filters​​​​​)에서는 개인정보 부분에 보면 Adguard Base Filters,EasyList가 보일 것입니다. 해당 부분을 활성화해두고 업데이트를 해주면 됩니다. 그러면 해당 부분에 보면 해당 Adguard Base Filters에서는 Anti-crypto-miners rules이라는 것이 있고 해당 부분에 가상화폐를 채굴하는 스크립트 차단 코드들이 들어가 져 있는 것을 볼 수가 있습니다. 아니면 사용자가 추가로 필터를 추가하는 방법도 있습니다.
예를 들어 해당 추가 필터들은 Adblock등에도 적용이 되는 것이기 때문에 해당 광고 차단 기능을 사용하고 계시는 분들은 한번 이용을 해보는 것도 좋은 방법입니다.

먼저 추가 방법은 간단합니다. 유블럭 오리진(uBlock filters​​​​​)설정을 열어주고 나서 보조 필터로 이동합니다. 그리고 맨 아래로 내려가면 빈칸이 있는 곳이 있을 것입니다. 여기서 해당 코드들을 입력하면 주면 됩니다.
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/nocoin.txt
두 가지인데 여기서 사용자가 여기서 가장 마음에 드는 것을 선택하면 됩니다. 첫 번째 있는 것은 hosts 방법으로 차단하는 방법입니다. 해당 부분을 선택한다고 윈도우 hosts를 변경하는 것이 아니고 단순하게 필터를 열어보면 아래와 같이 나와 있을 것입니다. 예를 들어서 다음과 같이 차단이 됩니다.
0.0.0.0 cnhv.co
0.0.0.0 coin-hive.com
즉 윈도우 호스트 파일을 건드리는 것 없이 해당 코드들이 발견되면 0.0.0.0으로 돌리는 방식으로 연결을 끊어 버리는 방식입니다. 두 번째인 nocoin.txt 방식입니다.

해당 방식은 간단하게 서든파티로 간주해서 차단을 해버리는 방법입니다. 어느 것을 선택하던 자유입니다. 굳이 EasyList같은 경우에도 마찬가지로 서든파티 방식으로 차단합니다. 일단 어느 것을 사용하든 상관이 없습니다. 여기서 저번에 소개해 드린 Anti-WebMiner(안티웹마이너)를 이용을 하는 방법도 있습니다. 해당 방법은 수동으로 업데이트를 하면 윈도우 호스트에 추가하는 방식입니다.
그리고 제일 중요한 것은 컴퓨터에 백신프로그램 설치를 해두었다고 하면 해당 코드가 있으면 감지를 합니다. 즉 굳이 해당 필터를 사용할 필요는 없습니다. 굳이 보안병이 있어서 해당 기능들을 사용해야겠다고 하면 해당 기능을 추가로 설치를 해주면 됩니다. 물론 스마트폰 이용자 분들에게는 도움이 될 것입니다. 그리고 일반적인 DNS를 사용하는 것보다는 Opendns,Norton DNS 등을 이용하는 방법도 도움이 될 것입니다.

해당 기능을 이용하면 미리 악성코드가 있는 사이트는 차단합니다. 참고로 Norton DNS같은 경우에는 학생, 청소년들을 키우고 있다고 하면 공유기에 암호를 걸고 수동으로 Norton DNS에서 3번째 DNS을 선택을 하면 성인사이트 차단할 수 있습니다. 물론 100% 차단을 할 수가 없겠지만 웬만한 것은 다 차단을 하고 악성코드 및 피싱사이트들도 함께 차단을 할 수가 있습니다. 일단 오늘은 이렇게 글자를 적어보았습니다.

컴퓨터를 조카 때문에 강제적으로 포멧하는 바람에 10년치 자료와 하필이면 백업이미지가 있는 외장 하드디스크까지 망가뜨려서 모든 자료가 날아가서 컴퓨터에 의도하지 않게 윈도우 10 클린설치가 되어버렸습니다. 덕분에 노트북 일부 기능을 사용할 수가 없어서 불편하기는 하지만요. 일단 가상화폐채굴 관련해서 골치가 아픈 사람들은 해당 기능을 이용하면 되고 만약 Internet Explorer만을 사용할 수가 있는 환경이라면 일단 Anti-WebMiner(안티웹마이너),Opendns,Norton DNS들을 함께 이용을 해보시는 것도 좋은 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 불편했던 분들은 이용하면 도움이 되겠군요
    • 해당 기능을 사용을 하면 아마도 가상화폐 채굴에 동원이 되는것을 예방을 할수가 있을것입니다.

한국인만 노리는 랜섬웨어-RansomUserLocker Ransomware 감염 증상

Posted by Sakai
2018.02.02 19:59 소프트웨어 팁/보안

오늘은 히든티어로 제작된 RansomUserLocker Ransomware 감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 Hidden Tear(히든티어)라는것은 2015년 8월 중순 GitHub 페이지에 공개돼 있고 누구나 내려받아서 사용할 수가 있는 교육용 랜섬웨어 제작도구입니다. Hidden Tear라는 프로젝트는 전적으로 오픈 소스입니다. 해당 프로그램은 터키의 프로그램 어인 Utku Sen이라는 사람이 제작할 걸로 알고 있습니다.

해당 히든티어는 proof-of-concept은 AES 암호화를 사용하여 감염된 시스템의 데스크톱에서 \ test디렉토리에있는 파일을 인코딩하며 해당 약어는 Advanced Encryption Standard의 약자이며 원래 Rijndael로 알려 진이 알고리즘은 대칭적입니다. 즉, 암호화 및 암호 해독 키가 동일 함을 의미하며 키의 길이는 128,192 또는 256비트가 될 수 있습니다. 그리고 랜섬웨어는 운영자만 사용할 수 있도록 원격 서버에 키를 전송하며 데이터를 복구하려면 감염된 사람이 특수하게 조작한 암호 해독 프로그램과 비밀 키를 처분할 수 있어야 합니다.

또한, 두 가지 전제 조건은 협상 대상이거나 가해자와 사용자 사이의 협상이 되기 마련입니다. 해당 랜섬웨어는 자세한 복구 지침과 관련 하이퍼 링크가 포함된 문서를 바탕 화면에 생성합니다. 그리고 파일 크기 12KB 밖에 되지 않아서 이메일을 통해서 전파가 가능하면 백신프로그램 제작자들은 이를 탐지하기 위해서 고생을 하시고 있습니다.

그리고 해당 히든티어를 통해서 프로그램에 대해서 조금만 알면 랜섬웨어를 만들어서 가상화폐를 얻을 수가 있습니다. 일단 해당 랜섬웨어인 RansomUserLocker Ransomware 은 한국인을 대상으로 제작되었으면 그리고 한국인이 제작했다는 것을 쉽게 파악할 수가 있습니다. 예를 들어 빗썸같은 한국에 있는 가상화폐거래소 주소를 통해서 구매하고 송금하라는 메시지를 볼 수가 있습니다. 그리고 해당 랜섬웨어에 감염이 되면 RansomUserLocker 확장자로 암호화됩니다.

악성코드는 다양한 방법을 사용하여 스팸 메일을 통해 전달될 수 있으며 그 중 하나는 맬웨어 첨부 파일 이 포함 된 메시지를 만드는 데 의존하기도 하면 다른 사회 공학 기법을 사용하여 악성코드 제작들은 희생자를 조작하고 강요하여 상호 작용할 수 있으며 맬웨어 사이트에서 호스팅 되는. RansomUserLocker 바이러스 샘플을 메시지에 연결할 수 있습니다. 일단 여기서 사회공학기법이라는 것은 쉽게 이야기해서 최근에 평창동계올림픽이 열리는데 평창동계올림픽으로 속인 가짜 사이트 또는 악성코드를 만들어서 사용자가 실행하는 방식입니다. 즉 사람들이 관심이 있는 부분을 이용하는 방법입니다. 그래서 함부로 클릭을 하거나 사이트에 들어가지 말라는 이유입니다.
염이 발생하면 실행되는 첫 번째 작업 중 하나는 정보 수집 모듈입니다. 해당 랜섬웨어 자체는 컴퓨터 호스트에서 중요한 정보를 수집하기 위해서 작업을 수행하며 대개 두 가지 주요 유형으로 분류됩니다.
익명의 통계: 범죄자는 공격 캠페인의 효율성을 결정하는 데 유용한 정보를 수집할 수 있습니다.
개인 구별 정보: 이 유형의 데이터는 사용자 신원을 직접 노출하는 데 사용될 수 있습니다. 악성코드 엔진은 피해자의 이름, 주소, 전화번호, 관심사 및 암호와 관련된 문자열을 검색할 수 있습니다.
그리고 정보 수집 엔진은 개별 컴퓨터 호스트에 할당된 고유한 피해자 ID를 계산하기 위해 추출된 정보를 사용하며 구성에 따라 데이터는 모듈이 실행을 완료하거나 네트워크 연결이 완료되고 해커 운영자에게 릴레이 될 수 있습니다. 그리고 해당 랜섬웨어는 분석을 당하는 것을 싫어해서 샌드 박스 및 디버그 환경 및 가상 컴퓨터상태에서 감염되었는지 검사도 합니다.

그리고 해당 랜섬웨어가 감염이 되면 다음 파일들을 암호화합니다.

.asp, .aspx, .bat, .bmp, .csv, .doc, .docx, .html, .hwp, .java, .jpg, .kys, .mdb, .mp3, .odt,.pdf, .php, .png, .ppt, .pptx, .psd, .rtf, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml, .zip

그리고 랜섬웨어 노트는 다음과 같습니다.

당신의 컴퓨터가 랜섬웨어 감염되었습니다.
1. 당신의 컴퓨터에 무슨 일이 일어났나?
당신의 개인적 파일 예를 들어 사진, 문서, 비디오 및 기타 중요한 파일을 비롯한 개인 파일은 강력한 암호화 알고리즘인 RSA-2048로 암호화되었습니다. RSA 알고리즘은 컴퓨터의 공개 키와 개인 키를 생성합니다. 공개 키는 파일을 암호화하는 데 사용되었습니다.
개인 키는 파일의 암호를 해독하고 복원하는 데 필요합니다.
당신의 개인 키는 우리의 서버에 저장되었습니다. 그리고 장단 하건대 개인키가 없이는 절대 복호화가 이루어지지 않습니다.
RSA 알고리즘: https://namu.wiki/w/RSA%20암호화
2. 어떻게 당신의 파일을 복호화 하나요?
당신은 "24" 시간 안에 지급하셔야 합니다.
만약 그 시간 안에 지급하지 않으면 당신의 개인키는 자동으로 우리의 서버로부터 지워지게 됩니다.
그렇게 되며 그 누구도 당신의 파일을 영원히 복호화할 수가 없습니다.
시간을 낭비하지 마세요.
3. 개인 키를 위해 지급하는 방법은 어떻게 되나요?
세 가지 스텝을 따라 당신의 파일을 복구하세요.
1). 지급은 비트코인 만으로만 가능합니다. 따라서 1 BTC를 구입 한 후 아래 주소로 보내주십시오. 그 후 화면 (랜섬노트)비트코인 주소(Bitcoin Adress)로 1비트코인(1BTC)를 송금하세요.
2). 당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요.
Official Mail:owerhacker@hotmail.com
당신의 개인 ID(Personal ID)를 반드시 확인하세요.
3) 지급을 완료하시고 메일을 보내 시주 시면 당일의 당신의 메일로 암호 해독기와 개인 키를 받게 됩니다.
4.비트코인은 어떻게 구매하나요?
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
비트코인 구매방법
1) 코빗(KoBit)
공식주소:www.localbitcoins.com
2)코인원(CoinOne)
공식주소:www.coinone.com
3)빗썸(Bithumb)
공식주소:www.bithumb.com
4)비트코인을 송금하시고 메일로 개인ID(Personal ID)를 코리아 공식메일 주소로 보내주세요.
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
라고 적혀져 있습니다. 그런데 이게 한가지 알고 보면 저번에 소개해 드린 랜섬웨어인 koreanLocker Ransomware를 보면 일단 이메일 주소는 바뀌었고 비트코인 주소는
Email:powerhacker03@hotmail.com
BTC:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
인 것으로 보면 일단 비트코인 주소가 같은 것으로 보면 일단 해당 랜섬웨어 제작자는 같은 것을 볼 수가 있습니다. 그리고 영어로 번역하면 다음과 같습니다.
1. What's wrong with your computer?
Your personal files, including your photos, documents, videos and other important files have been encrypted with RSA-2048, a strong encryption algorithm. The RSA algorithm generates public and private keys for your computer. The public key was used to encrypt files. A private key is needed to decrypt and restore files. Your private key is stored on our secret server. No one can recover your files without this key.
2. How do I decrypt my files?
To decrypt and restore files, you must pay for the secret key and decryption. You only have 24 hours to make a payment. If payment is not made during this time, then your private key will be automatically deleted from our server. Do not waste your time, because there is no other way to recover your files, other than paying for foreclosures.
3. How do I pay for my private key?
Follow these steps to pay and restore files:
1). Payment is possible only in bitcoins. Therefore, please buy 1 BTC, and then send it to the address below.
2). Send your ID (Personal ID) to our official email address below:
Official Mail: owerhacker@hotmail.com
Be sure to check your personal information. Please refrain from insults and send me an email the same day.
Your personal ID is listed in the title of this screen.
3). You will receive a decryptor and private key to restore all files in one working day.
4. How to find and buy bitcoins?
Buy and send 1 bitcoin to our bitcoin-purse: 1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
Please buy bitcoins and send your ID by mail to our official email address.
We are not good people. But we must keep in the area where we do it.'

일단 이메일 주소만 바뀌었을 뿐 내용도 비슷합니다. 다만, 지난 koreanLocker Ransomware 랜섬웨어 노트 내용에서 조금 발전한 모습을 볼 수가 있습니다. koreanLocker Ransomware 랜섬웨어 노트는 다음과 같습니다.

------------------ koreanLocker Ransomware ------------------
당신의 컴퓨터가 랜섬웨어에 감염되었습니다.
당신의 개인적 파일, 예를 들어 사진, 문서, 비디오 외 다른 중요한 문서들이 RSA-2048이란 강력한 암호화 알고리즘을 이용하여 암호화되었습니다.
당신의 개인키는 우리의 서버에 생성되어 저장되었습니다.
그렇게 되면 그 누구도 당신의 파일을 영원히 복호화할 수 없습니다.
그리고 장담하건대 개인키가 없이는 절대 복호화가 이루어지지 않습니다.
다시 한 번 말하지만 비트코인을 지급하는 것 외해 복호화하는 방법은 존재하지 않습니다.
당신에게 할당된 비트코인 주소를 반드시 확인하세요. 한 글자라도 틀리게 입력하여 보내시면 복구가 되지 않고 당신의 비트코인은 사라지게 됩니다.
당신은 24시간 안에 지급하셔야 합니다.
당신의 개인 ID(personal ID)를 반드시 확인하세요.
만약 그 시간 안에 지급하지 않으면 당신의 변경하기는 자동으로 우리의 서버에서 지워지게 됩니다.
명심하세요.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
세 가지 스텝을 따라 당신의 파일을 복구하세요.
시간을 낭비하시지 마세요.
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (.txt)를 보실 수 있습니다.
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달렸음을 명심하시기 바랍니다.
추가정보:
1). 지급은 비트코인 만으로만 가능합니다. 따라서 1비트코인(1BTC)를 비트코인 거래소를 통하여 구매하세요. 그 후 화면(랜섬노트)비트코인 주소(Bitcoin Address)로 1비트코인(1BTC)를 송금하세요.
2). 당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요.
3). 지급을 완료하시고 메일을 보내 시주 시면 당일의 메일로 복호화툴과 개인키를 보내드립니다.
4) 비트코인을 송금하시고 메일로 개인 ID(Personal ID)를 코리아 공식메일 주소로 보내주세요.
***
개인키(Private Key)는 당신의 파일을 복호화하여 복구하는데 아주 중요한 키입니다.
공개키(Public key)는 당신의 파일을 암호화하는 데 사용되었습니다.
공식주소: www.bithumb.com
공식주소: www.coinone.com
공식주소: www.localbitcoins.com
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Official Mail: powerhacker03@hotmail.com
***
Best Regards
Korean Ransomware Team
------------------ koreanLocker Ransomware ------------------

그리고 한국인들이 가장 많이 사용이 되는 나무위키에 있는 RSA 관련 글을 링크를 해두어서 사용자들에게 공포를 조장하고 비트코인을 요구하는 것은 똑같은 수법입니다.

그리고 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내기 위해서 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다.

그리고 랜섬웨어에 걸리면 절대로 랜섬웨어 제작자 한테 가상화폐를 보내지 마세요.그러면 또 다시 이 같은 범죄는 계속 이어질것입니다.그리고 랜섬웨어에 걸리기 전에 외장하드디스크 하나 장만 해서 그곳에서 백업을 해두세요.

그것이 그나마 안전한 방법이며 랜섬웨어 방지 프로그램은 항상 설치해서 사용을 하시길 바랍니다.그리고 백업프로그램은 윈도우 백업을 이용하거나 인터넷에 백업 전문 프로그램 무료 버전과 유료버전이 있으니 자신이 원하는 것을 선택해서 백업을 하시면 되고 하드디스크가 씨게이트 또는 WD같은 경우에는 백업프로그램을 홈페이지에서 일부 기능이 제한된 백업프로그램을 다운로드 해서 백업과 복원이 가능 합니다.

<기타 관련 글>

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 소개] - 무료 하드디스크 백업 프로그램-AOMEI Backupper Standard Edtion

[소프트웨어 소개] - 컴퓨터 드라이브 백업 도구-Double Driver

[소프트웨어 팁] - Seagate DiscWizard(씨게이트 디스크 위자드)를 활용한 하드디스크 백업하기

[소프트웨어 팁] - Windows 7 시스템 이미지 백업하기!

[소프트웨어 팁] - 원도우에서 복구 파티션을 만드는 방법

[소프트웨어 팁/보안] - 히든티어로 제작된 변종 카카오톡 랜섬웨어 감염 증상

[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

가상화폐 채굴을 하는 악성코드-RubyMiner(루비마이너)

Posted by Sakai
2018.01.24 17:04 소프트웨어 팁/보안

최근에 전 세계적으로 뜨겁게 관심이 있는 것이 아마도 가상화폐일 것입니다. 그래서 가상화폐 투자를 하는 분들도 많이 있고 뉴스를 보면 가상화폐투자를 위해서 해외로 나가서 가상화폐에 채굴하시는 분들도 있습니다. 최근에는 악의적인 목적이 있는 사람 즉 악성코드 제작자들은 예전에는 랜섬웨어를 제작을 해서 가상화폐를 송금하는 방식을 이용하고 있지만, 최근에서 가상화폐를 채굴하기 위해서 악성코드를 만들어서 사용자 컴퓨터를 감염을 시켜서 사용자 컴퓨터를 가상화폐 채굴에 이용해서 컴퓨터를 망가뜨리거나 스마트폰이 고장이 나는 현상이 발생하고 있습니다.

최근에서는 새로 나온 RubyMiner에 대해 간단하게 알아보는 시간을 가져 보겠습니다. 해당 악성코드는 cryptocurrencies(가상화폐)채굴을 목표로 하고 있으며 이로 말미암아 컴퓨터가 응답 속도가 느려지고 성능이 저하 및 과열로 컴퓨터가 고장이 날 수가 있습니다.

일단 해당 CryptoCurrency Miner인 루비 마이너(RubyMiner)는 기본적으로 컴퓨터 백그라운드에서 익명의 암호화 터널을 찾기 시작하는 프로세스를 실행하며 컴퓨터 속도가 느리고 다른 유형의 시스템이 정지되고 처리 메모리 오류가 발생하면 기본적으로 해당 악성코드 전파 방식은 가짜 실행 파일 또는 악성 웹 링크를 통해 악성코드에 의해서 감염이 됩니다. 예를 들면 다음 같은 경우가 있을 것입니다.
가짜 게임 패치
실제로 실행 파일인 토렌트 파일
소프트웨어 또는 게임의 가짜 설정
가짜 라이센스 활성화 소프트웨어

등을 통해서 악성코드가 감염됩니다. 그리고 단축주소를 이용하는 방법도 동원됩니다. 그래서 함부로 단축주소는 클릭하는 것을 자제해야 합니다.
RubyMiner에 감염되면 컴퓨터에서 파일이 삭제되기 시작하며 Ruby Miner 파일을 삭제할 수 있는 기본 폴더는 다음과 같습니다.
%AppData%
%Local%
%LocalLow%
%Roaming%
%Temp%
그리고 RubyMiner의 주요 활동은 컴퓨터에서 CPU와 GPU (비디오 카드 및 중앙 처리 장치)의 90% 이상을 활용하는 마이너를 실행하는 것입니다. 이러한 활동으로 말미암아 맬웨어는 암호 해독 토큰을 생성하고 이를 RubyMiner 감염의 뒤에 있는 악성코드 제작자 암호 해독 지갑에 추가할 수 있으며 일반적으로 컴퓨터를 여러 컴퓨터에 있는 마이닝 풀에 연결하면 마이닝 프로세스가 간단 해지며 악성코드 제작자가 자신의 지갑에 감염되어 연결된 컴퓨터가 많을수록 PC의 시간에 암호화 토큰을 빠르게 생성할 수 있으며 이 외에도 맬웨어는 컴퓨터 시스템에서 오랜 시간 동안 머무르는 것을 목표로 하기 때문에 오랜 시간 동안 컴퓨터를 사용하면 구성 요소가 손상될 수 있습니다. 그리고 이를 예방하는 방법은 백신프로그램을 설치를 설치하고 의심스러운 웹사이트에서는 파일다운로드 실행을 하지 말아야 하면 그리고 토렌트 같은 곳에서 내려받은 파일은 함부로 실행을 해서는 안 될 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

MoneroPay Ransomware(모네로페이 랜섬웨어)감염 증상

Posted by Sakai
2018.01.19 00:01 소프트웨어 팁/보안

오늘은 MoneroPay Ransomware(모네로페이 랜섬웨어)감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 최근에 전 세계적으로 가상화폐투자에 관심이 많이 있고 각국 정부에서는 통제하니 안 하니 가상화폐거래소를 폐쇄하니 안 하니 등으로 많은 소식이 있고 뉴스에서도 많이 나옵니다. 일단 랜섬웨어는 기본적으로 컴퓨터를 감염해서 파일을 암호화해서 사용자에게 가상화폐를 송금을 요구합니다. 물론 이전까지 많이 사용이 되는 것이 비트코인이었지만 최근에는 모네로(Monero)로 요구를 많이 하고 있습니다.

일단 해당 랜섬웨어는 PLANETARY , Krypton , SERVER , Cryptedx 등과 유사점이 있습니다. 악성코드 서로 다른 사이버 범죄자에 의해 개발되었지만 모두 데이터를 암호화하고 몸값 요구를 하는 같은 행동을 보이며 유일한 주요 차이점은 몸값의 크기와 사용되는 암호화 알고리즘 유형이며. 안타깝게도 대부분 악성코드는 고유한 암호 해독 키를 생성하는 암호(예:RSA, AES 등)를 사용합니다.

Ransomware(랜섬웨어)의 악성코드는 다양한 방식으로 확산하지만 가장 널리 사용되는 5가지 유형은 다음과 같습니다.

1: 트로이 목마, 2: 가짜 소프트웨어 업데이트 도구, 3: 제삼자 소프트웨어 다운로드 소스, 4: 피어 투 피어 (P2P)네트워크. 5: 스팸 이메일. 트로이 목마는 매우 간단하게 작동합니다. 악성코드가 컴퓨터에 침투하도록 백도어 를 열도록 설계되었으며 가짜 소프트웨어 업데이트 프로그램은 오래된 소프트웨어 버그 및 결함을 악용하여 시스템을 감염시킵니다.

P2P 같은 경우에는 토렌트,eMule 같은 곳을 통해서 감염됩니다. 일단 해당 랜섬웨어는 기본적으로 파일이 암호화 되면 .encrypted 확장자를 각 파일의 이름에 추가합니다.

그리고 나서 MoneroPay Ransomware(모네로페이 랜섬웨어)는 몸값을 받으려고 다음과 같은 랜섬노트를 보여 줍니다.

Your files are encrypted
 If you close this window, you can always restart and it should appear again.
All your files have been encrypted by us. This means you will be unable to access or use them. In order to retrieve them, you must send 0.3 monero (about $120 USD) to: 46FXmRvyffu59NNUs95rHx5cVQqU2z2zQD5qP7w
YfDiGaGjBGtP7cf8EhaQ1qy7wqV7bcNnrNUf2n1gugrQmKPG8U6AqHwy
Make sure you include your payment ID:
Use CTRL+C to copy both
IF YOU DO NOT INCLUDE YOUR PAYMENT ID, YOUR FILES CANNOT BE DECRYPTED. Do not waste your time -- only we can decrypt your files.
파일이 암호화되어 있습니다.
이 창을 닫으면 언제든지 다시 시작할 수 있으며 다시 표시되어야 합니다.
모든 파일은 우리에 의해 암호화되었습니다. 즉, 액세스하거나 사용할 수 없게 됩니다. 그들을 검색하려면 0.3 monero (약 $ 120 USD)를 다음으로 보내야 합니다 : 46FXmRvyffu59NNUs95rHx5cVQqU2z2zQD5qP7w
YfDiGaGjBGtP7cf8EhaQ1qy7wqV7bcNnrNUf2n1gugrQmKPG8U6AqHwy
지급 ID를 포함해야 합니다.
Ctrl + C를 사용하여 둘 다 복사하십시오.
지불 ID가 포함되어 있지 않으면 파일을 기각할 수 없습니다. 시간을 낭비하지 말고 파일을 해독할 수 있습니다.
지급한 경우 DECRYPT 버튼을 클릭하여 파일을 정상 상태로 되돌립니다. 비용을 지급하면 파일을 돌려 드리겠습니다.
라는 메시지를 볼 수가 있습니다.

바이러스토탈 결과

암호화하는 파일들은 다음과 같습니다.
암호화할 파일 확장명 목록 :
MS 오피스 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 등입니다.
그리고 해당 랜섬웨어와 관련이 있는 파일들은 다음과 같습니다.
spritecoind.exe
spritecoinwallet.exe
그리고 가짜 가상화폐인 SpriteCoin을 생성하기 위해 배포판의 일부로 배포됩니다. 설치 과정에서 암호화가 시작됩니다. 그리고 있지도 않은 가상화폐에 대한 메시지도 함께 보여 줍니다. 즉 가짜 가상화폐인 SpriteCoin도 보여주고 모네로 가상화폐를 얻으려고 파일을 암호화합니다. 일단 최근에 다양한 방식으로 랜섬웨어들이 나오고 있으니까 항상 조심해서 컴퓨터를 사용해야 할 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬 웨어를 오랜만에 보니 다시 한 번 점검해 볼 필요가 있다고 생각이 드는군요
    • 미리 조심을 하는것이 좋을것 같습니다.웹하드,토렌트,이뮬같은 출처가 불분명한곳에서는 다운로드를 피하고 그리고 기본적으로 윈도우 업데이트와 백신프로그램은 항상 사용을 하는것이 안전하게 컴퓨터를 사용을 하는 방법이 아닐까 생각이 됩니다.
  2. 스킨을 바꾸셨군요.
    스킨이 너무 이쁘세요.
    랜섬웨어 항상 조심해야겠습니다.
    • 사실상 예전으로 돌아간것이죠.랜섬웨어는 항상 조심해야 될것 같습니다.

Call of Duty WWII(콜오브 듀티 월드워 2)로 위장한 랜섬웨어 WinLock2 Ransomware

Posted by Sakai
2018.01.12 16:06 소프트웨어 팁/보안

해당 랜섬웨어인 WinLock2 Ransomware 은 체코 경찰이 보내는 것처럼 보이는 경고 메시지로 사용자를 일단 겁을 주는 랜섬웨어 입니다. 일단 해당 랜섬웨어에 감염이 되면 유로폴(Europol)과 체코 경찰의 로고는 사기성 경고를 추가해서 피해자가 불법적으로 취득한 콘텐츠 사용에 대한 고소장이 제시되어서 해당 사법 기관에서 발급되었다고 믿게 하는 목적이 있습니다.

실제로 경찰이나 Europol은 사용자에게 컴퓨터가 잠겨 있음을 알리는 허가 없이 컴퓨터에 액세스하지 않습니다. 해당 랜섬웨어 WinLock2 Ransomware의 목적은 경고 메시지를 보여주고 사용자가 해당 경고를 통해서 화면을 잠그고 돈을 입금하게 하는 수법을 사용하고 있습니다. 해당 공격자는 데이터 복원이나 데이터 액세스에 관심이 없습니다.

오직 사용자의 돈을 받으려고 혈안이 되어 있을 뿐이죠. WinLock2 ransomware는 약 47 달러인 1,000개의 체코 크라운의 몸값을 요구하며 공격자의 요구 사항에 따르면, 돈은 은행 계좌 없이 작동하는 Paysafecard 서비스를 사용하여 제출해야 하며 송금을 하려면 송금인이 바우처를 사고 16자리 코드를 판매자 또는 서비스 제공 업체에 보내야 합니다. 비용을 지급하지 않아도 컴퓨터를 잠금 해제할 수 있기 때문에 돈을 지급할 수 있다고 하더라도 돈을 지출하지 말 것을 권합니다. 일단 컴퓨터가 잠금이 활성화되면 가장 기본적으로 비활성 컴퓨터의 잠금을 해제하려면 16자의 PIN 코드를 입력하고 제출 버튼을 클릭하세요.

1234567890123456처럼 간단하게 다른 변형을 시도해 볼 수도 있습니다. WinLock2 ransomware는 Windows 레지스트리에 자동 시작 값을 만들어 시스템을 재부팅 할 때마다 기만적인 경고가 시작되도록 합니다. 더 중요한 것은 감염의 실행 파일을 삭제하여 더 많은 손상을 가져올 수 있는 방식으로 업데이트되지 않도록 하는 것입니다.
기본적으로 HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Run 에 해당 값을 등록된 것을 삭제하시면 됩니다. 그리고 해당 악성코드는 실행 파일은 Call of Duty : WWII(콜오브 듀티 월드워 2)로 확산이 되고 있습니다. 즉 불법적인 경로인 토렌트, 웹하드 같은 곳에서 게임을 내려받기하지 말고 정식적으로 구매해서 사용하는 것이 가장 안전한 방법입니다. 이상 간단하게 WinLock2 Ransomware에 대해 적어 보았습니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

Posted by Sakai
2018.01.09 15:44 소프트웨어 팁/보안

오늘은 간단하게 KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상에 대해 알아보겠습니다. 일단 해당 KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상은 기본적으로 한국어로 구성된 랜섬웨어 입니다. 일단 해당 랜섬웨어에 감염이 되면 AES를 사용하여 사용자 데이터를 암호화한 다음 1 BTC에서 사용하여 파일을 복원해야 합니다. 일단 스팸 메일 및 악의적인 첨부 파일, 악의적으로 조작된 웹사이트, 가짜 프로그램으로 가장한 업데이트, 불법으로 수정된 설치 프로그램을 사용하여 보호되지 않은 RDP 구성을 통해 해킹하여 배포할 수 있습니다. 그리고 해당 랜섬웨어가 암호화하는 파일은 다음과 같습니다.
암호화할 파일 확장명 목록: MS Office 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 아카이브 등입니다.
KoreanLocker.exe (hidden-tear.exe) MD5:08b583f29b7c1e7dc73def817b492bb3
(random).exe
README.txt
파일 위치
\Desktop\
\User_folders\
해당 랜섬웨어가 암호화에 성공하면 비트코인을 받아내기 위해서 랜섬 노트를 생성하고 랜섬노트 내용은 다음과 같습니다.

------------------ koreanLocker Ransomware ------------------
당신의 컴퓨터가 랜섬웨어에 감염되었습니다
당신의 개인적 파일, 예를들어 사진, 문서, 비디오 외 다른 중요한 문서들이 RSA-2048이란 강력한 암호화 알고림즘을 이용하여 암호화되었습니다.
당신의 개인키는 우리의 서버에 생성되어 저장되었습니다.
그렇게되면 그 누구도 당신의 파일을 영원히 복호화 할 수 없습니다
그리고 장담하건데 개인키가 없이는 절대 복호화가 이루어지지 않습니다
다시한번 말하지만 비트코인을 지불하는것 외해 복호화 할 수 있는 방법은 존재하지 않습니다
당신에게 할당된 비트코인 주소를 반드시 확인하세요. 한글자라도 틀리게 입력하여 보내시면 복구가 되지 않고 당신의 비트코인은 사라지게됩니다
당신은 24시간안에 지불하셔야합니다
당신의 개인ID(personal ID)를 반드시 확인하세요
만약 그 시간안에 지불하지 않으면 당신의 개인키는 자동적으로 우리의 서버에서 지워지게됩니다
명심하세요
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
세가지 스텝을 따라 당신의 파일을 복구하세요
시간을 낭비하시지 마세요
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (.txt)를 보실 수 있습니다
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달려있음을 명심하시기 바랍니다.
추가정보:
1).지불은 비트코인 만으로만 가능합니다. 따라서 1비트코인(1BTC)를 비트코인 거래소를 통하여 구매하세요. 그 후 화면(랜섬노트)비트코인 주소(Bitcoin Address)로 1비트코인(1BTC)를 송금하세요
2).당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요
3).지불을 완료하시고 메일을 보내시주시면 당일의 메일로 복호화툴과 개인키를 보내드립니다
4) 비트코인을 송금하시고 메일로 개인ID(Personal ID)를 코리아 공식메일 주소로 보내주세요
***
개인키(Private Key)는 당신의 파일을 복호화하여 복구하는데 아주 중요한 키 입니다
공개키(Public key)는 당신의 파일을 암호화하는 데 사용되었습니다.
공식주소: www.bithumb.com
공식주소: www.coinone.com
공식주소: www.localbitcoins.com
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Officail Mail: powerhacker03@hotmail.com
***
Best Regards
Korean Ransomware Team
------------------ koreanLocker Ransomware ------------------

그리고 네트워크 연결을 하는 목록은 다음과 같습니다.

Email: powerhacker03@hotmail.com
BTC: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
htt0://10.0.2.15/Ransom.php?info=
httpX://namu.wiki/w/RSA%20암호화

입니다. 여기서 특이한 것은 나무 위키로 연결이 포함된 것을 볼 수가 있습니다. 아마도 나무위키를 아는 것으로 보아서 한국인 또는 한국에 대해서 잘 아는 사람이 제작한 걸로 추측을 할 수가 있습니다.

C:\\Users\\%USERPROFILE%\Desktop\Hidden-tear-2.0-master\hidden-tear\hidden-tear\obj\Debug\hidden-tear.pdb
%USERPROFILE%\Desktop\Calculator.lnk
%USERPROFILE%\Desktop\MineSweeper.lnk
%USERPROFILE%\Desktop\Paint.lnk
%USERPROFILE%\Desktop\README.txt
%USERPROFILE%\Desktop\Sticky Notes.lnk

등을 생성합니다. 일단 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내기 위해서 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

랜섬웨어 예방 프로그램-RansomStopper

Posted by Sakai
2017.12.18 14:31 소프트웨어 팁/보안

랜섬웨어(Ransomware)이라고 하는 것은 기본적으로 AES, RSA 같은 암호화 알고리즘을 이용해서 사용자의 컴퓨터에 있는 특정 파일을 대상으로 공격해서 파일을 암호화하거나 또는 하드디스크에 있는 파일들을 삭제해서 컴퓨터 사용자에게 돈을 요구하면 돈을 받으면 암호화를 풀어 준다고 협박을 하는 악성코드입니다. 최근에는 기본적으로 가상화폐인 비트코인을 요구하기도 합니다.

물론 해당 비트코인을 지불을 한다고 해도 해당 암호화된 파일들이 풀어준다는 보장은 없습니다. 일단 랜섬웨어(Ransomware)은 기본적으로 예방하는 것이 제일 좋은 방법입니다.

즉 기본적으로 윈도우 업데이트를 기본적으로 하면 백신프로그램을 사용하면 자신이 사용하는 프로그램들은 항상 최신으로 이용하면 토렌트 같은 곳에서 영화를 내려받기를 해서 보다가 랜섬웨어 같은 악성코드에 감염되는 경우 이메일을 통해서 감염되는 경우 아니면 불법 사이트에 접속했다가 감염이 되는 경우 아니면 특정 사이트에서 취약점을 통한 감염 등 여러 가지 방법으로 사용자의 컴퓨터에 감염되기도 합니다.

오늘 소개해 드리는 소프트웨어인 RansomStopper이라는 프로그램은 CyberSight 사에서 제작을 해서 배포를 하는 프로그램입니다. 물론 랜섬웨어는 단순하게 비트코인을 요구를 통한 돈을 위한 목적도 있지만, 정치적인 랜섬웨어 들도 많이 있습니다. 예전에 소개해 드린 이스라바이라는 랜섬웨어 일 것입니다.
RansomStopper라는 프로그램은 컴퓨터에 침입하는 악성코드들을 예측, 탐지 및 차단 및 행동 분석을 수행하는 보안 소프트웨어입니다.
일단 해당 RansomStopper는 무료 안티 랜섬웨어 소프트웨어로 행동 분석 및 기만 기술을 사용하여 예방, 탐지 및 랜섬웨어 공격을 방지합니다, 그리고 랜섬웨어가 사용자의 컴퓨터를 공격하는 것을 탐지할 수가 있습니다. 일단 해당 프로그램인 RansomStopper의 특징은 다음과 같습니다.
행동 분석-소프트웨어에는 기존 또는 잠재적인 랜섬웨어 를 탐지할 수 있는 특허받은 행동 분석 및 기만 기술이 포함되어 있어 PC를 악의적인 암호화로부터 보호합니다.

[보안] - 이스라엘을 목표를 하는 랜섬웨어-Israby Ransomware(이스라바이 랜섬웨어)

RansomStopper

디코이,허니팟:RansomStopper는 허니팟 기술에서 작동합니다. 해당 프로그램 실제로 침입자를 유혹하여 공격을 탐지하도록 설정된 시스템 함정이면서 현재 사이버 범죄자들과 싸우는 가장 좋은 보안 도구 중 하나입니다.
다층 방위 및 실시간 경보 다층 보안 및 실시간 경보 기능을 통해 이 프리웨어는 컴퓨터가 악성코드로부터 안전한지 확인합니다.
완전 자동화된 소프트웨어이므로 특별하게 컴퓨터 사용자가 설정을 변경하거나 구성할 필요가 없습니다.
공격 방법에 관계없이 보호: 사이버 공격자는 다양한 방법을 사용하여 악성 링크를 보내고 PC에 대한 무단 액세스를 허용하지만 RansomStopper는 가능한 모든 방법을 통해서 컴퓨터를 랜섬웨어로 부터 보호합니다.
일단 기본적으로 간단하고 사용하기 쉬운 소프트웨어이며 직관적인 인터페이스가 제공되며 특별한 기술 노하우가 필요 없고 모든 백신 프로그램 및 기타 보안 솔루션과 호환되며 인터페이스는 매우 직관적이며 간단하게 구성이 돼 있습니다. 일단 기본적으로 윈도우 7,윈도우 8,윈도우 10에서만 사용할 수 있으면 윈도우 XP,윈도우 비스타같이 기술지원이 종료된 운영체제는 지원하지 않습니다. 일단 해당 프로그램이 익숙하지 않은 분들은 지난 시간에 소개해 드린 앱체크, 안랩에서 제공하는 랜섬웨어 예방 도구 등을 설치하면 됩니다. 일단 한번 사용을 해보고 싶은 경우에는 가상환경에서 한번 사용을 해보시는 것도 좋은 방법이라고 생각이 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

크립토믹스 랜섬웨어(Cryptomix Ransomware) 새로운 변종-0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)

Posted by Sakai
2017.11.19 00:01 소프트웨어 팁/보안

오늘은 최근에는 발견이 되고 조금 오래된 크립토믹스 랜섬웨어|Cryptomix Ransomware)의 새로운 변종인 0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)이 발견이 되었습니다.해당 랜섬웨어인 0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)은 일단 기본적으로 다른 랜섬웨어와 같이 랜섬웨어가 작동을 해서 암호화 하는 방법은 똑같습니다.그리고 _HELP_INSTRUCTION.TXT이라는 파일을 생성을 하면 해당 _HELP_INSTRUCTION.TXT안에는 랜섬웨어 제작자와 연결을 할수가 있게 이메일이 포홤이 되어져 있습니다.
일단 이메일 주소를 보면 y0000@tuta.io, y0000@protonmail.com, y0000z@yandex.com 및 y0000s@yandex.com입니다.보시면 기본적으로 tuta 보안 메일과 그리고 protonmail을 사용을 할수가 있는것을 확인을 할수가 있으면 기본적으로 yandex가 있는것으로 보아서 아마도 러시아에서 제작이 되었지 않나 추정을 해봅니다.

0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)는 파일이0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)에 의해 암호화 될 때 파일 이름을 수정 한 다음 파일을 추가합니다 . 0000 암호화 된 파일 이름 확장로 변경을 해버립니다.

0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어) 변종은 피해자의 파일을 암호화하는 데 사용되는 AES 키를 암호화하는 데 사용되는 11 개의 공개 RSA-1024 암호화 키를 포함하게 되고 이렇게하면 인터넷없이 랜섬웨어가 완전히 오프라인으로 작동 할 수가 있습니다.

그리고 특이한점은 해당 변종 랜섬웨어는 11 개의 공개 RSA 키는 이전의 XZZX Cryptomix Ransomware 변종과 똑같습니다.

랜섬웨어 노트는 다음과 같습니다.

Hello! Attention!
All Your data was encrypted! For specific informartion,
please send us an email with Your ID number: y0000@tuta.io y0000@protonmail.com y0000z@yandex.com y0000s@yandex.com Please send email to all email addresses!
We will help You as soon as possible! DECRYPT-ID-감염자 컴퓨터 ID
안녕 주의하세요.너의 모든 데이터는 암호화되었습니다.그리고 너의 ID를 이메일로 보내주시면 됩니다.

그리고 다음 명령어를 수행을 합니다.

sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc cmd.exe /C bcdedit /set {기본} recoveryenabled
No cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

일단 실행되는 명령어 보면 윈도우 디펜더,윈도우 방화벽,윈도우 보안 관련은 물론 기본적으로 새도우볼륨복사본도 삭제를 시도를 합니다.
사용하는 RSA-1024 키는 다음과 같습니다.

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCyagbOaf3s/ePCxre9cs9BwaX3 D40qF7jAzB/xoWktfDlY2PVslZ2reYhQC9dSIvkEtuZqlUUYgFUdaaqTsE7pA8ik 2zXI5Ou7I0YtwWRoFNCl8YlMTRKgDHRQhclPNbtpi2ucm507Unr8EnT2ZzcTOYv1 7ITFgkBdNr4zHLFrpQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDChVnFfbDa3rp1sug7tbE6ba/O RWAwsk6WQ21XHgAXF7dKuEtG/4q7QJyHahQvys2oLkJ4Et2+S4YS3FSYXYqNOq/e 5ahdS19KiuGLnf1u7acnsGvikJgvXiwe/NH2h48ZtK0Uyn1Q1ijVNU66f1pehSmB YQupamnC2XkV9d6Z0wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXbf7u6Pq5kB+O1Cb9GIG9GlVG Mswk342Er1HMiHFXUsVMlljLFTJPz5rdcVB4QAXsOynm67uw8yEAlNC90AHohuIV dGDNVoQuuyNvanI1Ur4cA4aKqpJZKbkVauTpCDdEAse4LSH4NrGTgCao42jiaksj pZvKyFK8yvdoAwd3JQIDAQAB
-----END PUBLIC KEY-----
 -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCetENrtjivjYOthpX2yTlYKJ0x gZ0R367J8tSFikEhVoko4SKRmN9Y1s88iCdeRPUZh2Q0rHOesf/AxONK1buzygXl BkE5X86I3EFUFbPjyOnIgEKFru728aLlwkslqYPIWS29DZUCboHzv1YWU8gtFkwL 5bUEB444se2UXi+pjwIDAQAB -----END PUBLIC KEY----- -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQa9aSkupoA7jxeOhS/mbRvy4u H/hI6XbTsv+ilfj8v9XHBaptsExUvCDG3fXvDKxSLxa6HBXnemM3weUDS0njH9Sb MJjImRjQ+OambwAYaj/hnFM3TYWU4KhPPKWrsxHT1ReSo1i+G2bNxr2gyS2D606N xaN4LNmYw3PLL2omGQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCIiEAs1V5JBCLKmDy0Il6rfC4w pQm0s9224Yvxs5pRRic3IQwAJ6wWw0Nrl42LxiA88jggso2EZ05lAl9FIuCNvzCr PO2QOjRLT0w2bYEEneK+rQR9sexZSI90zYVjziI26muOG1M8neAHqWkPvZI1a1sd hG5MwboKBkPYbtXI1wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC4ShCcW3W2gmG5HT/Vcrzf4HKi OXAmVWpTRkyqxkw/wU7Ax+A63Fgo5tV4psuxHcJUGYQv4B8+Ag+POHmE4a7Vd4Ra 7tVXBEoyl1ZKF8fFCAAaw6G/ALCL0LEQiTLaqQuIjNXRo7S4Mt/alOM18uMP/kEA mqnGDXEblePIsMUzkQIDAQA
 -----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOXllDk/itDr0oW7hxm01XLeEo pVCg63jWxr5ZEKMU3zmYPtIPGayJbOacU+pPf6t77IMR8ainmJXjAK1c0V07XJv2 UrRsQARYDGEnItYphiYI7t1AgXSPoUi8pvQJrpja3WpuFNmhsWE2lz5uEO7QeejG jSToXALGsvmgvGq5SQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCWeBww97UHcRLjztOKvXB0xzRC LcZGov/Y/6x/m8uo42nLkyPgUjrqR7EAzB6bbB6L6aOgCJb2WyffOaNN5df07gIV f1Ea8u/jMIr5uhR+pnFMNB0jQIqqU9/slURM+U7dFvELbli5HL+7Ac/EehJNjLNW bpB5dTPCSSpKFoeoxQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCIX+Ay2zjnnViZsCDCk/TS2wZV 85YVVWpAXzsu4wzJzo4Mux2PK5pW0+i6+O1KZLcu+d5xElKM0KgrmE8uY1xylA18 SMBHHhBNhJdYXIaARFNp1uRG+kR8IDgT3sDrSseTt//l2tn8oo5xxw6UHtsBqRwF KP3u+Vspd+gFRsTC5wIDAQAB
 -----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCxsV6vYenwHV4noHlPuOL/Dc7b dcLDWzJCmCToF5wCnUdkeifop7s6Kuz4nujPWq+6/foz5od8GySTtKiZtoq3lcmI 04RMzKqvo1PkR4RzfXGBLVk6EqeCrueY86l8Gu71oiPois8jJV6VQ96IJuc0HNRb IVKuPQZRttC1CjuZHQIDAQAB
-----END PUBLIC KEY-----

일단 기본적으로 이런 랜섬웨어에 감염이 되는것을 최소화할려며 기본적으로 토렌트 같은 곳에서 함부로 파일을 다운로드 해서 실행을 하면 안되며 그리고 백업은 필수이며 백신프로그램과 보조백신프로그램,랜섬웨어 방어프로그램 같은 것을 설치를 해서 보호를 해야 되면 기본적으로 윈도우 보안 업데이트 최신 업데이트 유지,Adobe Reader,Adobe Flash Player,Java같은 프로그램을 사용을 하면 항상 최신 업데이트로 유지를 하면 이메일을 보낸 사람이 잘 모르는 사람일경우에는 함부로 다운로드 및 실행을 하는것을 자제해야 합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 크립토믹스 랜섬웨어(Cryptomix Ransomware) 의 변종이 나왔군요. 유용한 소식 체크하고 갑니다^^ 편안한 주말 보내시길 바래요
  2. 변종이 계속 나오네요..
    얼마나 더 지나야.. 이런 소식들도 안들리게될런지..
    • 어차피 범죄이다 보니 사람들이 올바르게 사용을 하려고 하지 않는 이상은 안될것 같습니다.
  3. 어머~ 랜섬웨어의 새로운 변종이 발견되다니 슬픈 소식이네요~
    함부로 파일 다운받지 말고 보안업데이트를 최신으로 유지하며 보안에 신경써야겠네요^^
    • 그냥 가상 환경을 만들고 메인 컴퓨터와 공유를 하지 않은 상태에서 이용하는 방법도 있습니다.
  4. 바이러스는 변종이 더 무서운 거 같아요 업계에서 신속하게 대응하는 게 중요한 거 같아요
    • 어차피 기본적으로 기본적인 보안 수칙을 지킨다고 한다면 악성코드로 부터 피해를 줄일수가 있을것입니다.
  5. 랜섬웨어 무섭네요.^^;
    잘보고갑니다.^^
    • 항상 조심하는것이 좋은 방법인것 같습니다.

독일을 목표로 하는 랜섬웨어-Ordinypt Ransomware

Posted by Sakai
2017.11.13 00:01 소프트웨어 팁/보안

랜섬웨어라는것은 간단하게 암호화 기술인 AES, RSA를 이용해서 사용자 컴퓨터를 감염시켜 사용자 컴퓨터에 있는 문서, 동영상, 사진 등 파일을 암호화해서 암호화를 풀기를 위해서 암호화를 풀기 위한 도구를 구매해야 하면 해당 도구를 다운로드 하고 싶은 경우에는 비트코인이 있기 이전에는 대포통장을 비트코인같은 가상화폐가 있으면 비트코인등을 요구합니다. 일단 최근에 특정 국가를 목표로 랜섬웨어들이 많이 제작이 되고 있습니다. 해당 Ordinypt Ransomware는 독일어를 사용하는 사람들로 목표했기 때문에 독일어로만 구성돼 있습니다. 일단 해당 Ordinypt Ransomware는 Petya Ransomware(페트야 랜섬웨어)와 마찬가지로 취업광고로 대한 회신형식이면 이력서로 가장하는 ZIP 형식으로 압축파일로 구성돼 있고 조금 더 신뢰를 얻으려고 예쁜 여자얼굴이 있는 JPG파일가 포함이 돼 있습니다.
Viktoria Henschel-Bewerbungsfoto.jpg,Viktoria Henschel-Bewerbungsunterlagen.zip의 2개의 파일이 첨부돼 있습니다. 일단 압축파일을 열어보면 아이콘은 PDF 아이콘으로 돼 있지만 실제로는 확장자는 PDF 확장자가 아닌 exe형식로 돼 있어서 컴퓨터에서 확장자를 표시하지 않았으면 PDF 파일로 착각해서 exe 파일이 실행되는 방식입니다.

즉 악성코드 유포자가 토렌트에서 유명한 영화로 돼 있는 것처럼 돼 있지만 실제로는 실행을 하면 동영상이 아닌 exe 파일이 실행되어서 악성코드를 감염시키는 방법을 사용합니다. 그리고 파일명은 무작위로 바뀌게 돼 있습니다.

문자 및 숫자로 구성된 문자열을 무작위로 생성하며 같은 함수에 의해 생성되며 파일 크기는 8KB에서 24KB 사이에서 다를 수 있습니다. 그리고 해당 Ordinypt Ransomware는 파일을 파괴한 모든 폴더에 몸값기록을 남기며 몸값을 받으려고 파일 이름은 Where_are_my_files.html,Wo_sind_meine_Dateien.html이 됩니다. 그리고 감염이 되면 감염이 된 컴퓨터의 ID,Bitcoin 주소(비트코인 주소),다크웹 URL 그리고 몸값을 지급을 확인하기 위해서 전자메일주소도 함께 표시합니다.
그리고 JavaScript로 구성이 된 101개의 비트코인 지갑 주소목록에서 무작위로 비트코인 주소를 선택합니다.

일단 Ordinypt Ransomware의 독일어 이메일 내용입니다. 일단 개인적으로 독일어를 못하기 때문에 번역은 생략하겠습니다.

Sehr geehrte Damen und Herren, anbei erhalten Sie meine Bewerbung für Ihre bei der Arbeitsagentur ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann. Mit freundlichen Grüßen, Viktoria Henschel Translated Spam: Dear Sir or Madam, Enclosed you will receive my application for your job advertised at the Employment Agency. Please see my detailed and attached application documents for the reasons why I am able to fill the vacant position optimally and that your experience has many advantages for your company. I'm glad if I can introduce myself once again. Best regards, Viktoria Henschel

그리고 랜섬웨어가 생성하는 랜섬웨어 노트는 다음과 같습니다.

Ihre Dateien wurden verschlüsselt!

Sehr geehrte Damen und Herren, Wie Sie mit Sicherheit bereits festgestellt haben, wurden alle Ihre Dateien verschlüsselt. Wie erhalte ich Zugriff auf meine Dateien? Um Ihre Dateien erfolgreich zu entschlüsseln, benötigen Sie unsere Spezielle Software und den dazugehörigen Decrypt-Key. Wo bekomme ich die Software? Die Entschlüsselungs-Software können Sie bei uns erwerben. Der Preis für die Entschlüsselungs-Software beläuft sich auf 0.12 Bitcoin (ca. 600 Euro). Bitte beachten Sie, dass wir ausschließlich Bitcoin für den Erwerb der Software akzeptieren.
Wo bekomme ich Bitcoin?

Bitcoin können Sie Online sowie Offline erwerben, eine Liste empfohlener Anbieter folgt: https://www.bitcoin.de/de/-Online https://localbitcoins.com/-Online/Offline

https://btcdirect.eu/de-at-Online

https://www.virwox.com-Online

Zahlungsanweisungen Bitte transferieren

Sie exakt 0.12 Bitcoin an folgende Addresse:XXXXXXXXXXXXXXXXXXXXXXXXX
Nach erfolgreichem Zahlungseingang erhalten Sie automatisch die Entschlüsselungs-Software sowie den dazugehörigen Decrypt-Key. ACHTUNG! Sollten wir innerhalb von 7 Tagen keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie kein Interesse an der Entschlüsselung Ihrer Dateien haben.
 In diesem Fall löschen wir den Decrypt-Key unwiderruflich und Ihre Dateien sind für immer verloren. Ihre Dateien wurden mit einem 256-Bit AES Algorithmus auf Militärqualität verschlüsselt.
Wir empfehlen Ihnen keine Zeit mit eigenhändigen Entschlüsselungsversuchen zu verschwenden, dies würde Sie nur unnötig Zeit und weiteres Geld kosten, Ihre Dateien wären aber weiterhin verschlüsselt.

Bonus Zusätzlich zur Entschlüsselungs-Software erhalten Sie nach erfolgreicher Zahlung, hinweise wie die Schadsoftware auf Ihre System gelangen konnte und wie Sie sich in Zukunft vor weiteren Übergriffen schützen können!

뭐 대충 랜섬웨어 노트 내용이라 간단하게 비트코인 가격과 그리고 비트코인 주소, 사용자 감염자 ID, 그리고 AES 256비트 알고리즘을 암호화했다는 내용입니다. 보면 유로화로 600유로인 것을 볼 수가 있습니다.
이런 랜섬웨어에 감염이 되기 싫은 분들은 기본적으로 윈도우 업데이트,백신프로그램 사용, 보조 백신프로그램 또는 랜섬웨어차단 프로그램을 사용하면 기본적으로 자신이 사용하는 프로그램은 최신프로그램으로 유지하면 프로그램도 프로그램제작사에서 다운로드해서 사용을 해야 하면 출처가 불분명한 곳에서는 파일을 다운로드 및 설치를 하지 말아야 하며 그리고 확장자를 볼 수가 있게 윈도우 설정을 변경을 해주면 됩니다.

설정 방법은 간단합니다. 먼저 내 컴퓨터를 열어줍니다. 윈도우 10 같은 경우에는 보기에 보면 파일 확장명이라는 것이 보일 것입니다. 해당 부분을 체크를 해주면 자신의 컴퓨터에 있는 파일의 확장자를 볼 수가 있습니다. 해당 부분은 필수로 설정하지 않아도 되지만 그래도 확장자 명을 표시하게 하는 것이 보안에는 도움이 됩니다.

<기타 관련 글>

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

[보안] - 일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - MBR 변조를 한 후 부팅을 방해하는 PETYA 랜섬웨어(패트야 랜섬웨어)- 변종 골든 아이 랜섬웨어(Goldeneye Ransomware)

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 우크라이나를 겨냥한 XData 랜섬웨어 감염 증상 및 예방 방법

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 특정 국가를 상대로한 랜섬웨어가 계속 나오는군요.
    • 특정 국가를 노린다는것은 아마도 해당 국가에 대해서 반감을 가지고 있거나 아니면 해당 국가의 대상으로 랜섬웨어를 감염 시켜서 비트코인을 벌기 위해서 이죠.
  2. 독일을 상대로 한 랜섬웨어 라고 하니 조금은 안심이 되는군요
    • 그래도 독일쪽으로 일을 하거나 채팅,이메일등을 하는 경우에는 조심해야되죠.그리고 시간이 걸리겠지만 국내에도 발견이 될수도 있겠죠.
  3. 무섭네요.; 한국사람은 걱정안해도되겠죠?^^;
    잘보고갑니다. 좋은 하루되세요^^
    • 한국 사람이라서 걱정을 안하는것 보다 기본적으로 윈도우 업데이트 같은것을 잘하면 감염이 될 확률은 줄어들것입니다.
  4. 독일을 목표로 하는 랜섬웨어 Ordinypt Ransomware 에 대해 잘알고 갑니다^^
  5. 저는 이번에 랜섬 걸린거 다 풀엇어요^^
    • 축하드립니다.다음에 악성코드에 걸리지 않게 조심하세요.
  6. 와.. 논문인줄 알았어요. 굉장히 전문가적이면서도 자세하네요. ^^* 좋은 설명 정보 감사합니다.

아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware) 감염 증상

Posted by Sakai
2017.11.09 00:20 소프트웨어 팁/보안

오늘은 간단하게 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware) 감염 증상에 대해 알아보는 시간을 가져보겠습니다. 일단 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware)는 3번째 버전입니다. 일단 기본적으로 아돌프 히틀러(Adolf Hitler)는 아마도 나치 독일의 지도자 겸 총통이면서 타임지 선정 20세기 가장 영향력 있는 인물 100인이기도 하면서 홀로코스트, T-4 프로그램 등과 그리고 2차 세계대전 그리고 아리아 족 우월주의의 한 정치사상을 가지고 있으며 한때는 미술에도 소질이 있었던 사람 그리고 국민을 다스리는 방법은 빵과 서커스만 있으면 된다는 말을 한 사람이기도 합니다. 그러나 문제는 히틀러는 세계최고의 학살자이기도 합니다.

일단 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware)에 감염이 되면 랜섬웨어들이 하는 행동이 기본적으로 컴퓨터를 감염시키고 그리고 나서 컴퓨터 안에 있는 문서 파일, 동영상 파일, 사진 파일 등을 암호화를 진행합니다. 그리고 나서. AdolfHitler 확장자로 암호화를 진행합니다.

그리고 나서 비트코인을 요구를 합니다.비트코인은 BTC 당 20€입니다.BTC 주소는 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB를 사용을 하고 있습니다. 그리고 나서 기본적으로 윈도우를 설치를 하고 나서 기본적으로 실행되는 시스템 보호 부분에 있는 시스템 복원기능을 삭제를 시도합니다. 즉 해당 시스템 복원기능을 삭제하면 지난 시간에 소개해 드린 새도우익스플로워(ShadowExplorer)를 사용을 해서 파일을 복구할 수가 없습니다.

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

일단 먼저 실행이 되면 다음과 같이 나치식 경례를 하는 모습을 볼 수가 있습니다. 그리고 나서 나치 문장과 함께 비트코인을 요구하는 화면을 볼 수가 있습니다. 그리고 바탕화면으로 컬러도 히틀러 사진으로 강제적으로 변경해버립니다.

물론 바탕화면에서는 _AdolfHitler_.bmp파일이 생성이 되고 해당 파일이 사용자 화면으로 대체되는 방식을 취하고 있습니다. 일단 기본적으로 이런 랜섬웨어에 감염이 되지 않는 방법은 기본적으로 윈도우 업데이트(긴급 업데이트 제외,매월 두쨰주 수요일)을 하면 백신프로그램 사용과 보조 백신프로그램 또는 랜섬웨어차단 프로그램을 사용해서 예방하고 그리고 기본적으로 자신이 사용하는 프로그램은 최신 업데이트로 유지를 하는 것이 이런 랜섬웨어에 감염이 되지 않을 것이면 토렌트 같은 곳에서 출처가 불명확한 사이트에서 파일을 다운로드 및 실행을 하는 것을 자제해야지 이런 악성코드에 감염되지 않을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 아돌프 히틀러 랜섬웨어도 있네요!?
    감염 증상에 대해 잘보고 갑니다.
    • 네~이런 랜섬웨어도 있습니다.
  2. 랜섬웨어 종류도 참 다양하네요 덕분에 잘 알아 갑니다
  3. ㅇㅏㅇㅏ.. 히틀러 랜섬웨어라니... 별개 다 있네요.
    • 네~저도 그렇게 생각을 합니다.
  4. 요즘 변종랜섬웨어들이 참 많은 것 같습니다. 이름만 바꿔가며 사람들의 컴퓨터에 피해를 줘가며 돈을 갈취하는 행위가 끊임없네요. 좋은 정보 감사합니다. ^^
    • 랜섬웨어 제작도구가 있다보니 쉽게 제작을 할수가 있습니다.
    • 헐.. 랜섬웨어도 제작 툴이 있었군요;; 저는 어떻게 그런걸 만드나 신기했었는데.. 그런 툴이 존재했을 줄이야.. 흠.. 랜섬웨어 너무 후덜덜해요.ㅎㅎ
    • 네~있습니다.다만 좋은것은 가격이 비싸죠.
    • 헐~~비싼 돈을 줘서 랜섬웨어 툴을 사는 이유가 뭘까요?ㅠㅠ;; 랜섬웨어도 일종의 바이러스 같은건가요? 아니면 그냥 해킹툴?
    • 랜섬웨어는 간단하게 악성코드 일종이면 랜섬웨어 제작툴은 돈이 들어가면 성능이 더 좋아서 다양하게 만들수가 있습니다.물론 무료로된 랜섬웨어 제작툴도 있고 랜섬웨어 제작툴 자체가 바이러스 입니다.

사용자 컴퓨터를 비트코인 채굴에 이용하는 악성코드-BitCoin Miner (비트코인 마이너)

Posted by Sakai
2017.10.27 00:40 소프트웨어 팁/보안

오늘은 사용자 컴퓨터를 비트코인 채굴에 이용하는 악성코드인 BitCoin Miner에 대해 알아보는 시간을 가져 보겠습니다.비트코인(bitcoin)이라는것은 2009년1월 3일 사토시 나카모토가 개발한 세계 최초의 암호화폐입니다.

XBT 또는 BTC로 알려줘 있습니다. 일단 비트코인은 우리가 사용하는 화폐와 다르게 특정한 정부나 중앙은행, 금융기관의 개입이 없이 P2P 방법으로 안전하게 가능하면 유통량은 금처럼 한정돼 있습니다. 즉 비트코인이라는 것은 돈을 발행하는 중앙은행이라는 것이 없고 컴퓨터에 있는 CPU, GPU을 이용을 해서 암호화 문제를 풀며 비트코인이 일정 한량이 채굴될 수가 있게 돼 있으며 많은 컴퓨터가 문제를 풀수록 문제의 난이도가 높아져서 비트코인의 시스템의 보안이 강화됩니다.

즉 비트코인 채굴은 기존에 우리가 일상생활에서 사용을 돈을 관리하는 중앙은행처럼 통화의 공급과 거래의 보증을 책임을 지는 역할을 하면 채굴이라는 것은 네트워크를 통해 서서 P2P 방식으로 이루어지며 어느 국가에서 통제할 수가 없는 것이 특징이며 채굴과정에서 CPU,GPU를 병렬로 구성하여서 비트코인을 채굴을 하기도 합니다.

물론 전기요금은 어마하므로 가끔 뉴스에서 농업용 전기등을 이용하여 하우스에서 비트코인을 채굴을 하다가 경찰에 검거되었다는 소식도 가끔 나오면 익명성이 있기 때문에 정상적인 화폐거래가 아닌 무기 거래, 성매매, 마약 거래, 탈세 등에 악용이 되고 최근에는 랜섬웨어에서는 악성코드를 제작해서 컴퓨터 파일 또는 MBR를 암호화해서 가상화폐인 비트코인을 요구하기도 합니다.

그리고 비트코인을 우리가 사용하는 현금화하기 위해서 비트코인을 실제 화폐로 교환해 주는 비트코인 거래소를 거쳐야 하면 그리고 전 세계의 국가 대부분에서는 앞서 이야기한 부정적으로 사용되는 것을 막으려고 거래소 이용자의 실명 확인을 강제하고 있습니다.

Panasonic | DMC-GX80

즉 이런 가상화폐를 채굴하기 위해서 BitCoin Miner 같은 악성코드도 등장했습니다. 물론 현재 백신프로그램에서는 탐지하고 있습니다. 일단 해당 BitCoin Miner 는 WMI 및 NSA에서 유출된 EternalBlue를 사용을 하여서 컴퓨터를 악성코드를 감염시킵니다. 일단 해당 악성코드는 아시아태평양지역을 목표로 하는 악성코드입니다. 일단 기본적으로 WMI (Windows Management Instrumentation)를 사용을 하면 scrcons.exe를 사용해서 악성스크립트를 실행합니다. 그리고 EternalBlue를 사용을 해서 MS17-010 취약점을 사용합니다. WMI 스크립트를 설치하는 시스템을 설치하는 시스템인 BKDR_FORSHARE.A에서 백도어를 삭제를 하고 실행이 되면 해당 스크립트는 정해진 스크립트는 C&C 서버에 연결하여서 cryptocurrency miner를 악성코드와 함께 다운로드 합니다. 그리고 같은 루트, 구독 클래스는 특정 조건이 충족되며 악의적인 WMI 스크립트를 트리거 하는 데 사용이 됩니다.
ActiveScriptEventConsumer
EventFilter
IntervalTimerInstruction
AbsoluteTimerInstruction
 FilterToConsumerBinding

Canon | Canon EOS 650D

그리고 ActiveScriptEventConsumer는 조건이 충족될떄 실행을 할 때 명령을 포함하는 지속성 페이로드입니다. JScript를 실행을 하고 C&C 서버를 사용해서 악성코드를 업데이트 하게 이용을 합니다. EventFilter는 이벤트를 트리거를 진행이 되면 select * from __timerevent where timerid = fuckyoumm2_itimer가 포함돼 있으며 fuckyoumm2_itimer이라는 타이머 ID를 찾습니다.
그리고 IntervalBetweenEvents는 EventFilter 조건이 uckyoumm2_itimer의 고요한 이름이 있으며 IntervalBetweenEvents는 10,800,000밀리 초마다 악성코드를 트리거를 시도합니다.AbsoluteTimerInstruction는 모든 클래스와 인스턴스가 서로 연결이 되도록 연결이 됩니다. 마지막으로FilterToConsumerBinding는 __ActiveScriptEventConsumer 인스턴스와 __EventFilter 인스턴스를 연결합니다.

즉 실행이 되면 악성코드를 감염된 컴퓨터는 CPU,GPU 및 기타 리소스를 사용을 하여 암호화를 통해서 해당 컴퓨터는 악성코드에 의해서 자신의 컴퓨터는 과부하가 걸리면 악성코드 제작자의 비트코인 채굴에 이용됩니다.

해결방법은 WMI 서비스를 해제하고 그리고 나서 SMB를 사용을 하지 않는다면 해당 서비스들을 해제하면 되고 그리고 기본적으로 윈도우 업데이트는 최신으로 유지하면 그리고 윈도우 XP,윈도우 비스타같이 기술 지원이 중단된 운영체제는 사용하지 말고 그리고 토렌트 같은 곳이나 기타 출처가 불분명한 사이트에서 파일을 다운로드 하고 실행을 하는 것을 하지 말아야 합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 비트코인 채굴욕심을 부리면 안돼겠네요 일반인들은 어림도 없는 거 같어요
    • 아마도 비트코인에 욕심이 많은 악성코드 제작자인것 같습니다.
  2. 헉 무서운 악성코드네요.
    잘보고갑니다
  3. 요즘 비트코인 채굴 악성코드가 기승이라던대 조심해야 겠어요
  4. 악성코드는 항상 주의해야 할 것 같습니다^^
    좋은정보 감사히 잘보고 갑니다.
    • 네~예방을 하는것이 좋은것 같습니다.
  5. 채굴시 시스템이 느려지는게 체감이 될텐데
    이 악성코드 유포자는 정말 조금조금 채굴하려고 하나보네요 ㅎㅎ
    • 컴퓨터를 잘 사용하시는 분들은 의심을 할수가 있겠지만 초보자 분들은 단순히 최적화 작업을 진행을 할것같습니다.

Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법

Posted by Sakai
2017.10.26 00:00 소프트웨어 팁/보안

오늘은 지금 동유럽을 강타한 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 토끼라고 하면 사람들하고 귀엽고 사랑스러운 동물이기도 하지만 오스트레일리아 즉 호주에서는 인간에 의해서 자연이 파괴한 동물이기도 하고 세계경제공황과 1차 세계대전, 2차 세계대전 때에는 MRE로 활용이 되기 했고 경제 공황 속에서도 훌륭한 단백질 공급원이기도 합니다. 일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 현재 러시아, 우크라이나, 불가리아, 터키 등을 휩쓸고 있습니다. 현재 확인된 상황은 우크라이나의 오데사 공항, 우크라이나의 키예프 지하철 시스템, 우크라이나 인프라 자원부, 인터 팩스(Interfax)및폰탄카(Fontanka) 그리고 러시아 통신사도 표적이 되고 있습니다.

일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 가짜 어도비 플래시 플레이어(Adobe Flash Player)을 통해서 전파가 되고 있었지만, 현재는 드라이브 바이 공격으로 이용되고 있습니다. 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 Mimikatz를 사용하여 로컬 컴퓨터의 메모리에서 자격 증명을 추출하고 그다음에 하드 코드 된 자격 증명 목록과 함께 SMB를 통해 같은 네트워크의 서버 및 워크 스테이션에 접근을 시도합니다. 그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 Petya 및 NotPetya와 비슷하게 동작을 하는 것이 특징입니다. 먼저 컴퓨터 파일을 암호화하고 나서 MBR (Master Boot Record)를 건드립니다.

그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염이 성공을 하면 컴퓨터를 재부팅을 합니다. 그리고 나서 MBR에 걸린 랜섬웨어에 대해 랜섬노트를 제시를 하고 몸값을 제시합니다. 그리고 몸값으로 Tor 브라우저를 이용해서 Tor 네트워크의 사이트에 접속해서 0.05 Bitcoin (약 280달러)을 요구합니다. 그리고 2017년 초에 미국을 강타한 HDDCryptor Ransomware처럼 오픈소스디스크암호화도구인 DiskCryptor를 사용을 하고 있습니다.

NIKON CORPORATION | NIKON D7000

그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 미국 드라마인 Game of Thrones(왕좌의게임)를 매우 좋아하는지 Grayworm와 같이 Game of Thrones에 나오는 캐릭터 이름이 많이 나오는 것이 특징입니다. 일단 기본적으로 웹사이트를 해킹하고 가짜 어도비플래시플레이어를 설치를 하라는 메시지를 사용자가 나오면 install_flash_player.exe이라는 파일을 사용자가 실행하면 감염이 실행됩니다. 해당 나쁜 토끼 랜섬웨어가 실행이 되면 C:\Windows\infpub.dat를 삭제를 합니다. 그리고 나서 C:\Windows\system32 rundll32.exe,C:\Windows\ infpub.dat 명령어를 통해서 실행됩니다.

실행이 되면 Infpub.dat을 생성을 하고 C:\Windows\cscc.dat,C:\Windows\dispci.exe파일을 생성을 합니다. 그리고 DiskCryptor에서 생성된 파일은 Cscc.dat이며 dcrypt.sys 필터 드라이버이름이 바뀐 복사본입니다. 그리고 두 파일은 DDriver의 윈도우 서비스파일을 생성합니다. 그리고 Infpub.dat는 악성코드에 감염된 사용자가 컴퓨터를 로그인할 때 dispci.exe를 예약된 작업을 만듭니다.작업스케줄에 등록이 되는 것은 Game of Thrones 시리즈 중에 나오는 Rhaegal입니다.cscc.dat와  dispci.exe 파일과 함께 하드디스크를 암호화하고 마스터 부트 레코드를 수정하게 되고 피해자가 컴퓨터를 켤 때 비트코인을 통해서 몸값을 받으려고 랜섬메세지를 표시합니다.

랜섬메세지는 다음과 같습니다.

Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#1:
Network Activity:

그리고 암호화하는 대상은 다음과 같습니다.

3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

그리고 파일들은 AES 암호 알고리즘으로 암호화됩니다. 그리고 다음 파일을 암호화하는 데 사용이 된 AES 암호화 키가 내장 RSA-2048 공개키로 암호화됩니다. 그리고 Infpub.dat를 통해서 SMB를 통해서 다른 컴퓨터로 랜섬웨어를 확산시키려고 시도를 합니다.
생성되는 파일과 폴더 목록은 다음과 같습니다.

C:\Windows\infpub.dat
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
C:\Windows\cscc.dat C:\Windows\dispci.exe
레지스트리 부분은 다음과 같습니다.
HKLM\SYSTEM\CurrentControlSet\services\cscc
HKLM\SYSTEM\CurrentControlSet\services\cscc\Type 1
HKLM\SYSTEM\CurrentControlSet\services\cscc\Start 0
HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl 3
HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath cscc.dat
HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName Windows Client Side Caching DDriver
HKLM\SYSTEM\CurrentControlSet\services\cscc\Group Filter
HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService FltMgr
HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64

SMB를 통해서 다음과 같은 네트워크 활동을 합니다.
Local & Remote SMB Traffic on ports 137,139,445
caforssztxqzf2nm.onion

그리고 내장이 된 RSA-2048키는 다음과 같습니다.

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

그리고 바이러스토탈 결과는 다음과 같습니다.일단 해당 부분은 참고이므로 검사 당시에서는 업데이트가 되지 않았어 탐지가 되지 않았지만, 지금은 업데이트가 되는 제품들이 있는 것을 미리 알려 드립니다.

바이러스토탈 결과

일단 기본적으로 이런 랜섬웨어 같은 악성코드에 감염되지 않는 방법은 윈도우 업데이트 최신 업데이트로 유지를 하면 토렌트 같이 출처가 불확실한 곳에 있는 파일은 실행하지 않으면 기본적으로 어도비 플래시 플레이어 같은 경우 기본적으로 윈도우 8,윈도우 10 같은 경우에는 윈도우 업데이트를 통해서 업데이트를 할 수가 있으면 그리고 다른 브라우저를 사용하는 같은 경우에는 어도비 공식홈페이지에서 다운로드해서 사용을 하면 됩니다. 그리고 기본적으로 설치돼 있으면 특별한 설정 없으면 인터넷에 연결돼 있으면 알아서 업데이트를 할 것입니다. 그리고 백신프로그램은 항상 설치를 하고 최신 상태로 유지하면 실시간 감시를 하며 보조 백신프로그램 또는 랜섬웨어차단프로그램을 통해서 이런 랜섬웨어에 대비를 할 수가 있으면 프로그램은 항상 최신 업데이트를 유지를 하는 것이 이런 랜섬웨어 같은 악성코드에 감염되는 확률을 줄일 수가 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 이 참에 중요한 자료는 일단 백업해둬야 겠습니다.
    • 백업프로그램으로 미리 백업을 해두는것도 좋은 방법이라고 생각이 됩니다.
  2. 잘 보고 갑니다.
    조심해야겠군요
  3. Bad Rabbit Ransomware 나쁜 토끼 랜섬웨어의 감염 증상 및 예방 방법 잘 보고 갑니다^^
    행복한 목요일 하루 되시길 바래요-
  4. 면서 종류도 참 다양하네요 좋은 팁 잘 보고 갑니다
    • 랜섬웨어 기본은 같습니다.파일을 암호화 하고 나서 비트코인을 요구하는것이죠.
  5. 나쁜토끼가 새로 나왔나보네요..
    보안에 더 신경써야겠습니다..
    • 기본적으로 보안 업데이트와 보안 수칙을 잘 지키면 랜섬웨어에 감염이 될 확률은 줄어듭니다.
  6. 좋은정보 잘보고갑니다.
  7. 저도 이미 걸려 본 적이 있어서 그런지 요줌에는 더 많이... 조심하게 되더라구요.ㅠㅠ
    • 기본적으로 윈도우 업데이트와 자신이 사용을 하는 프로그램들은 최신 업데이트로 유지를 하면 악성코드에 감염이 되는것을 최소화 할수가 있습니다.

한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

Posted by Sakai
2017.10.23 18:31 소프트웨어 팁/보안

오늘은 한국을 목표하는 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상에 대해 알아보는 시간을 알아보겠습니다. 일단 랜섬웨어라는것이 기본적으로 개인적으로 사용자이든 공적으로 중요한 문서들을 개인정보 보호하기 위해서 사용이 되는 AES와RSA같은것을 역으로 이용해서 컴퓨터 취약점을 통하거나 또는 토렌트 같은 곳에서 출처가 의심스러운 파일을 실행했으면 랜섬웨어 같은 악성코드에 감염될 수가 있는 확률이 높아집니다.

메그니베르 랜섬웨어(Magniber ransomware)는 다른 랜섬웨어와 다르게 작동하는 것이 일반적인 랜섬웨어들은 기본적으로 자신이 원하는 대로 컴퓨터를 악성코드를 감염을 시키고 나서 자신이 수행하는 랜섬웨어 원칙에 맞게 비트코인을 입금을 하라고 컴퓨터를 검색해서 문서 또는 비디오파일 또는 사진파일들을 암호화시켜 사용자에게 비트코인을 요구를 하는 것이 특징이지만 이번 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)은 언어 점검, 외부 IP 및 지역들을 점검해서 한국에서 사용하는지 확인을 하는 과정을 거치게 됩니다.

즉 한국인이 해당 컴퓨터를 사용하는지 확인을 하려고 윈도우 언어, IP 주소, 지역들을 점검한다는 점에서 한국인을 노리는 랜섬웨어 입니다. 일단 해당 랜섬웨어는 기본적으로 CVE-2016-0189 취약점을 노린다는 점입니다. 즉 윈도우 업데이트를 하면 해당 랜섬웨어는 피해갈 수가 있습니다.

해당 CVE-2016-0189는 Internet Explorer의 메모리 손상 취약점입니다. 그리고 오랫동안 보이지 않고 있었던 Cerber ransomware(사이버 랜섬웨어)의 귀환을 알리는 랜섬웨어이기도 합니다.

그리고 해당 메그니베르 랜섬웨어는 한국어 이외의 시스템에서 실행되는 경우 ping 명령을 실행하여 지연되는 자체 삭제 작업을 볼 수가 있는 것이 특징입니다. 즉 한국인을 노리고 있다는 것을 볼 수가 있습니다. 먼저 해당 랜섬웨어에 감염이 되면 %TEMP%폴더에서 랜섬웨어 자체를 복사하고 작업 스케줄러를 사용하여 자체적으로 배포를 시작하기 시작을 합니다. 그리고 암호화된 각 파일에는 작은 라틴 문자로 구성되며메그니베르 의 특정 샘플에 대해 일정한 확장자가 추가되며 같은 일반 텍스트 파일은 같은 암호문을 만들고 모든 파일은 정확히 같은 키를 사용하여 암호화됩니다.
랜섬웨어에 암호화된 파일은 각 파일의 시작 부분에 메그니베르 랜섬웨어의 특정 파일에 대해 상수인 16자 길이의 식별자가 추가되는 구조로 되어 있습니다. 그리고 모든 파일이 완료되면 이제 몸값을 받으려고 랜섬 노트를 생성합니다. 내용은 다음과 같습니다.

ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
====================================================================================================
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
====================================================================================================
To receive the private key and decryption program follow the instructions below:
1. Download "Tor Browser" from https://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
http://[희생자 ID].ofotqrmsrdc6c3rz.onion/EP866p5M93wDS513
Note! This page is available via "Tor Browser" only.
====================================================================================================
Also you can use temporary addresses on your personal page without using "Tor Browser":
http://[희생자 ID].bankme.date/EP866p5M93wDS513
http://[희생자 ID].jobsnot.services/EP866p5M93wDS513
http://[희생자 ID].carefit.agency/EP866p5M93wDS513
http://[희생자 ID].hotdisk.world/EP866p5M93wDS513
Note! These are temporary addresses! They will be available for a limited amount of time!

보면 일단 기본적으로 비트코인을 얻어내기 위해서 Tor Browser를 설치를 유도합니다. 즉 다크넷을 이용을 하려면 Tor Browser가 필요하기 때문입니다. 그리고 나서 파일을 암호화하기 위해서 다음의 파일들을 검색하고 암호화를 진행합니다.

.doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, em, vsd, vsdx, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi, vmx, gpg, aes, raw, cgm, nef, psd, ai, svg, djvu, sh, class, jar, java, rb, asp, php, jsp, brd, sch, dch, dip, p, vb, vbs, ps1, js, asm, h, pas, cpp, c, cs, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, db, mdb, accdb, sq, sqlitedb, sqlite3, asc, lay6, lay, mm, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der, 1cd, cd, arw, jpe, eq, adp, odm, dbc, frx, db2, dbs, pds, pdt, dt, cf, cfu, mx, epf, kdbx, erf, vrp, grs, geo, st, pff, mft, efd, rib, ma, lwo, lws, m3d, mb, obj, x, x3d, c4d, fbx, dgn, 4db, 4d, 4mp, abs, adn, a3d, aft, ahd, alf, ask, awdb, azz, bdb, bib, bnd, bok, btr, cdb, ckp, clkw, cma, crd, dad, daf, db3, dbk, dbt, dbv, dbx, dcb, dct, dcx, dd, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dx, eco, ecx, emd, fcd, fic, fid, fi, fm5, fo, fp3, fp4, fp5, fp7, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdn, mdt, mrg, mud, mwb, s3m, ndf, ns2, ns3, ns4, nsf, nv2, nyf, oce, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm, phm, pnz, pth, pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, str, tcx, tdt, te, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, abw, act, aim, ans, apt, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bna, boc, btd, cnm, crw, cyi, dca, dgs, diz, dne, docz, dsv, dvi, dx, eio, eit, emlx, epp, err, etf, etx, euc, faq, fb2, fb, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, gtp, frt, fwdn, fxc, gdoc, gio, gpn, gsd, gthr, gv, hbk, hht, hs, htc, hz, idx, ii, ipf, jis, joe, jp1, jrtf, kes, klg, knt, kon, kwd, lbt, lis, lit, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwp, lyt, lyx, man, map, mbox, me, mel, min, mnt, mwp, nfo, njx, now, nzb, ocr, odo, of, oft, ort, p7s, pfs, pjt, prt, psw, pu, pvj, pvm, pwi, pwr, qd, rad, rft, ris, rng, rpt, rst, rt, rtd, rtx, run, rzk, rzn, saf, sam, scc, scm, sct, scw, sdm, sdoc, sdw, sgm, sig, sla, sls, smf, sms, ssa, sty, sub, sxg, tab, tdf, tex, text, thp, tlb, tm, tmv, tmx, tpc, tvj, u3d, u3i, unx, uof, upd, utf8, utxt, vct, vnt, vw, wbk, wcf, wgz, wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wp, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xd, xlf, xps, xwp, xy3, xyp, xyw, ybk, ym, zabw, zw, abm, afx, agif, agp, aic, albm, apd, apm, apng, aps, apx, art, asw, bay, bm2, bmx, brk, brn, brt, bss, bti, c4, ca, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, dds, dgt, dib, djv, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dv, ecw, eip, exr, fa, fax, fpos, fpx, g3, gcdp, gfb, gfie, ggr, gih, gim, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn, icon, icpr, iiq, info, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbmp, jbr, jfif, jia, jng, jp2, jpg2, jps, jpx, jtf, jw, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo, mrxs, my, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, asy, cdmm, cdmt, cdmz, cdt, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, dhs, dpp, drw, dxb, dxf, egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, gem, glox, hpg, hpg, hp, idea, igt, igx, imd, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx, mmat, mat, ovp, ovr, pcs, pfv, plt, vrm, pobj, psid, rd, scv, sk1, sk2, ssk, stn, svf, svgz, tlc, tne, ufr, vbr, vec, vm, vsdm, vstm, stm, vstx, wpg, vsm, xar, ya, orf, ota, oti, ozb, ozj, ozt, pa, pano, pap, pbm, pc1, pc2, pc3, pcd, pdd, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpg, pm, pmg, pni, pnm, pntg, pop, pp4, pp5, ppm, prw, psdx, pse, psp, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d, qmg, ras, rcu, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rw, s2mv, sci, sep, sfc, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, wallet, jpeg, jpg, vmdk, arc, paq, bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, backup, iso, vcd, bmp, png, gif, tif, tiff, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3

그리고 랜섬웨어는 다음과 같이 새로운 폴더를 생성합니다.

%Temp%\(확장자).exe
%Temp%\(희생자 ID).[확장자]
READ_ME_FOR_DECRYPT_[희생자 ID]_.txt
그리고 암호화 대상을 검색하기 위해서 다음과 같은 폴더를 검색합니다.
\$recycle.bin\
\$windows.~bt\
\boot\
\documents and settings\all users\
\documents and settings\default user\
\documents and settings\localservice\
\documents and settings\networkservice\
\program files\
\program files (x86)\
\programdata\
\recovery\
\recycler\
\users\all users\
\windows\
\windows.old\
\appdata\local\
\appdata\locallow\
\appdata\roaming\adobe\flash player\
\appData\roaming\apple computer\safari\
\appdata\roaming\ati\
\appdata\roaming\intel\
\appdata\roaming\intel corporation\
\appdata\roaming\google\
\appdata\roaming\macromedia\flash player\
\appdata\roaming\mozilla\
\appdata\roaming\nvidia\
\appdata\roaming\opera\
\appdata\roaming\opera software\
\appdata\roaming\microsoft\internet explorer\
\appdata\roaming\microsoft\windows\
\application data\microsoft\
\local settings\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

일단 기본적으로 이런 랜섬웨어로 부터 컴퓨터가 악성코드가 감염되는 것을 방지하려면 최소한 윈도우 업데이트는 기본적으로 하고 윈도우 업데이트를 하기 귀찮다고 하면 윈도우 업데이트는 자동 업데이트 부분을 수동으로 변경하지 않으면 윈도우는 인터넷에 연결이 되어져 있으면 기본적으로 보안 업데이트를 진행을 합니다. 그리고 나서 사용을 하는 프로그램은 최신 업데이트로 유지를 하면 그리고 백신프로그램도 함께 실시간 감시, 최신 업데이트로 유지를 하는 것이 중요합니다. 그리고 토렌트 같은 곳에서 파일을 함부로 다운로드 및 실행을 하는 것도 주의하시길 바랍니다. 그리고 지난번에 소개해 드린 우크라이나를 노린 랜섬웨어 처럼 아마도 특정 지역, 특정 국가 및 언어를 사용하는 랜섬웨어는 증가할 것으로 생각합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

Posted by Sakai
2017.10.19 02:10 소프트웨어 팁/보안

오늘은 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 기본적으로 마이크로소프트에서 제공하는 백신프로그램입니다. 물론 윈도우 7 포함 이전 버전에서는 따로 설치를 해야 하지만 윈도우 8부터는 기본적으로 설치된 백신프로그램입니다. 물론 컴퓨터 사용자가 따로 백신프로그램을 설치하면 윈도우 디펜더(Windows Defender)는 꺼지게 돼 있습니다. 물론 가끔은 자동으로 꺼지지 않아서 수동으로 꺼야 하는 일도 있지만 그렇게는 흔하지 않을 것으로 생각합니다. 일단 윈도우 디펜더는 자이언트 컴퍼니 소프트웨어(GIANT AntiSpyware)에서 개발했던 자이언트 안티 스파이웨어를 기반으로 개발한 백신프로그램입니다.

마이크로소프트는 2004년 12월 17일 자이언트 컴퍼니 소프트웨어 인수를 했고 윈도우 디펜더는 윈도우 비스타에 기본 내장되어 있고, 윈도우 XP와 윈도우 서버 2003의 경우 마이크로소프트 사이트에서 무료로 다운로드해서 사용을 할 수가 있으면 2006년에서는 윈도우 디펜더라는 정식 이름으로 불리면 현재까지 이어져 오고 있습니다.

일단 랜섬웨어 같은 경우에는 AES와RSA같은 암호화 기능을 이용해서 악의적으로 제작된 사이트 또는 악성프로그램을 사용할 때 사용자 컴퓨터를 감염해서 예전에는 현금을 요구하거나 사용자 컴퓨터를 못 사용하게 했지만, 최근에는 가상화폐인 비트코인 같은 걸로 암호화를 풀어주는 대가로 비트코인을 요구하기도 합니다. 물론 해당 비트코인을 지불을 한다고 해도 해당 암호화된 복구도구를 줄 가능성도 없고 그리고 그냥 비트코인만 받고 복구도구를 줄 가능성도 없습니다.

즉 이런 위험에 대비하려면 미지 준비를 해주는 것이 좋을 것입니다. 그리고 지난 시간에 이야기한 것처럼 윈도우 10 레드스톤 3에서 제공이 되는 윈도우 디펜더(Windows Defender)에서는 기본적으로 랜섬웨어 방지 기능을 추가한다고 했고 최근에 윈도우 10 레드스톤 3에서는 해당 기능이 추가되었습니다. 물론 기본적으로 사용자가 따로 설정을 해주어야 합니다.
먼저 기본적으로 윈도우 디펜더(Windows Defender)를 열어 줍니다. 그리고 나서 바이러스 및 위협방지 설정으로 이동합니다.

그리고 아래로 내려가다 보면 제어된 폴더 액세스라는것이 보일 것이고 해로운 응용 프로그램에서 의한 무단 변경으로부터 파일과 폴더를 보호합니다. 라는 것이 있는 것을 볼 수가 있습니다. 해당 기능을 기본적으로 끔으로 돼 있는데 이것을 켬으로 변경을 해주면 됩니다. 그러면 윈도우 디펜더(Windows Defender)에서 제공을 하는 랜섬웨어 방지 기능을 사용할 수가 있습니다.

물론 다른 랜섬웨어 방어 프로그램들인 앱체크등과 같은 랜섬웨어 예방 프로그램을 사용하는 방법과 아니면 보조 백신프로그램을 사용하는 방법도 있을 것이라고 합니다. 일단 어느 쪽을 선택하든 간에 기본적으로 윈도우 업데이트와 기타 프로그램은 최신프로그램을 유지하고 토렌트 같은 곳에서 함부로 내려받아서 실행하는 것은 조심해야 랜섬웨어 같은 악성코드에 감염되는 것을 최소화할 수가 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 외부백신없어도 디벤더로 그나마 예방이 가능해졌군요.
    • 다만 일반적으로 사용자가 수동으로 설정을 해야 되는 점과 그리고 해당 설정을 하면 조금은 불편하더라고요.그래도 사용할만 기능이라고 생각이 됩니다.
  2. 유용한 정보입니다^^
    알려주신대로 디펜더에서 랜섬웨어 방어 기능을 사용해봐야겠습니다.
    • 네~윈도우 디펜더를 사용을 하시는 분들은 한번 사용을 해보시는것도 좋은 방법이라고 생각이 됩니다.
  3. 레드스톤3 로 빨리 업데이트 해야겠습니다.
    • 네~윈도우 레드스톤 3로 업데이트 하는것도 좋은 방법중 하나일것입니다.
  4. 바이러스 프로그램을 만드는 사람을 빨리 찾아서 처벌 했으면 좋겠어요
    • 해당 범죄는 컴퓨터와 인터넷이 존재하는 한 이런 범죄는 계속 있을거라 생각이 됩니다.
  5. 윈도 디펜더가 생각보다 좋다고하더라구요^^
    잘보고갑니다. 행복한 하루되시길^^

랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

Posted by Sakai
2017.08.11 00:00 소프트웨어 팁/보안

랜섬웨어라고 하면 기본적으로 AES,RSA같은 개인정보 보호 또는 중요한 메일 같은 내용, 중요한 파일, 중요한 문자 등을 암호화를 통해서 다른 사람들이 자신의 중요한 파일이나 내용을 함부로 열 수 없게 하려고 사용이 되고 있습니다. 즉 좋은 쪽으로 사용하면 이렇게 사용을 할 수가 있겠지만 나쁘게 사용을 한다고 해당 종은 기술을 역으로 나쁘게 이용을 해서 다른 사람의 파일을 강제적으로 잠그고 그리고 해당 내용을 풀려고 하면 돈을 내거나 비트코인을 내라고 합니다.

물론 해당 해커들이 잡히는 경우나 프로그램의 버그 그리고 흔히 이야기하는 재능기부 아니면 보안업체에서 해당 랜섬웨어를 깨뜨리면 암호화된 파일은 복원화가 가능합니다. 다만, 요즈음 해커들은 이런 것도 알고 있기 때문에 개인키를 따로 만들어서 해당 개인키가 없는 경우는 해당 랜섬웨어로 암호화된 파일은 풀 수가 없습니다. 물론 풀려고 하면 사법당국에서 범죄자를 체포하고 그리고 해당 개인키를 획득을 하면 해당 랜섬웨어 복원화도구를 만들어서 배포할 수 있지만 사실상 불가능에 가깝습니다. 즉 기본적으로 랜섬뭬어와 같은 악성코드를 예방하는 방법은 간단합니다.

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

윈도우 보안 업데이트를 하고 그리고 백신프로그램을 설치하거나 보조 백신프로그램 설치 또는 랜섬웨어 감염 예방 프로그램을 설치해서 이에 대비를 하는 방법 그리고 자신이 사용하는 프로그램은 최신 업데이트로 업데이트를 해두어야지 이런 피해로부터 최소화가 가능합니다. 그리고 요즈음 랜섬웨어들은 MBR부분도 암호화하거나 파괴를 하기 때문에 정말 악성코드에 감염되면 머리가 아파집니다. 그래서 지난 시간에 MBR보호 프로그램을 소개를 해주었고 MBR보호 기능이 있는 앱체크라는 프로그램을 소개해 드렸습니다.

일단 오늘 시켜 드리는 랜섬웨어 감염 예방 프로그램인 Ransomoff(랜섬오프)은 기본적으로 무료인데 MBR 보호 기능이 있다고 하는 것이 특징입니다. 일단 특별하게 조작을 할 것이 없고 프로그램을 다운로드 해서 실행을 시켜주면 됩니다. 그리고 기본적인 옵션으로 사용하면 됩니다. 다만, 현재 Ransomoff(랜섬오프)은 RC 버전이라서 조금은 불안정할 수가 있습니다.
그러니까 자신이 한번 설치를 해보고 싶은 분만 설치를 하고 이런 위험 부담을 감수하기 싫은 분들은 정식 버전이 나올 때까지 기다렸다고 설치하는 방법과 아니면 가상 시스템를 통해서 설치를 해보는 것도 좋은 방법입니다. 일단 어느 것을 선택하든 자신이 좋은 방법을 선택하면 될 것입니다.

Ransomoff(랜섬오프)
다만, 앞서 이야기한 것처럼 기본적으로 악성코드에 감염되지 않으려면 자신이 사용하는 최신 프로그램은 항상 최신 업데이트로 유지 관리하면 윈도우 업데이트는 귀찮더라도 시간을 내어서 업데이트를 하고 백신프로그램도 무료로 제공되고 있는 것들도 좋은 것 많으니까 백신프로그램은 반드시 업데이트를 해서 사용을 하시길 바랍니다. 그것이 악성코드를 예방하는 길이면 그리고 제일 중요한 것은 기본적인 보안 수칙인 프로그램을 다운로드 설치를 하려고 하면 반드시 해당 프로그램이 정식으로 서비스하는 사이트에서 다운로드 하고 설치를 하시길 바랍니다. 그리고 토렌트 같은 곳에서 함부로 프로그램이나 동영상을 다운로드 해서 실행을 하는 것도 위험합니다. 그러한 곳에서는 악성코드들도 많이 배포가 되고 있고 물론 백신프로그램에 탐지가 되면 좋겠지만 그렇지 않았으면 악성코드 때문에 개인정보가 노출되는 현상을 피해야 할 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬 웨어도 조금은 잠잠해진 것 같아요
    • 그래도 새로운 랜섬웨어는 해외에서는 많이 제작이 되고 있고 언제 한국에 들어올지 모르니 미리 조심하는것이 좋을것 같습니다.
  2. 다양한 랜섬웨어가 생기는만큼 다양한 방어 프로그램도 많이 생기네요 ㅎㅎ
    • 네~자신에게 맞는 랜섬웨어 예방 프로그램을 사용을 하시면 될것입니다.