한국 사용자를 노리는 랜섬웨어-RansomAES(랜섬AES)

Posted by Sakai
2018.05.14 00:01 소프트웨어 팁/보안

RansomAES 는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 돈을 요구하는 랜섬웨어 입니다.모든 파일은 AES 및 RSA 2048 비트 군사 등급 암호화 알고리즘으로 암호화를 진행을 합니다.RansomAES(랜섬AES)는 암화를 진행을 하고 나서 그리고 파일들의 확장자들은 .RansomAES로 변경을 합니다.일단 악성코드 유포는 기본적으로 페이로드 드로퍼(payload dropper) 또는 웹사이트,토렌트등으로 악성코드를 유포를 합니다.

그리고 파일을 암호화를 하고 나서 RansomAES 는 파일을 암호화하고 감염된 컴퓨터 시스템 내부에 지침이 담긴 몸값을 사용자에게 보여 줍니다.그리고 해당 랜섬웨어는 Satyr Ransomware,Spartacus Ransomware를 참고한 랜섬웨어 입니다.
그리고 암호화를 진행을 하는 파일들은 다음과 같습니다.

asp, .aspx, .bmp, .cdr, .cmd, .config, .cpp, .csv, .dbf, .dll, .doc, .docx, .dwg, .exe, .flv, .gif, .html, .hwp, .ini, .jpg, .js, .mdb, .mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .rtf, .sql, .sqlite, .txt, .vbs, .xls, .xlsx, .xml, .zip
생성되는 파일은 다음과 같은 확장자를 보여 줍니다.
당신의 파일이 암호화되었습니다! 당신에 확장자: .AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com 개인 ID KEY:

바이러스 토탈 결과

그리고 생성되는 GUI 화면 내용은 다음과 같습니다.
당신의 모든 파일이 암호화되었습니다!
당신의 파일이 암호화되었습니다! 당신에 확장자:AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com
Bitcoins 에서 암호 해독에 대한 비용을 지불해야합니다. 가격은 당신이 우리에게 어떻게 쓰는지에 달려 있습니다. 지불 후 우리는 당신에게 모든 파일을 해독할수 었는 해독 도구를 드립니다.
지금 위에 있는 개인 ID는 저희 이메일로 ID를 클립으로 복사해서 ID를 주세요.
일단 기본적으로 해당 랜섬웨어 복구를 하기 위한 비트코인 값은 직접적으로 명시되어있지 않고 간단하게 이메일을 통해서 악성코드 제작자와 연락을 하는 방식입니다.
그리고 해당 랜섬웨어에 감염이 되면 Windows 운영 체제에서 모든 섀도우 볼륨 복사본 을 지우도록 명령어를 실행을 합니다.
vssadmin.exe delete shadows /all /Quiet
그리고 현재 대부분의 백신프로그램에서는 탐지가 되고 있습니다.보통 탐지명은 다음과 같습니다.
Artemis!2B745E0A8DAD
Generic.Ransom.WCryG.334FECBF
Ransom_RAMSIL.SM
Trojan ( 0052dbd31 )
Trojan-Ransom.Win32.Spora.fcp
Trojan.IGENERIC
Trojan/Win32.FileCoder.C2493620
W32/Ransom.PLIR-3520
W32/Trojan.HLCA-1666
Win32:Malware-gen
으로 탐지가 되고 있습니다.바이러스 토탈에서는 쉽게 확인을 할수가 있을것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 주변에 항상 현재 진행형이지만 조금은 잠잠해 지더니 한국 사용자를 노리면 랜섬웨어가 있군요.
    조심하고 또 조심해야겠습니다.
    • 항상 주의하는것이 좋은 방법인것 같습니다.
  2. 특히 조심 해야겠군요 잘 알고갑니다

Apophis Ransomware(아포피스 랜섬웨어)감염 증상

Posted by Sakai
2018.05.07 00:00 소프트웨어 팁/보안

오늘은 Apophis Ransomware(아포피스 랜섬웨어)감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 Apophis Ransomware(아포피스 랜섬웨어)은 일단 개인적인 생각으로는 이집트 신화에 등장하는 거대한 독사를 인용해서 만든 랜섬웨어 인 것 같습니다.

일단 아포피는 이집트어로는 아펩(Apep),아페피(Apepi)로 불리고 있으며 거대한 코브라 또는 맹독을 지닌 독사의 모습을 하고 있으며 태양신 라의 숙적 이면서 라가 하늘을 건너는 배에 올라타 하늘을 일주하고 나서 밤에는 지하세계를 통과하게 되는 과정에서 12시간으로 나누어진 밤의 제7시에 그를 공격합니다.

일단 해당 Apophis Ransomware(아포피스 랜섬웨어)는 일단 지난 시간에 소개해 드린 직쏘 랜섬웨어 하고 비슷하게 생겼습니다. 아마도 직쏘 랜섬웨어를 모방했거나 아니면 변형을 한 랜섬웨어가 아닐까 생각이 됩니다.

일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)은 2018년4월쯤에 발견이 된 랜섬웨어로서 앞서 이야기한 것처럼 Jigsaw Ransomware(직쏘 랜섬웨어)의 변종인 것 같습니다. 일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)는 매크로스크립트가 삽입된 .DOCX를 포함해서 악성코드가 배포되는 방식을 취하고 있으면 이메일 형태로도 전파가 되고 있습니다.

일단 다른 직쏘 랜섬웨어 처럼 24시간 안에 몸값을 지급을 요구하면 악성코드가 감염되면 기본적으로 컴퓨터 안에 있는 파일을 검색하고 다음 확장자들을 검색해서 암호화를 진행합니다.
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm. pptx, .prel, .prproj, .ps, .ps, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip
그리고 해당 암호화 방식은 RSA 및 AES 암호화 방식을 사용해서 암호화되므로 사용자는 파일을 사용할 수가 없으면. fun으로 확장자로 변경해버립니다.
그리고 기본적으로 msiexec.exe를 통해서 악성코드는 실행됩니다.
You have been hacked by Apophis Squad!
We have encrypted your files using AES 256, which is NOT easy to reverse! XD
Do not panic, we will let you fix this by sending us a payment.
However I've already encrypted your personal files, so you cannot access them.
Twitter: @apophissquadv2 Web: apophissquad.rx Maker:P13x13t
[1H COUNDDOWN TIMER]
Time till file delete.
{View encrypted files|BUTTON]
Send $500 worth of Bitcoin here:
[34 자리 랜덤 챕터]
[I made a payment, now give me back my files!]
대충 번역을 하면 다음과 같습니다.
당신은 아포피스 분대에 의해 해킹당했습니다!
우리는 AES 256을 사용하여 파일을 암호화했습니다. XD
당황하지 마시고, 우리에게 지급금을 보내 당신이 해결하도록 하겠습니다.
그러나 이미 개인 파일을 암호화했으므로 액세스 할 수 없습니다.
트위터:@apophissquadv2 웹:apophissquad.rx 제조사:P13x13t
[1H COUNDDOWN TIMER]
파일 삭제까지의 시간.
{암호화 된 파일 보기}
여기에 Bitcoin을 500달러 상당 보내십시오.
[34개의 무작위 챕터]
[지급을 했고, 이제 당신의 파일을 돌려줍니다!]
일단 연결이 되는 사이트는 보면 러시아 사이트를 이용하고 있으면 그리고 랜섬웨어 노트 같은 경우 독일 3 제국인 나치를 상징하는 문장이 있는 것으로 보아서 아마도 나치 추종자가 아닐까 생각이 됩니다. 일단 랜섬웨어에 감염이 되는 것을 최소화하려고 하면 기본적으로 윈도우 업데이트는 무조건 해야 하면 백신프로그램, 백신보조프로그램, 랜섬웨어 방어 프로그램 등을 이용해서 방어해야 하면 그리고 기본적으로 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하는 것을 자제해야 할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

한국을 노리는 랜섬웨어 Magniber 랜섬웨어(메그니베르 랜섬웨어)(README.txt) 복구툴 공개

Posted by Sakai
2018.04.04 17:47 소프트웨어 팁/보안

일단 오늘은 한국을 목표하는 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상에 대해 알아보는 시간을 알아보겠습니다. 일단 랜섬웨어라는것이 기본적으로 개인적으로 사용자이든 공적으로 중요한 문서들을 개인정보 보호하기 위해서 사용이 되는 AES와RSA같은것을 역으로 이용해서 컴퓨터 취약점을 통하거나 또는 토렌트 같은 곳에서 출처가 의심스러운 파일을 실행했으면 랜섬웨어 같은 악성코드에 감염될 수가 있는 확률이 높아집니다.
메그니베르 랜섬웨어(Magniber ransomware)는 다른 랜섬웨어와 다르게 작동하는 것이 일반적인 랜섬웨어들은 기본적으로 자신이 원하는 대로 컴퓨터를 악성코드를 감염을 시키고 나서 자신이 수행하는 랜섬웨어 원칙에 맞게 비트코인을 입금을 하라고 컴퓨터를 검색해서 문서 또는 비디오파일 또는 사진파일들을 암호화시켜 사용자에게 비트코인을 요구를 하는 것이 특징이지만 이번 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)은 언어 점검, 외부 IP 및 지역들을 점검해서 한국에서 사용하는지 확인을 하는 과정을 거치게 됩니다.
즉 한국인이 해당 컴퓨터를 사용하는지 확인을 하려고 윈도우 언어, IP 주소, 지역들을 점검한다는 점에서 한국인을 노리는 랜섬웨어 입니다. 일단 해당 랜섬웨어는 기본적으로 CVE-2016-0189 취약점을 노린다는 점입니다. 즉 윈도우 업데이트를 하면 해당 랜섬웨어는 피해갈 수가 있습니다.
해당 CVE-2016-0189는 Internet Explorer의 메모리 손상 취약점입니다. 그리고 오랫동안 보이지 않고 있었던 Cerber ransomware(사이버 랜섬웨어)의 귀환을 알리는 랜섬웨어이기도 합니다.

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

일단 2017년 10월 중순경부터 한국어 운영체제를 사용하는 사용자에게 파일 암호화 행위가 이루어지는 랜섬웨어 입니다. 즉 기본적으로 윈도우 보안 업데이트 및 기타 프로그램에서 제공하는 보안 패치를 잘하면 해당 랜선웨어는 걸릴 확률이 줄어듭니다.
최근에 한국에 대표적인 보안 업체인 안랩(AhnLab)에서 최근에 유포되고 있는 Magniber 랜섬웨어(메그니베르 랜섬웨어)의 취약점을 확인하며 무료로 복구할 수가 있는 복구 도구를 공개했습니다. 다만, 기존에 유포된 랜섬웨어인 Magniber 랜섬웨어 중 "_HOW_TO_DECRYPT_MY_FILES_<Random>_.txt, READ_ME_FOR_DECRYPT_<Random>_.txt, READ_ME_FOR_DECRYPT.txt, READ_FOR_DECRYPT.txt, READ_ME.txt" 메시지 파일을 생성했던 변종은 복구할 수 없으며, 최근에 파일 암호화 후 생성되는 README.txt 메시지 파일이 생성되는 경우에만 복구할 수 있습니다.

일단 해당 랜섬웨어 복구를 하려면 기본적으로 파일 복구를 위해서는 반드시 키(Key)값과 벡터(Vetor)값을 사용자가 알고 있어야 합니다.

벡터(Vetor)값은 Magniber 랜섬웨어 감염으로 생성된 README.txt 파일에 표시된 URL 주소의 뒷자리 값으로 사용자가 확인할 수가 있습니다.

그리고 사용자는 기본적으로 암호화된 파일 확장명과 벡터값만 확인할 수 있으며 암호화에 사용된 공개키 정보는 알 수 없기에 안랩(AhnLab) 블로그에서는 지속적으로 복구 가능한 확장명을 기준으로 키 정보를 공개할 예정할 예정입니다. 일단 2018년 4월 2일경에 유포된 Magniber 랜섬웨어 변종에 의해 암호화된 파일은 .hxzrvhh 확장명으로 암호화된 경우에는 다음과 같이  적용을 할수가 있을것입니다.

암호화된 파일 확장명:.hxzrvhh
키(Key):EsoNSQ0oaSE614v
벡터(Vetor):lEF91UX3DHb1N194
암호화된 파일 확장명:.gcwssbfuw
키(Key)::B4484pQ2w3y6Icq6
벡터(Vetor):X0x117b1Um535FD8
4월 3일
암호화된 파일 확장명:.jxrhgat
키(Key):CZH7Fy6Q537ycWX3
벡터(Vetor):R9Ltm45J2oVk7ciZ
4월 3일
암호화된 파일 확장명:.qgsxyzidg
키(Key):g5eIdGlVqO9s1Naj
암호화된 파일 확장명:Nu4996t2h6m7K3bx

입니다.
일단 안랩에서 제공을 하는 Magniber 랜섬웨어 복구툴을 임의의 폴더에 다운로드한 후 실행을 위해서는 명령 프롬프트를 관리자 권한으로 실행합니다. 그리고 나서 Magniber 랜섬웨어 복구툴이 위치한 폴더로 지정하면 됩니다.
암호화된 개별 파일 복구 방법
Magniber 랜섬웨어에 의해 암호화된 파일 중 사용자가 특정 암호화된 파일만을 복구하는 방법은 다음과 같습니다.
먼저 CMD 명령 프롬프트 창에 MagniberDecryptV1 /f "암호화된 파일 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vetor)> 씩으로 입력을 하시면 됩니다.
정 폴더 내의 파일 전체를 복구하는 방법
Magniber 랜섬웨어에 의해 암호화된 파일을 사용자가 특정 폴더 내에 모두 넣고 파일들을 일괄적으로 복구하는 방법은 다음과 같습니다.
CMD 명령 프롬프트 창에 MagniberDecryptV1 /d "암호화된 파일이 존재하는 폴더 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vetor)> 방식으로 정보를 입력하시면 됩니다.
물론 해당 방법은 일시적으로 사용할 수가 있습니다. 왜냐하면, 악성코드를 제작하는 사람들이 바꾸어 버리면 끝이니 때문입니다.
그리기 때문에 귀찮더라도 기본적으로 윈도우 업데이트를 꺼버리는 것은 하지 말며 그리고 랜섬웨어 방어 프로그램은 반드시 설치를 해서 사용을 하시면 됩니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

한국인만 노리는 랜섬웨어-RansomUserLocker Ransomware 감염 증상

Posted by Sakai
2018.02.02 19:59 소프트웨어 팁/보안

오늘은 히든티어로 제작된 RansomUserLocker Ransomware 감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 Hidden Tear(히든티어)라는것은 2015년 8월 중순 GitHub 페이지에 공개돼 있고 누구나 내려받아서 사용할 수가 있는 교육용 랜섬웨어 제작도구입니다. Hidden Tear라는 프로젝트는 전적으로 오픈 소스입니다. 해당 프로그램은 터키의 프로그램 어인 Utku Sen이라는 사람이 제작할 걸로 알고 있습니다.

해당 히든티어는 proof-of-concept은 AES 암호화를 사용하여 감염된 시스템의 데스크톱에서 \ test디렉토리에있는 파일을 인코딩하며 해당 약어는 Advanced Encryption Standard의 약자이며 원래 Rijndael로 알려 진이 알고리즘은 대칭적입니다. 즉, 암호화 및 암호 해독 키가 동일 함을 의미하며 키의 길이는 128,192 또는 256비트가 될 수 있습니다. 그리고 랜섬웨어는 운영자만 사용할 수 있도록 원격 서버에 키를 전송하며 데이터를 복구하려면 감염된 사람이 특수하게 조작한 암호 해독 프로그램과 비밀 키를 처분할 수 있어야 합니다.

또한, 두 가지 전제 조건은 협상 대상이거나 가해자와 사용자 사이의 협상이 되기 마련입니다. 해당 랜섬웨어는 자세한 복구 지침과 관련 하이퍼 링크가 포함된 문서를 바탕 화면에 생성합니다. 그리고 파일 크기 12KB 밖에 되지 않아서 이메일을 통해서 전파가 가능하면 백신프로그램 제작자들은 이를 탐지하기 위해서 고생을 하시고 있습니다.

그리고 해당 히든티어를 통해서 프로그램에 대해서 조금만 알면 랜섬웨어를 만들어서 가상화폐를 얻을 수가 있습니다. 일단 해당 랜섬웨어인 RansomUserLocker Ransomware 은 한국인을 대상으로 제작되었으면 그리고 한국인이 제작했다는 것을 쉽게 파악할 수가 있습니다. 예를 들어 빗썸같은 한국에 있는 가상화폐거래소 주소를 통해서 구매하고 송금하라는 메시지를 볼 수가 있습니다. 그리고 해당 랜섬웨어에 감염이 되면 RansomUserLocker 확장자로 암호화됩니다.

악성코드는 다양한 방법을 사용하여 스팸 메일을 통해 전달될 수 있으며 그 중 하나는 맬웨어 첨부 파일 이 포함 된 메시지를 만드는 데 의존하기도 하면 다른 사회 공학 기법을 사용하여 악성코드 제작들은 희생자를 조작하고 강요하여 상호 작용할 수 있으며 맬웨어 사이트에서 호스팅 되는. RansomUserLocker 바이러스 샘플을 메시지에 연결할 수 있습니다. 일단 여기서 사회공학기법이라는 것은 쉽게 이야기해서 최근에 평창동계올림픽이 열리는데 평창동계올림픽으로 속인 가짜 사이트 또는 악성코드를 만들어서 사용자가 실행하는 방식입니다. 즉 사람들이 관심이 있는 부분을 이용하는 방법입니다. 그래서 함부로 클릭을 하거나 사이트에 들어가지 말라는 이유입니다.
염이 발생하면 실행되는 첫 번째 작업 중 하나는 정보 수집 모듈입니다. 해당 랜섬웨어 자체는 컴퓨터 호스트에서 중요한 정보를 수집하기 위해서 작업을 수행하며 대개 두 가지 주요 유형으로 분류됩니다.
익명의 통계: 범죄자는 공격 캠페인의 효율성을 결정하는 데 유용한 정보를 수집할 수 있습니다.
개인 구별 정보: 이 유형의 데이터는 사용자 신원을 직접 노출하는 데 사용될 수 있습니다. 악성코드 엔진은 피해자의 이름, 주소, 전화번호, 관심사 및 암호와 관련된 문자열을 검색할 수 있습니다.
그리고 정보 수집 엔진은 개별 컴퓨터 호스트에 할당된 고유한 피해자 ID를 계산하기 위해 추출된 정보를 사용하며 구성에 따라 데이터는 모듈이 실행을 완료하거나 네트워크 연결이 완료되고 해커 운영자에게 릴레이 될 수 있습니다. 그리고 해당 랜섬웨어는 분석을 당하는 것을 싫어해서 샌드 박스 및 디버그 환경 및 가상 컴퓨터상태에서 감염되었는지 검사도 합니다.

그리고 해당 랜섬웨어가 감염이 되면 다음 파일들을 암호화합니다.

.asp, .aspx, .bat, .bmp, .csv, .doc, .docx, .html, .hwp, .java, .jpg, .kys, .mdb, .mp3, .odt,.pdf, .php, .png, .ppt, .pptx, .psd, .rtf, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml, .zip

그리고 랜섬웨어 노트는 다음과 같습니다.

당신의 컴퓨터가 랜섬웨어 감염되었습니다.
1. 당신의 컴퓨터에 무슨 일이 일어났나?
당신의 개인적 파일 예를 들어 사진, 문서, 비디오 및 기타 중요한 파일을 비롯한 개인 파일은 강력한 암호화 알고리즘인 RSA-2048로 암호화되었습니다. RSA 알고리즘은 컴퓨터의 공개 키와 개인 키를 생성합니다. 공개 키는 파일을 암호화하는 데 사용되었습니다.
개인 키는 파일의 암호를 해독하고 복원하는 데 필요합니다.
당신의 개인 키는 우리의 서버에 저장되었습니다. 그리고 장단 하건대 개인키가 없이는 절대 복호화가 이루어지지 않습니다.
RSA 알고리즘: https://namu.wiki/w/RSA%20암호화
2. 어떻게 당신의 파일을 복호화 하나요?
당신은 "24" 시간 안에 지급하셔야 합니다.
만약 그 시간 안에 지급하지 않으면 당신의 개인키는 자동으로 우리의 서버로부터 지워지게 됩니다.
그렇게 되며 그 누구도 당신의 파일을 영원히 복호화할 수가 없습니다.
시간을 낭비하지 마세요.
3. 개인 키를 위해 지급하는 방법은 어떻게 되나요?
세 가지 스텝을 따라 당신의 파일을 복구하세요.
1). 지급은 비트코인 만으로만 가능합니다. 따라서 1 BTC를 구입 한 후 아래 주소로 보내주십시오. 그 후 화면 (랜섬노트)비트코인 주소(Bitcoin Adress)로 1비트코인(1BTC)를 송금하세요.
2). 당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요.
Official Mail:owerhacker@hotmail.com
당신의 개인 ID(Personal ID)를 반드시 확인하세요.
3) 지급을 완료하시고 메일을 보내 시주 시면 당일의 당신의 메일로 암호 해독기와 개인 키를 받게 됩니다.
4.비트코인은 어떻게 구매하나요?
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
비트코인 구매방법
1) 코빗(KoBit)
공식주소:www.localbitcoins.com
2)코인원(CoinOne)
공식주소:www.coinone.com
3)빗썸(Bithumb)
공식주소:www.bithumb.com
4)비트코인을 송금하시고 메일로 개인ID(Personal ID)를 코리아 공식메일 주소로 보내주세요.
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
라고 적혀져 있습니다. 그런데 이게 한가지 알고 보면 저번에 소개해 드린 랜섬웨어인 koreanLocker Ransomware를 보면 일단 이메일 주소는 바뀌었고 비트코인 주소는
Email:powerhacker03@hotmail.com
BTC:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
인 것으로 보면 일단 비트코인 주소가 같은 것으로 보면 일단 해당 랜섬웨어 제작자는 같은 것을 볼 수가 있습니다. 그리고 영어로 번역하면 다음과 같습니다.
1. What's wrong with your computer?
Your personal files, including your photos, documents, videos and other important files have been encrypted with RSA-2048, a strong encryption algorithm. The RSA algorithm generates public and private keys for your computer. The public key was used to encrypt files. A private key is needed to decrypt and restore files. Your private key is stored on our secret server. No one can recover your files without this key.
2. How do I decrypt my files?
To decrypt and restore files, you must pay for the secret key and decryption. You only have 24 hours to make a payment. If payment is not made during this time, then your private key will be automatically deleted from our server. Do not waste your time, because there is no other way to recover your files, other than paying for foreclosures.
3. How do I pay for my private key?
Follow these steps to pay and restore files:
1). Payment is possible only in bitcoins. Therefore, please buy 1 BTC, and then send it to the address below.
2). Send your ID (Personal ID) to our official email address below:
Official Mail: owerhacker@hotmail.com
Be sure to check your personal information. Please refrain from insults and send me an email the same day.
Your personal ID is listed in the title of this screen.
3). You will receive a decryptor and private key to restore all files in one working day.
4. How to find and buy bitcoins?
Buy and send 1 bitcoin to our bitcoin-purse: 1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
Please buy bitcoins and send your ID by mail to our official email address.
We are not good people. But we must keep in the area where we do it.'

일단 이메일 주소만 바뀌었을 뿐 내용도 비슷합니다. 다만, 지난 koreanLocker Ransomware 랜섬웨어 노트 내용에서 조금 발전한 모습을 볼 수가 있습니다. koreanLocker Ransomware 랜섬웨어 노트는 다음과 같습니다.

------------------ koreanLocker Ransomware ------------------
당신의 컴퓨터가 랜섬웨어에 감염되었습니다.
당신의 개인적 파일, 예를 들어 사진, 문서, 비디오 외 다른 중요한 문서들이 RSA-2048이란 강력한 암호화 알고리즘을 이용하여 암호화되었습니다.
당신의 개인키는 우리의 서버에 생성되어 저장되었습니다.
그렇게 되면 그 누구도 당신의 파일을 영원히 복호화할 수 없습니다.
그리고 장담하건대 개인키가 없이는 절대 복호화가 이루어지지 않습니다.
다시 한 번 말하지만 비트코인을 지급하는 것 외해 복호화하는 방법은 존재하지 않습니다.
당신에게 할당된 비트코인 주소를 반드시 확인하세요. 한 글자라도 틀리게 입력하여 보내시면 복구가 되지 않고 당신의 비트코인은 사라지게 됩니다.
당신은 24시간 안에 지급하셔야 합니다.
당신의 개인 ID(personal ID)를 반드시 확인하세요.
만약 그 시간 안에 지급하지 않으면 당신의 변경하기는 자동으로 우리의 서버에서 지워지게 됩니다.
명심하세요.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
세 가지 스텝을 따라 당신의 파일을 복구하세요.
시간을 낭비하시지 마세요.
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (.txt)를 보실 수 있습니다.
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달렸음을 명심하시기 바랍니다.
추가정보:
1). 지급은 비트코인 만으로만 가능합니다. 따라서 1비트코인(1BTC)를 비트코인 거래소를 통하여 구매하세요. 그 후 화면(랜섬노트)비트코인 주소(Bitcoin Address)로 1비트코인(1BTC)를 송금하세요.
2). 당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요.
3). 지급을 완료하시고 메일을 보내 시주 시면 당일의 메일로 복호화툴과 개인키를 보내드립니다.
4) 비트코인을 송금하시고 메일로 개인 ID(Personal ID)를 코리아 공식메일 주소로 보내주세요.
***
개인키(Private Key)는 당신의 파일을 복호화하여 복구하는데 아주 중요한 키입니다.
공개키(Public key)는 당신의 파일을 암호화하는 데 사용되었습니다.
공식주소: www.bithumb.com
공식주소: www.coinone.com
공식주소: www.localbitcoins.com
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Official Mail: powerhacker03@hotmail.com
***
Best Regards
Korean Ransomware Team
------------------ koreanLocker Ransomware ------------------

그리고 한국인들이 가장 많이 사용이 되는 나무위키에 있는 RSA 관련 글을 링크를 해두어서 사용자들에게 공포를 조장하고 비트코인을 요구하는 것은 똑같은 수법입니다.

그리고 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내기 위해서 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다.

그리고 랜섬웨어에 걸리면 절대로 랜섬웨어 제작자 한테 가상화폐를 보내지 마세요.그러면 또 다시 이 같은 범죄는 계속 이어질것입니다.그리고 랜섬웨어에 걸리기 전에 외장하드디스크 하나 장만 해서 그곳에서 백업을 해두세요.

그것이 그나마 안전한 방법이며 랜섬웨어 방지 프로그램은 항상 설치해서 사용을 하시길 바랍니다.그리고 백업프로그램은 윈도우 백업을 이용하거나 인터넷에 백업 전문 프로그램 무료 버전과 유료버전이 있으니 자신이 원하는 것을 선택해서 백업을 하시면 되고 하드디스크가 씨게이트 또는 WD같은 경우에는 백업프로그램을 홈페이지에서 일부 기능이 제한된 백업프로그램을 다운로드 해서 백업과 복원이 가능 합니다.

<기타 관련 글>

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 소개] - 무료 하드디스크 백업 프로그램-AOMEI Backupper Standard Edtion

[소프트웨어 소개] - 컴퓨터 드라이브 백업 도구-Double Driver

[소프트웨어 팁] - Seagate DiscWizard(씨게이트 디스크 위자드)를 활용한 하드디스크 백업하기

[소프트웨어 팁] - Windows 7 시스템 이미지 백업하기!

[소프트웨어 팁] - 원도우에서 복구 파티션을 만드는 방법

[소프트웨어 팁/보안] - 히든티어로 제작된 변종 카카오톡 랜섬웨어 감염 증상

[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

비트코인 및 가상화폐 가격 변동을 볼수가 있는 윈도우 스토어-CryptoTracker

Posted by Sakai
2017.12.22 03:56 브라우저 부가기능/윈도우 스토어

오늘은 비트코인 및 가상화폐 가격 변동을 볼수가 있는 윈도우 스토어인 CryptoTracker에 대해 알아보겠습니다.일단 비트코인은 사토시 나카모토(Satoshi Nakamoto)가 만들었고 비트코인은 2009년 1월 3일 사토시 나카모토가 개발한 세계 최초의 암호화폐이며 ISO 코드 4217, XBT 또는 BTC이며 기존 화폐와 달리 정부나 중앙은행, 금융기관의 개입없이 P2P의 빠르고 안전한 거래가 가능하고 그리고 금처럼 유통량이 한정되어 있다는 것이 특징을 가지는 암호화 화폐입니다.

일단 기본적으로 일단 좋은 데로는 잘 사용이 되지 않고 마약거래, 성매매, 불법무기거래 등 어둠이 경로의 거래에 사용되고 있고 그리고 악성코드 제작자들은 AES, RSA 같은 암호화 파일을 이용해서 사용자 파일을 암호화하고 해당 암호화를 풀어주는 대가로 예전에는 돈을 요구했지만, 이제는 비트코인 같은 비트코인을 요구를 하고 있습니다.

일단 비트코인을 얻으려면 돈을 주고 구매를 하는 방법과 직접 비트코인 채굴기를 만들어서 CPU나 GPU 병렬로 연결해서 사용해서 비트코인을 채굴을 합니다.

물론 이런 비트코인을 채굴을 하려고 악성코드를 만들거나 사이트에 스크립트를 넣어서 비트코인 등과 같은 가상화폐를 사용하기도 합니다. 그리고 앞으로 100년간 발행될 비트코인 화폐량이 미리 정해져 있으며 2,100만 개까지만 발행됩니다. 즉 한정이 돼 있어서 최근에 투기 현상이 일어나고 있기도 합니다.비트코인 채굴은 다음과 같이 진행이 됩니다.

Panasonic | DMC-GX80

CryptoTracker

사용자가 송금 버튼을 누르면 거래내용이 네트워크를 통해 주변 노드로 전파되기 시작을 합니다. 그리고 각 채굴 노드는 거래 내용을 검증 거친 후, 이들을 하나로 모아 하나의 블록으로 만들게 되고 채굴 노드는 블록에 무작위로 숫자를 더하고 SHA-256 암호화 함수를 계산합니다. 암호화 결과가 일정 난이도를 통과하면 블록 생성이 성공되고 다시 해당 결과가 주변 노드에 전파되며 이때 블록마다 주어지는 현상금과 각 거래에 포함된 수수료가 블록 생성에 성공한 채굴 노드에 주어집니다.

새 블록이 생성되면 각 노드는 올바른 블록인지 검증되고 블록에 포함된 정보가 모두 올바른 정보일 경우 승인이 이루어집니다. 그리고 채굴 문제를 풀면 나오는 비트코인의 양은 대략 4년마다 절반씩 줄어들어 들고 최종적으로는 총량이 약 2,100만 비트코인을 얻기 돼 있습니다. 일단 해당 윈도우 스토어에 있는 CryptoTracker는 간단하게 Bitcoin, Ethereum, Litecoin를 가격을 볼 수가 있습니다.

단위는 마지막 시간당, 일, 주, 월, 년으로 볼 수가 있으며 현재는 EUR, USD, CAD 및 MXN을 지원을 합니다.

그리고 해당 계발 자는 지갑 주소를 추가해서 포트폴리오를 자동으로 추가할 수가 있는 기능을 추가한다고 합니다. 일단 가상화폐에 관심이 있으신 분들은 한번 참고 하시는 것도 좋을 것 같습니다.

참고로 개인적으로 사용하는 보조 백신프로그램에서는 2017년12월21일 오후 2시쯤에는 Zemana AntiMalware에서 유해한 파일이라고 탐지가 되었습니다. 일단 Zemana AntiMalware 특징상 오진이 있을 수가 있으면 해당 부분은 참고 하시면 될 것입니다.
먼저 해당 CryptoTracker를 설치를 하고 실행을 하면 다음과 같은 화면을 볼 수가 있습니다.

일단 가격은 Bitcoin, Ethereum, Litecoin 가격이 나오는 것을 볼 수가 있으면 각각의 가상화폐 옆에는 최고, 최저, 개장했을 때 가격을 볼 수가 있습니다.
그리고 자신이 원하는 가상화폐를 선택하면 챠트가 나올 것이고 그리고 마우스로 클릭하면 해당 가격 변동부분을 볼 수가 있습니다. 그리고 환경설정에서는 달러, 유로화, CAD를 통화를 변경할 수가 있습니다. 일단 비트코인과 같은 가상화폐에 관심이 있으신 분들만 보시면 될 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 요즘 가상화폐에 투자하는 분들이 많더라구요 덕분에 잘 알고 갑니다
    • 개인적으로 가상화폐에 투자하는것은 위험해보이더라고요.
  2. 좋은 정보 잘보고갑니다. 행복한 아침되세요^^

랜섬웨어 예방 프로그램-RansomStopper

Posted by Sakai
2017.12.18 14:31 소프트웨어 팁/보안

랜섬웨어(Ransomware)이라고 하는 것은 기본적으로 AES, RSA 같은 암호화 알고리즘을 이용해서 사용자의 컴퓨터에 있는 특정 파일을 대상으로 공격해서 파일을 암호화하거나 또는 하드디스크에 있는 파일들을 삭제해서 컴퓨터 사용자에게 돈을 요구하면 돈을 받으면 암호화를 풀어 준다고 협박을 하는 악성코드입니다. 최근에는 기본적으로 가상화폐인 비트코인을 요구하기도 합니다.

물론 해당 비트코인을 지불을 한다고 해도 해당 암호화된 파일들이 풀어준다는 보장은 없습니다. 일단 랜섬웨어(Ransomware)은 기본적으로 예방하는 것이 제일 좋은 방법입니다.

즉 기본적으로 윈도우 업데이트를 기본적으로 하면 백신프로그램을 사용하면 자신이 사용하는 프로그램들은 항상 최신으로 이용하면 토렌트 같은 곳에서 영화를 내려받기를 해서 보다가 랜섬웨어 같은 악성코드에 감염되는 경우 이메일을 통해서 감염되는 경우 아니면 불법 사이트에 접속했다가 감염이 되는 경우 아니면 특정 사이트에서 취약점을 통한 감염 등 여러 가지 방법으로 사용자의 컴퓨터에 감염되기도 합니다.

오늘 소개해 드리는 소프트웨어인 RansomStopper이라는 프로그램은 CyberSight 사에서 제작을 해서 배포를 하는 프로그램입니다. 물론 랜섬웨어는 단순하게 비트코인을 요구를 통한 돈을 위한 목적도 있지만, 정치적인 랜섬웨어 들도 많이 있습니다. 예전에 소개해 드린 이스라바이라는 랜섬웨어 일 것입니다.
RansomStopper라는 프로그램은 컴퓨터에 침입하는 악성코드들을 예측, 탐지 및 차단 및 행동 분석을 수행하는 보안 소프트웨어입니다.
일단 해당 RansomStopper는 무료 안티 랜섬웨어 소프트웨어로 행동 분석 및 기만 기술을 사용하여 예방, 탐지 및 랜섬웨어 공격을 방지합니다, 그리고 랜섬웨어가 사용자의 컴퓨터를 공격하는 것을 탐지할 수가 있습니다. 일단 해당 프로그램인 RansomStopper의 특징은 다음과 같습니다.
행동 분석-소프트웨어에는 기존 또는 잠재적인 랜섬웨어 를 탐지할 수 있는 특허받은 행동 분석 및 기만 기술이 포함되어 있어 PC를 악의적인 암호화로부터 보호합니다.

[보안] - 이스라엘을 목표를 하는 랜섬웨어-Israby Ransomware(이스라바이 랜섬웨어)

RansomStopper

디코이,허니팟:RansomStopper는 허니팟 기술에서 작동합니다. 해당 프로그램 실제로 침입자를 유혹하여 공격을 탐지하도록 설정된 시스템 함정이면서 현재 사이버 범죄자들과 싸우는 가장 좋은 보안 도구 중 하나입니다.
다층 방위 및 실시간 경보 다층 보안 및 실시간 경보 기능을 통해 이 프리웨어는 컴퓨터가 악성코드로부터 안전한지 확인합니다.
완전 자동화된 소프트웨어이므로 특별하게 컴퓨터 사용자가 설정을 변경하거나 구성할 필요가 없습니다.
공격 방법에 관계없이 보호: 사이버 공격자는 다양한 방법을 사용하여 악성 링크를 보내고 PC에 대한 무단 액세스를 허용하지만 RansomStopper는 가능한 모든 방법을 통해서 컴퓨터를 랜섬웨어로 부터 보호합니다.
일단 기본적으로 간단하고 사용하기 쉬운 소프트웨어이며 직관적인 인터페이스가 제공되며 특별한 기술 노하우가 필요 없고 모든 백신 프로그램 및 기타 보안 솔루션과 호환되며 인터페이스는 매우 직관적이며 간단하게 구성이 돼 있습니다. 일단 기본적으로 윈도우 7,윈도우 8,윈도우 10에서만 사용할 수 있으면 윈도우 XP,윈도우 비스타같이 기술지원이 종료된 운영체제는 지원하지 않습니다. 일단 해당 프로그램이 익숙하지 않은 분들은 지난 시간에 소개해 드린 앱체크, 안랩에서 제공하는 랜섬웨어 예방 도구 등을 설치하면 됩니다. 일단 한번 사용을 해보고 싶은 경우에는 가상환경에서 한번 사용을 해보시는 것도 좋은 방법이라고 생각이 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

스캐럽 랜섬웨어(Scarab Ransomware) 감염 및 예방 방법

Posted by Sakai
2017.11.28 00:31 소프트웨어 팁/보안

오늘은 스캐럽 랜섬웨어(Scarab Ransomware) 감염 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 스캐럽 랜섬웨어(Scarab Ransomware)은 일단 기본적으로 스팸 전자 메일, 전자 메일 첨부 파일, 실행 파일 형태로 악성코드가 감염이 이루어집니다. 스캐럽(Scarab)처럼 풍뎅이입니다. 아마도 해당 랜섬웨어를 만든 사람이 풍뎅이를 좋아해서 붙였을 것 같습니다. 스캐럽 랜섬웨어(Scarab Ransomware)은 일단 앞서 이야기한 것처럼 이메일 형태로 배포됩니다. 스팸 패턴은 기본적으로 Necurs 봇넷(Necurs botnet)으로 유포가 되며 AES 암호화 알고리즘을 사용하고 있습니다. 일단 해당 랜섬웨어에 감염이 되며 언제나 현금보다는 가상화폐인 BitCoin(비트코인)으로 몸값을 지급을 요구합니다. 그리고 나서 암호화한 파일 확장자 이름은 .scarab으로 변경을 해버리고 IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT이라는 파일을 추가합니다. 일단 전자메일은 Lexmar, HP, Canon, Epson 등과 같은 유명한 회사의 이름을 내세워서 해당 회사에서 직접 이메일을 보낸 것처럼 속이는 이메일을 무작위로 보냅니다. 이메일 자체에는 .vbs 파일로 된 7Zip 형식의 파일이 포함되어 있고 해당 VBS 스크립트가 활성화되면 Scarab ransomware의 악의적인 파일인 .exe 실행 파일 유형을 내려받고 실행하는 원격 호스트에 연결을 시도합니다. 물론 이메일을 통해서 배포만 이루어지지 않습니다. 배포 방식은 다양합니다.
Exploit kits,Web injectors,Fake updates.,E-mail spam messages.,Malicious e-mail attachments.,Web-injectors,Infected software setups,Malicious macros 즉 스팸메일, 이메일에 포함된 첨부파일 방식, 악성코드에 감염된 프로그램, 악성 매크로, 가짜 업데이트,윈도우,어도비 플래시플레이어, 브라우저 취약점을 활용해서 악의적으로 제작된 웹사이트에 접속하자마자 다운로드 해서 실행을 하는 방법 등 여러 가지 방법이 있습니다.

스캐럽 랜섬웨어(Scarab Ransomware)은 악의적인 목적이 있는 사람이 사용하는 명령 및 제어 서버에 연결할 수 있으며 다음에는 스캐럽 랜섬웨어(Scarab Ransomware)는 감염된 컴퓨터의 시스템 정보를 중계하고 악성 실행 파일 내의 기능을 사용하여 감염된 컴퓨터를 고유번호로 구별합니다. Scarab Ransomware의 악의적으로 제작된 파일은 무작위로 명명된 .exe 파일이며 다양한 % SystemDrive % 디렉터리에 존재합니다. 그리고 암호화를 시작하고 나서 IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT라는 텍스트 파일을 만듭니다.
그리고 해당 랜섬웨어 노트는 다음과 같습니다.

*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
Your files are now encrypted!
—–BEGIN PERSONAL IDENTIFIER—–
**************************************
—–END PERSONAL IDENTIFIER—–
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: qa458@yandex.ru
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
‘Buy bitcoins’, and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
*** 모든 파일을 가져오고 싶다면이 파일을 읽어주십시오 ***
이제 파일이 암호화됩니다!
- 최초 개인 신상 기록자 (BEGIN PERSONAL IDENTIFIER)
***************************************
- 개인 신상 기록
모든 파일은 PC의 보안 문제로 말미암아 암호화되었습니다.
이제 귀하의 개인 식별자를 이메일로 보내주십시오.
이 전자 메일은 암호 해독 키 비용을 지급할 준비가 되었음을 나타냅니다.
Bitcoins에서 암호 해독에 대한 비용을 지급해야 합니다. 가격은 당신이 우리에게 얼마나 빨리 쓰는지에 달렸습니다.
지급 후 모든 파일을 해독할 수 있는 해독 도구를 보내드립니다.
이 이메일 주소로 문의하기 :qa458@yandex.ru
보증으로 무료 암호 해독!
지급하기 전에 무료 암호 해독을 위해 최대 3개의 파일을 보낼 수 있습니다.
파일의 전체 크기는 5MB 미만 (보관되지 않음)이어 야하며 중요한 정보 (데이터베이스, 백업, 큰 Excel 시트 등)가 포함되어서는 안 됩니다.
Bitcoins을 얻는 방법?
* 비트 코인을 사는 가장 쉬운 방법은 LocalBitcoins 사이트입니다. 등록을 클릭해야 합니다.
구매 비트 코인'을 선택하고 지급 방법 및 가격별로 판매자를 선택하십시오.
https://localbitcoins.com/buy_bitcoins
* 또한, Bitcoins 및 초보자 가이드를 구입할 수 있는 다른 장소를 찾을 수 있습니다 :
http://www.coindesk.com/information/how-can-i-buy-bitcoins
주의!
* 암호화된 파일의 이름을 변경하지 마십시오.
* 타사 소프트웨어를 사용하여 데이터의 암호 해독을 시도하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
* 제3자의 도움을 받아 파일을 해독하면 가격이 올라가고 (우리 회사에 요금이 추가됨) 사기의 희생자가 될 수 있습니다.

일단 보면 3개 정도는 무료로 복원화 해주지만 나머지 파일을 복원화 하려면 비트코인을 보내어야 풀 수가 있다는 것을 볼 수가 있으면 그리고 친절하게 비트코인이 없는 사람들을 위해서 비트코인을 구매를 할 수가 있게 비트코인을 구매를 할 수가 있는 주소와 그리고 비트코인이 무엇인지 모르는 사람들을 위해서 비트코인에 대한 초보자 가이드를 제공하는 비트코인 구매 사이트 주소를 볼 수가 있습니다.
그리고 해당 랜섬웨어를 제거를 하고 파일을 복구할 수가 있을 수 있는 시스템복원도구인 섀도우 볼륨 복사본을 삭제합니다.
암호화 대상이 되는 파일 확장자들은 다음과 같습니다.

PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG

일단 섀도우 볼륨 복사본이 삭제되지 않았으며 먼저 랜섬웨어를 제거를 하고 나서 Shadow Explorer(새도우익스플로워)를 이용을 해서 파일을 이용해서 시도합니다. 물론 100% 복구된다는 보장은 없습니다.

그리고 이런 랜섬웨어에 감염이 되지 않으려면 출처가 불분명한 사이트에 있는 사이트에 있는 파일을 내려받기 실행을 하지 않으며 그리고 윈도우 업데이트를 최신업데이트로 유지를 하면 그리고 백신프로그램 사용과 자신이 사용하는 프로그램은 항상 최신 업데이트를 유지를 하면 만약을 대비해서 외장하드디스크에 중요한 파일은 반드시 백업을 해두고 사용을 하는 것도 좋은 방법일 것입니다. 그리고 랜섬웨어 방지 프로그램을 사용하는 것도 좋은 방법일 것입니다.

<기타 관련 글>

[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 소개/소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 불분명한 출처 정말 중요한거 같습니다.
    • 네~저도 그렇게 생각을 합니다.프로그램을 정식 경로가 아닌 토렌트 같이 출처가 불분명한곳을 이용을 하면 악성코드에 감염이 될 가능성이 매우 높습니다.
  2. 랜섬웨어위 종류 그리고 감염경로가 정말 많네요. 오늘은 스캐럽 랜섬웨어(Scarab Ransomware) 감염 및 예방 방법 글 잘 보고 갑니다.

    기분좋은 화요일 보내시길 바래요
    • 어차피 랜섬웨어 같은 악성코드 같은 경우에는 기본적인 보안 수칙을 지키면 안전하게 컴퓨터를 사용을 할수가 있습니다.
  3. 새로운 랜섬웨어군요 잘알고 갑니다
  4. 새로운 정보 잘 배우고 가네요
  5. 랜섬웨어는 정말 무섭습니다. 종류가 너무 많아서 예방도 쉽지 않은것 같아요.
    조심하는수 밖에요.
    • 기본적인 보안 수칙과 랜섬웨어예방프로그램을 설치해서 사용을 하면 도움이 될것입니다.

크립토믹스 랜섬웨어(Cryptomix Ransomware) 새로운 변종-0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)

Posted by Sakai
2017.11.19 00:01 소프트웨어 팁/보안

오늘은 최근에는 발견이 되고 조금 오래된 크립토믹스 랜섬웨어|Cryptomix Ransomware)의 새로운 변종인 0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)이 발견이 되었습니다.해당 랜섬웨어인 0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)은 일단 기본적으로 다른 랜섬웨어와 같이 랜섬웨어가 작동을 해서 암호화 하는 방법은 똑같습니다.그리고 _HELP_INSTRUCTION.TXT이라는 파일을 생성을 하면 해당 _HELP_INSTRUCTION.TXT안에는 랜섬웨어 제작자와 연결을 할수가 있게 이메일이 포홤이 되어져 있습니다.
일단 이메일 주소를 보면 y0000@tuta.io, y0000@protonmail.com, y0000z@yandex.com 및 y0000s@yandex.com입니다.보시면 기본적으로 tuta 보안 메일과 그리고 protonmail을 사용을 할수가 있는것을 확인을 할수가 있으면 기본적으로 yandex가 있는것으로 보아서 아마도 러시아에서 제작이 되었지 않나 추정을 해봅니다.

0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)는 파일이0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)에 의해 암호화 될 때 파일 이름을 수정 한 다음 파일을 추가합니다 . 0000 암호화 된 파일 이름 확장로 변경을 해버립니다.

0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어) 변종은 피해자의 파일을 암호화하는 데 사용되는 AES 키를 암호화하는 데 사용되는 11 개의 공개 RSA-1024 암호화 키를 포함하게 되고 이렇게하면 인터넷없이 랜섬웨어가 완전히 오프라인으로 작동 할 수가 있습니다.

그리고 특이한점은 해당 변종 랜섬웨어는 11 개의 공개 RSA 키는 이전의 XZZX Cryptomix Ransomware 변종과 똑같습니다.

랜섬웨어 노트는 다음과 같습니다.

Hello! Attention!
All Your data was encrypted! For specific informartion,
please send us an email with Your ID number: y0000@tuta.io y0000@protonmail.com y0000z@yandex.com y0000s@yandex.com Please send email to all email addresses!
We will help You as soon as possible! DECRYPT-ID-감염자 컴퓨터 ID
안녕 주의하세요.너의 모든 데이터는 암호화되었습니다.그리고 너의 ID를 이메일로 보내주시면 됩니다.

그리고 다음 명령어를 수행을 합니다.

sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc cmd.exe /C bcdedit /set {기본} recoveryenabled
No cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

일단 실행되는 명령어 보면 윈도우 디펜더,윈도우 방화벽,윈도우 보안 관련은 물론 기본적으로 새도우볼륨복사본도 삭제를 시도를 합니다.
사용하는 RSA-1024 키는 다음과 같습니다.

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCyagbOaf3s/ePCxre9cs9BwaX3 D40qF7jAzB/xoWktfDlY2PVslZ2reYhQC9dSIvkEtuZqlUUYgFUdaaqTsE7pA8ik 2zXI5Ou7I0YtwWRoFNCl8YlMTRKgDHRQhclPNbtpi2ucm507Unr8EnT2ZzcTOYv1 7ITFgkBdNr4zHLFrpQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDChVnFfbDa3rp1sug7tbE6ba/O RWAwsk6WQ21XHgAXF7dKuEtG/4q7QJyHahQvys2oLkJ4Et2+S4YS3FSYXYqNOq/e 5ahdS19KiuGLnf1u7acnsGvikJgvXiwe/NH2h48ZtK0Uyn1Q1ijVNU66f1pehSmB YQupamnC2XkV9d6Z0wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXbf7u6Pq5kB+O1Cb9GIG9GlVG Mswk342Er1HMiHFXUsVMlljLFTJPz5rdcVB4QAXsOynm67uw8yEAlNC90AHohuIV dGDNVoQuuyNvanI1Ur4cA4aKqpJZKbkVauTpCDdEAse4LSH4NrGTgCao42jiaksj pZvKyFK8yvdoAwd3JQIDAQAB
-----END PUBLIC KEY-----
 -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCetENrtjivjYOthpX2yTlYKJ0x gZ0R367J8tSFikEhVoko4SKRmN9Y1s88iCdeRPUZh2Q0rHOesf/AxONK1buzygXl BkE5X86I3EFUFbPjyOnIgEKFru728aLlwkslqYPIWS29DZUCboHzv1YWU8gtFkwL 5bUEB444se2UXi+pjwIDAQAB -----END PUBLIC KEY----- -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQa9aSkupoA7jxeOhS/mbRvy4u H/hI6XbTsv+ilfj8v9XHBaptsExUvCDG3fXvDKxSLxa6HBXnemM3weUDS0njH9Sb MJjImRjQ+OambwAYaj/hnFM3TYWU4KhPPKWrsxHT1ReSo1i+G2bNxr2gyS2D606N xaN4LNmYw3PLL2omGQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCIiEAs1V5JBCLKmDy0Il6rfC4w pQm0s9224Yvxs5pRRic3IQwAJ6wWw0Nrl42LxiA88jggso2EZ05lAl9FIuCNvzCr PO2QOjRLT0w2bYEEneK+rQR9sexZSI90zYVjziI26muOG1M8neAHqWkPvZI1a1sd hG5MwboKBkPYbtXI1wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC4ShCcW3W2gmG5HT/Vcrzf4HKi OXAmVWpTRkyqxkw/wU7Ax+A63Fgo5tV4psuxHcJUGYQv4B8+Ag+POHmE4a7Vd4Ra 7tVXBEoyl1ZKF8fFCAAaw6G/ALCL0LEQiTLaqQuIjNXRo7S4Mt/alOM18uMP/kEA mqnGDXEblePIsMUzkQIDAQA
 -----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOXllDk/itDr0oW7hxm01XLeEo pVCg63jWxr5ZEKMU3zmYPtIPGayJbOacU+pPf6t77IMR8ainmJXjAK1c0V07XJv2 UrRsQARYDGEnItYphiYI7t1AgXSPoUi8pvQJrpja3WpuFNmhsWE2lz5uEO7QeejG jSToXALGsvmgvGq5SQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCWeBww97UHcRLjztOKvXB0xzRC LcZGov/Y/6x/m8uo42nLkyPgUjrqR7EAzB6bbB6L6aOgCJb2WyffOaNN5df07gIV f1Ea8u/jMIr5uhR+pnFMNB0jQIqqU9/slURM+U7dFvELbli5HL+7Ac/EehJNjLNW bpB5dTPCSSpKFoeoxQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCIX+Ay2zjnnViZsCDCk/TS2wZV 85YVVWpAXzsu4wzJzo4Mux2PK5pW0+i6+O1KZLcu+d5xElKM0KgrmE8uY1xylA18 SMBHHhBNhJdYXIaARFNp1uRG+kR8IDgT3sDrSseTt//l2tn8oo5xxw6UHtsBqRwF KP3u+Vspd+gFRsTC5wIDAQAB
 -----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCxsV6vYenwHV4noHlPuOL/Dc7b dcLDWzJCmCToF5wCnUdkeifop7s6Kuz4nujPWq+6/foz5od8GySTtKiZtoq3lcmI 04RMzKqvo1PkR4RzfXGBLVk6EqeCrueY86l8Gu71oiPois8jJV6VQ96IJuc0HNRb IVKuPQZRttC1CjuZHQIDAQAB
-----END PUBLIC KEY-----

일단 기본적으로 이런 랜섬웨어에 감염이 되는것을 최소화할려며 기본적으로 토렌트 같은 곳에서 함부로 파일을 다운로드 해서 실행을 하면 안되며 그리고 백업은 필수이며 백신프로그램과 보조백신프로그램,랜섬웨어 방어프로그램 같은 것을 설치를 해서 보호를 해야 되면 기본적으로 윈도우 보안 업데이트 최신 업데이트 유지,Adobe Reader,Adobe Flash Player,Java같은 프로그램을 사용을 하면 항상 최신 업데이트로 유지를 하면 이메일을 보낸 사람이 잘 모르는 사람일경우에는 함부로 다운로드 및 실행을 하는것을 자제해야 합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 크립토믹스 랜섬웨어(Cryptomix Ransomware) 의 변종이 나왔군요. 유용한 소식 체크하고 갑니다^^ 편안한 주말 보내시길 바래요
  2. 변종이 계속 나오네요..
    얼마나 더 지나야.. 이런 소식들도 안들리게될런지..
    • 어차피 범죄이다 보니 사람들이 올바르게 사용을 하려고 하지 않는 이상은 안될것 같습니다.
  3. 어머~ 랜섬웨어의 새로운 변종이 발견되다니 슬픈 소식이네요~
    함부로 파일 다운받지 말고 보안업데이트를 최신으로 유지하며 보안에 신경써야겠네요^^
    • 그냥 가상 환경을 만들고 메인 컴퓨터와 공유를 하지 않은 상태에서 이용하는 방법도 있습니다.
  4. 바이러스는 변종이 더 무서운 거 같아요 업계에서 신속하게 대응하는 게 중요한 거 같아요
    • 어차피 기본적으로 기본적인 보안 수칙을 지킨다고 한다면 악성코드로 부터 피해를 줄일수가 있을것입니다.
  5. 랜섬웨어 무섭네요.^^;
    잘보고갑니다.^^
    • 항상 조심하는것이 좋은 방법인것 같습니다.

랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

Posted by Sakai
2017.11.14 00:00 소프트웨어 팁/보안

랜섬웨어(Ransomware)라고 하면 기본적으로 AES와 그리고 RSA 암호화 알고리즘을 사용해서 사용자가 사용자의 컴퓨터를 감염을 시켜 암호화를 진행해서 해당 암호화된 파일을 풀고 싶으면 가상화폐 중 하나인 비트코인을 내보라고 하는 악성코드입니다. 물론 비트코인을 보낸다고 암호화를 풀 수 있는 파일을 랜섬웨어 복원화 도구를 받는다는 100% 보장이 없습니다.

즉 이런 악성코드에 감염되는 것을 최소화하려면 기본적으로 예방이 중요합니다. 즉 윈도우 업데이트 제때하고 백신프로그램 설치를 하고 최신으로 유지하면 최신 업데이트로 유지를 하며 자신이 사용하는 프로그램을 최신 상태로 유지하면 토렌트와 같은 곳에서 출처가 불분명한 곳에서 파일이나 동영상을 다운로드르 및 실행을 하지 않고 보조 백신프로그램이나 랜섬웨어예방프로그램을 사용을 하는 것이 안전하게 컴퓨터를 사용하는 방법의 하나일 것입니다.

오늘은 소개해 드리는 프로그램인 Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버) 일명 Rifr은 간단하게 랜섬웨어가 남겨놓은 랜섬노트를 지우는 역할을 합니다.

일단 랜섬웨어는 제거를 하지 않으므로 랜섬웨어 안내파일만 삭제합니다. 일단 해당 스크립트인 Rifr은 일단 MZK로 유명한 ViOLeT님이 제작을 해서 배포를 하고 있습니다. 일단 사용은 무료로 할 수가 있으면 프로그램의 계발을 위해서 기부도 가능합니다. 일단 배포 하는 곳은 예전부터 몸을 담고 있던 바이러스 제로 시즌 2에서 제공을 합니다. 일단 제거를 할 수가 있는 랜섬웨어 종류는 다음과 같습니다.
726, Cerber, CryptoLocker, CryptoShield, CryptoWall, CryptXXX, CTB-Locker, Locky, Matrix,My Ransom, Sage, WannaCry
일단 기본적으로 해당 파일은 바이러스 제로 시즌 2에서 내려받기하면 되면 실행을 하려면 먼저 해당 프로그램을 압축프로그램으로 풀고 나서 그리고 나서 해당 파일을 관리자 권한으로 실행을 시켜 줍니다. 그리고 나서 잠시 기다리다 보면 다음과 같은 메시지가 나올 것입니다.

Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

Ransomware Information File Remover
Virus Zero Season 2 : cafe.naver.com/malzero
Batch Script : ViOLeT (archguru)
────────────────────────────────────────────────
ⓘ 진행 전에 반드시 읽어주세요!
 이 스크립트는 랜섬웨어 안내 파일만 삭제하며, 랜섬웨어 본체 삭제 기능은 없습니다.
랜섬웨어 안내 파일 삭제 시, 비트 코인 송금을 통한 복호화가 불가능해지므로 유의 바랍니다.
ⓘ 안내 파일 제거 가능 랜섬웨어 종류 안내
726, Cerber, CryptoLocker, CryptoShield, CryptoWall, CryptXXX, CTB-Locker, Locky, Matrix
My Ransom, Sage, WannaCry
● 동의 및 삭제를 진행하시겠습니까 (Y/N)? y
◇ 고정식 및 이동식 드라이브 정보 읽는중 . . .
◇ C:\ 드라이브 랜섬웨어 안내 파일 제거 중 (데이터가 많을 경우 상당 시간 소요) . . .

일단 726, Cerber, CryptoLocker, CryptoShield, CryptoWall, CryptXXX, CTB-Locker, Locky, Matrix,My Ransom, Sage, WannaCry에 감염이된 분들에게 랜섬웨어 노트를 제거하는데 도움을 받을 수가 있을 것입니다. 일단 기본적으로 무료이면 프로그램 계발 자인 ViOLeT 님에게 후원을 하고 싶은 분들은 페이팔과 카카오뱅크계좌로 후원을 하시는 것도 좋은 방법일 것입니다.

일단 기본적으로 앞서 이야기한 것처럼 랜섬웨어에 감염이 되지 않는 것이 제일 나은 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. MZK 도 사용중인데 랜섬웨어 제거 툴도 나왔군요.
    • 해당 프로그램은 랜섬웨어 노트만을 제거합니다.랜섬웨어를 제거를 하는것이 아닙니다.랜섬웨어 제거는 MZK등과 같은 보조 프로그램과 백신프로그램을 이용을 하는것이 좋을것 같습니다.
  2. 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover 글 잘 읽고 갑니다^^ 항상 건강하세요
  3. 맥신프로그램이 많이 개발되면 더 좋을 것 같아요
    • 백신프로그램도 중요하지만 일단 기본적으로 사용자의 보안 의식도 중요한것 같습니다.백신프로그램이 100% 잡아주지 않기 떄문이죠.
  4. 정말 대단하신분인것 같아요
    mzk도 만들어서 배포하시고 이 프로그램도 만드시고 ㅎㅎ
    • 저도 그렇게 생각을 하고 있습니다.

독일을 목표로 하는 랜섬웨어-Ordinypt Ransomware

Posted by Sakai
2017.11.13 00:01 소프트웨어 팁/보안

랜섬웨어라는것은 간단하게 암호화 기술인 AES, RSA를 이용해서 사용자 컴퓨터를 감염시켜 사용자 컴퓨터에 있는 문서, 동영상, 사진 등 파일을 암호화해서 암호화를 풀기를 위해서 암호화를 풀기 위한 도구를 구매해야 하면 해당 도구를 다운로드 하고 싶은 경우에는 비트코인이 있기 이전에는 대포통장을 비트코인같은 가상화폐가 있으면 비트코인등을 요구합니다. 일단 최근에 특정 국가를 목표로 랜섬웨어들이 많이 제작이 되고 있습니다. 해당 Ordinypt Ransomware는 독일어를 사용하는 사람들로 목표했기 때문에 독일어로만 구성돼 있습니다. 일단 해당 Ordinypt Ransomware는 Petya Ransomware(페트야 랜섬웨어)와 마찬가지로 취업광고로 대한 회신형식이면 이력서로 가장하는 ZIP 형식으로 압축파일로 구성돼 있고 조금 더 신뢰를 얻으려고 예쁜 여자얼굴이 있는 JPG파일가 포함이 돼 있습니다.
Viktoria Henschel-Bewerbungsfoto.jpg,Viktoria Henschel-Bewerbungsunterlagen.zip의 2개의 파일이 첨부돼 있습니다. 일단 압축파일을 열어보면 아이콘은 PDF 아이콘으로 돼 있지만 실제로는 확장자는 PDF 확장자가 아닌 exe형식로 돼 있어서 컴퓨터에서 확장자를 표시하지 않았으면 PDF 파일로 착각해서 exe 파일이 실행되는 방식입니다.

즉 악성코드 유포자가 토렌트에서 유명한 영화로 돼 있는 것처럼 돼 있지만 실제로는 실행을 하면 동영상이 아닌 exe 파일이 실행되어서 악성코드를 감염시키는 방법을 사용합니다. 그리고 파일명은 무작위로 바뀌게 돼 있습니다.

문자 및 숫자로 구성된 문자열을 무작위로 생성하며 같은 함수에 의해 생성되며 파일 크기는 8KB에서 24KB 사이에서 다를 수 있습니다. 그리고 해당 Ordinypt Ransomware는 파일을 파괴한 모든 폴더에 몸값기록을 남기며 몸값을 받으려고 파일 이름은 Where_are_my_files.html,Wo_sind_meine_Dateien.html이 됩니다. 그리고 감염이 되면 감염이 된 컴퓨터의 ID,Bitcoin 주소(비트코인 주소),다크웹 URL 그리고 몸값을 지급을 확인하기 위해서 전자메일주소도 함께 표시합니다.
그리고 JavaScript로 구성이 된 101개의 비트코인 지갑 주소목록에서 무작위로 비트코인 주소를 선택합니다.

일단 Ordinypt Ransomware의 독일어 이메일 내용입니다. 일단 개인적으로 독일어를 못하기 때문에 번역은 생략하겠습니다.

Sehr geehrte Damen und Herren, anbei erhalten Sie meine Bewerbung für Ihre bei der Arbeitsagentur ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann. Mit freundlichen Grüßen, Viktoria Henschel Translated Spam: Dear Sir or Madam, Enclosed you will receive my application for your job advertised at the Employment Agency. Please see my detailed and attached application documents for the reasons why I am able to fill the vacant position optimally and that your experience has many advantages for your company. I'm glad if I can introduce myself once again. Best regards, Viktoria Henschel

그리고 랜섬웨어가 생성하는 랜섬웨어 노트는 다음과 같습니다.

Ihre Dateien wurden verschlüsselt!

Sehr geehrte Damen und Herren, Wie Sie mit Sicherheit bereits festgestellt haben, wurden alle Ihre Dateien verschlüsselt. Wie erhalte ich Zugriff auf meine Dateien? Um Ihre Dateien erfolgreich zu entschlüsseln, benötigen Sie unsere Spezielle Software und den dazugehörigen Decrypt-Key. Wo bekomme ich die Software? Die Entschlüsselungs-Software können Sie bei uns erwerben. Der Preis für die Entschlüsselungs-Software beläuft sich auf 0.12 Bitcoin (ca. 600 Euro). Bitte beachten Sie, dass wir ausschließlich Bitcoin für den Erwerb der Software akzeptieren.
Wo bekomme ich Bitcoin?

Bitcoin können Sie Online sowie Offline erwerben, eine Liste empfohlener Anbieter folgt: https://www.bitcoin.de/de/-Online https://localbitcoins.com/-Online/Offline

https://btcdirect.eu/de-at-Online

https://www.virwox.com-Online

Zahlungsanweisungen Bitte transferieren

Sie exakt 0.12 Bitcoin an folgende Addresse:XXXXXXXXXXXXXXXXXXXXXXXXX
Nach erfolgreichem Zahlungseingang erhalten Sie automatisch die Entschlüsselungs-Software sowie den dazugehörigen Decrypt-Key. ACHTUNG! Sollten wir innerhalb von 7 Tagen keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie kein Interesse an der Entschlüsselung Ihrer Dateien haben.
 In diesem Fall löschen wir den Decrypt-Key unwiderruflich und Ihre Dateien sind für immer verloren. Ihre Dateien wurden mit einem 256-Bit AES Algorithmus auf Militärqualität verschlüsselt.
Wir empfehlen Ihnen keine Zeit mit eigenhändigen Entschlüsselungsversuchen zu verschwenden, dies würde Sie nur unnötig Zeit und weiteres Geld kosten, Ihre Dateien wären aber weiterhin verschlüsselt.

Bonus Zusätzlich zur Entschlüsselungs-Software erhalten Sie nach erfolgreicher Zahlung, hinweise wie die Schadsoftware auf Ihre System gelangen konnte und wie Sie sich in Zukunft vor weiteren Übergriffen schützen können!

뭐 대충 랜섬웨어 노트 내용이라 간단하게 비트코인 가격과 그리고 비트코인 주소, 사용자 감염자 ID, 그리고 AES 256비트 알고리즘을 암호화했다는 내용입니다. 보면 유로화로 600유로인 것을 볼 수가 있습니다.
이런 랜섬웨어에 감염이 되기 싫은 분들은 기본적으로 윈도우 업데이트,백신프로그램 사용, 보조 백신프로그램 또는 랜섬웨어차단 프로그램을 사용하면 기본적으로 자신이 사용하는 프로그램은 최신프로그램으로 유지하면 프로그램도 프로그램제작사에서 다운로드해서 사용을 해야 하면 출처가 불분명한 곳에서는 파일을 다운로드 및 설치를 하지 말아야 하며 그리고 확장자를 볼 수가 있게 윈도우 설정을 변경을 해주면 됩니다.

설정 방법은 간단합니다. 먼저 내 컴퓨터를 열어줍니다. 윈도우 10 같은 경우에는 보기에 보면 파일 확장명이라는 것이 보일 것입니다. 해당 부분을 체크를 해주면 자신의 컴퓨터에 있는 파일의 확장자를 볼 수가 있습니다. 해당 부분은 필수로 설정하지 않아도 되지만 그래도 확장자 명을 표시하게 하는 것이 보안에는 도움이 됩니다.

<기타 관련 글>

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

[보안] - 일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - MBR 변조를 한 후 부팅을 방해하는 PETYA 랜섬웨어(패트야 랜섬웨어)- 변종 골든 아이 랜섬웨어(Goldeneye Ransomware)

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 우크라이나를 겨냥한 XData 랜섬웨어 감염 증상 및 예방 방법

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 특정 국가를 상대로한 랜섬웨어가 계속 나오는군요.
    • 특정 국가를 노린다는것은 아마도 해당 국가에 대해서 반감을 가지고 있거나 아니면 해당 국가의 대상으로 랜섬웨어를 감염 시켜서 비트코인을 벌기 위해서 이죠.
  2. 독일을 상대로 한 랜섬웨어 라고 하니 조금은 안심이 되는군요
    • 그래도 독일쪽으로 일을 하거나 채팅,이메일등을 하는 경우에는 조심해야되죠.그리고 시간이 걸리겠지만 국내에도 발견이 될수도 있겠죠.
  3. 무섭네요.; 한국사람은 걱정안해도되겠죠?^^;
    잘보고갑니다. 좋은 하루되세요^^
    • 한국 사람이라서 걱정을 안하는것 보다 기본적으로 윈도우 업데이트 같은것을 잘하면 감염이 될 확률은 줄어들것입니다.
  4. 독일을 목표로 하는 랜섬웨어 Ordinypt Ransomware 에 대해 잘알고 갑니다^^
  5. 저는 이번에 랜섬 걸린거 다 풀엇어요^^
    • 축하드립니다.다음에 악성코드에 걸리지 않게 조심하세요.
  6. 와.. 논문인줄 알았어요. 굉장히 전문가적이면서도 자세하네요. ^^* 좋은 설명 정보 감사합니다.

안드로이드 랜섬웨어-Doublelocker android Ransomware(더블락 안드로이드 랜섬웨어) 감염 및 증상

Posted by Sakai
2017.11.04 00:49 소프트웨어 팁/보안

일단 랜섬웨어라고 하면 기본적으로 AES 와 RSA 알고리즘을 이용해서 컴퓨터에만 있는 비디오 파일, 사진파일, 문서 파일 등을 암호화해서 사용자에게 암호화를 풀어주는 대가로 금전을 요구했으나 최근에는 비트코인이라는 가상화폐를 이용합니다. 일단 가상화폐인 비트코인을 요구를 해서 사용자에게 비트코인을 받고 암호화를 풀 수 있는 복구툴을 제공을 할 가능성은 거의 없습니다. 즉 예방이 중요하다는 것입니다. 그리고 보통 사람들은 랜섬웨어라고 하면 컴퓨터에서만 감염된다고 생각을 하지만 안드로이드 같은 운영체제를 사용하는 스마트폰도 노리기도 합니다.

해당 안드로이드 랜섬웨어인 Doublelocker android Ransomware(더블락 안드로이드 랜섬웨어)은 이름처럼 장치를 두 번 잠금을 합니다. 해당 Doublelocker android Ransomware(더블락 안드로이드 랜섬웨어)은 기본적으로 스마트폰에 있는 파일들을 암호화하고 나서 그리고 PIN 잠금을 시도합니다. 물론 PIN 번호도 사용자가 설정한 PIN(핀 번호) 가 아닙니다.Double locker ransomware의 목적은 은행 계좌 정보를 도용하기 위해 만들어진 랜섬웨어이며 관리자 되지 않은 웹사이트를 해킹해서 가짜 어도비 플래시 플레이어(Adobe Flash Player)를 업데이트 하라고 해서 사용자에게 요구하게 되고 업데이트를 실행을 하는 순간 랜섬웨어에 감염이 됩니다.

참고로 어도비 플래시 플레이어는 안드로이드에서는 퇴출이 되어서 현재 출시가 되는 어도비 플래시 플레이어에서는 실행 및 설치가 돼 있지 않기 때문에 그냥 무시를 하면 됩니다. 먼저 해당 랜섬웨어는 먼저 구글 플레이어의 접근성 기능 활성화를 요청하고 사용자가 강제적으로 해당 앱을 설치를 하게 되면 관리자 권한을 얻으려고 기본 홈 응용프로그램으로 권한을 요청하게 되고 요청에 응하면 이제는 자신이 사용하는 스마트폰은 자신의 것이 아니게 됩니다.

그리고 사용자가 홈 버튼을 누를 때마다 랜섬웨어가 활성화가 되며 자신이 사용하는 스마트폰은 랜섬웨어에 의해서 잠기는 것을 볼 수가 있습니다. 그리고 스마트폰에서 보안 설정을 할 때 사용을 하는 PIN 번호는 임의의 값으로 변경하고 AES 암호화 알고리즘을 통해서 악성코드에 의해서 모든 파일을 암호화합니다. 그리고 BTC 0.00130을 요구하면 24시간 이내에 비트코인을 지급하여 달라고 요구하면 해당 몸값인 비트코인을 지급이 되면 악성코드 제작자는 해독키를 제공하면 파일이 잠금을 해제하고 PIN을 원격에서 재설정하여 랜섬웨어 손해를 입은 장치를 잠금을 해제해줍니다.

물론 비트코인을 지급하기 싫으면 해결방법은 스마트폰 초기화를 진행해야 제거를 할 수가 있으면 디버깅 모드가 설정된 루딩이 된 안드로이드 기기의 경우 안드로이드 디버그 브리지 도구(ADB)를 사용해서 스마트폰을 초기화하지 않고 PIN 재설정을 할 수가 있습니다. 이런 랜섬웨어에서 피해를 줄이는 방법은 스마트폰에서 백신프로그램은 반드시 설치를 하고 실시간 감시 최신 업데이트 유지, 그리고 Google Play 스토어와 같은 신뢰할 수 있는 앱을 이용을 하면 그리고 안드로이드 게임 등을 공짜로 즐기려고 게임 핵이 적용된 APK파일을 사용을 할 때 이런 랜섬웨어 같은 악성코드에 감염될 수가 있으면 SMS(문자) 또는 이메일에 첨부된 링크는 함부로 클릭을 하고 실행을 하는 것을 자제해야 하면 안드로이드 백신어플을 사용을 하더라도 신뢰할 수가 있는 제품을 이용하는 것이 좋은 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 눌 조심해서 밖에 없을 것 같아요 좋은 정보 잘 보고 갑니다
    • 항상 조심하는것이 제일 좋은 방법이라고 생각이 됩니다.
  2. 알고보면 안전지대가 없는거 같습니다.
  3. 알수없는출처의 apk를 설치하는건 정말 주의해야할것 같아요
    • 네~유료 어플을 공짜로 사용을 할려고 불법 APK를 사용을 하다가는 랜섬웨어에 감염이 쉬워집니다.

Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법

Posted by Sakai
2017.10.26 00:00 소프트웨어 팁/보안

오늘은 지금 동유럽을 강타한 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 토끼라고 하면 사람들하고 귀엽고 사랑스러운 동물이기도 하지만 오스트레일리아 즉 호주에서는 인간에 의해서 자연이 파괴한 동물이기도 하고 세계경제공황과 1차 세계대전, 2차 세계대전 때에는 MRE로 활용이 되기 했고 경제 공황 속에서도 훌륭한 단백질 공급원이기도 합니다. 일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 현재 러시아, 우크라이나, 불가리아, 터키 등을 휩쓸고 있습니다. 현재 확인된 상황은 우크라이나의 오데사 공항, 우크라이나의 키예프 지하철 시스템, 우크라이나 인프라 자원부, 인터 팩스(Interfax)및폰탄카(Fontanka) 그리고 러시아 통신사도 표적이 되고 있습니다.

일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 가짜 어도비 플래시 플레이어(Adobe Flash Player)을 통해서 전파가 되고 있었지만, 현재는 드라이브 바이 공격으로 이용되고 있습니다. 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 Mimikatz를 사용하여 로컬 컴퓨터의 메모리에서 자격 증명을 추출하고 그다음에 하드 코드 된 자격 증명 목록과 함께 SMB를 통해 같은 네트워크의 서버 및 워크 스테이션에 접근을 시도합니다. 그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 Petya 및 NotPetya와 비슷하게 동작을 하는 것이 특징입니다. 먼저 컴퓨터 파일을 암호화하고 나서 MBR (Master Boot Record)를 건드립니다.

그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염이 성공을 하면 컴퓨터를 재부팅을 합니다. 그리고 나서 MBR에 걸린 랜섬웨어에 대해 랜섬노트를 제시를 하고 몸값을 제시합니다. 그리고 몸값으로 Tor 브라우저를 이용해서 Tor 네트워크의 사이트에 접속해서 0.05 Bitcoin (약 280달러)을 요구합니다. 그리고 2017년 초에 미국을 강타한 HDDCryptor Ransomware처럼 오픈소스디스크암호화도구인 DiskCryptor를 사용을 하고 있습니다.

NIKON CORPORATION | NIKON D7000

그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 미국 드라마인 Game of Thrones(왕좌의게임)를 매우 좋아하는지 Grayworm와 같이 Game of Thrones에 나오는 캐릭터 이름이 많이 나오는 것이 특징입니다. 일단 기본적으로 웹사이트를 해킹하고 가짜 어도비플래시플레이어를 설치를 하라는 메시지를 사용자가 나오면 install_flash_player.exe이라는 파일을 사용자가 실행하면 감염이 실행됩니다. 해당 나쁜 토끼 랜섬웨어가 실행이 되면 C:\Windows\infpub.dat를 삭제를 합니다. 그리고 나서 C:\Windows\system32 rundll32.exe,C:\Windows\ infpub.dat 명령어를 통해서 실행됩니다.

실행이 되면 Infpub.dat을 생성을 하고 C:\Windows\cscc.dat,C:\Windows\dispci.exe파일을 생성을 합니다. 그리고 DiskCryptor에서 생성된 파일은 Cscc.dat이며 dcrypt.sys 필터 드라이버이름이 바뀐 복사본입니다. 그리고 두 파일은 DDriver의 윈도우 서비스파일을 생성합니다. 그리고 Infpub.dat는 악성코드에 감염된 사용자가 컴퓨터를 로그인할 때 dispci.exe를 예약된 작업을 만듭니다.작업스케줄에 등록이 되는 것은 Game of Thrones 시리즈 중에 나오는 Rhaegal입니다.cscc.dat와  dispci.exe 파일과 함께 하드디스크를 암호화하고 마스터 부트 레코드를 수정하게 되고 피해자가 컴퓨터를 켤 때 비트코인을 통해서 몸값을 받으려고 랜섬메세지를 표시합니다.

랜섬메세지는 다음과 같습니다.

Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#1:
Network Activity:

그리고 암호화하는 대상은 다음과 같습니다.

3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

그리고 파일들은 AES 암호 알고리즘으로 암호화됩니다. 그리고 다음 파일을 암호화하는 데 사용이 된 AES 암호화 키가 내장 RSA-2048 공개키로 암호화됩니다. 그리고 Infpub.dat를 통해서 SMB를 통해서 다른 컴퓨터로 랜섬웨어를 확산시키려고 시도를 합니다.
생성되는 파일과 폴더 목록은 다음과 같습니다.

C:\Windows\infpub.dat
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
C:\Windows\cscc.dat C:\Windows\dispci.exe
레지스트리 부분은 다음과 같습니다.
HKLM\SYSTEM\CurrentControlSet\services\cscc
HKLM\SYSTEM\CurrentControlSet\services\cscc\Type 1
HKLM\SYSTEM\CurrentControlSet\services\cscc\Start 0
HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl 3
HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath cscc.dat
HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName Windows Client Side Caching DDriver
HKLM\SYSTEM\CurrentControlSet\services\cscc\Group Filter
HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService FltMgr
HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64

SMB를 통해서 다음과 같은 네트워크 활동을 합니다.
Local & Remote SMB Traffic on ports 137,139,445
caforssztxqzf2nm.onion

그리고 내장이 된 RSA-2048키는 다음과 같습니다.

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

그리고 바이러스토탈 결과는 다음과 같습니다.일단 해당 부분은 참고이므로 검사 당시에서는 업데이트가 되지 않았어 탐지가 되지 않았지만, 지금은 업데이트가 되는 제품들이 있는 것을 미리 알려 드립니다.

바이러스토탈 결과

일단 기본적으로 이런 랜섬웨어 같은 악성코드에 감염되지 않는 방법은 윈도우 업데이트 최신 업데이트로 유지를 하면 토렌트 같이 출처가 불확실한 곳에 있는 파일은 실행하지 않으면 기본적으로 어도비 플래시 플레이어 같은 경우 기본적으로 윈도우 8,윈도우 10 같은 경우에는 윈도우 업데이트를 통해서 업데이트를 할 수가 있으면 그리고 다른 브라우저를 사용하는 같은 경우에는 어도비 공식홈페이지에서 다운로드해서 사용을 하면 됩니다. 그리고 기본적으로 설치돼 있으면 특별한 설정 없으면 인터넷에 연결돼 있으면 알아서 업데이트를 할 것입니다. 그리고 백신프로그램은 항상 설치를 하고 최신 상태로 유지하면 실시간 감시를 하며 보조 백신프로그램 또는 랜섬웨어차단프로그램을 통해서 이런 랜섬웨어에 대비를 할 수가 있으면 프로그램은 항상 최신 업데이트를 유지를 하는 것이 이런 랜섬웨어 같은 악성코드에 감염되는 확률을 줄일 수가 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 이 참에 중요한 자료는 일단 백업해둬야 겠습니다.
    • 백업프로그램으로 미리 백업을 해두는것도 좋은 방법이라고 생각이 됩니다.
  2. 잘 보고 갑니다.
    조심해야겠군요
  3. Bad Rabbit Ransomware 나쁜 토끼 랜섬웨어의 감염 증상 및 예방 방법 잘 보고 갑니다^^
    행복한 목요일 하루 되시길 바래요-
  4. 면서 종류도 참 다양하네요 좋은 팁 잘 보고 갑니다
    • 랜섬웨어 기본은 같습니다.파일을 암호화 하고 나서 비트코인을 요구하는것이죠.
  5. 나쁜토끼가 새로 나왔나보네요..
    보안에 더 신경써야겠습니다..
    • 기본적으로 보안 업데이트와 보안 수칙을 잘 지키면 랜섬웨어에 감염이 될 확률은 줄어듭니다.
  6. 좋은정보 잘보고갑니다.
  7. 저도 이미 걸려 본 적이 있어서 그런지 요줌에는 더 많이... 조심하게 되더라구요.ㅠㅠ
    • 기본적으로 윈도우 업데이트와 자신이 사용을 하는 프로그램들은 최신 업데이트로 유지를 하면 악성코드에 감염이 되는것을 최소화 할수가 있습니다.

한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

Posted by Sakai
2017.10.23 18:31 소프트웨어 팁/보안

오늘은 한국을 목표하는 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상에 대해 알아보는 시간을 알아보겠습니다. 일단 랜섬웨어라는것이 기본적으로 개인적으로 사용자이든 공적으로 중요한 문서들을 개인정보 보호하기 위해서 사용이 되는 AES와RSA같은것을 역으로 이용해서 컴퓨터 취약점을 통하거나 또는 토렌트 같은 곳에서 출처가 의심스러운 파일을 실행했으면 랜섬웨어 같은 악성코드에 감염될 수가 있는 확률이 높아집니다.

메그니베르 랜섬웨어(Magniber ransomware)는 다른 랜섬웨어와 다르게 작동하는 것이 일반적인 랜섬웨어들은 기본적으로 자신이 원하는 대로 컴퓨터를 악성코드를 감염을 시키고 나서 자신이 수행하는 랜섬웨어 원칙에 맞게 비트코인을 입금을 하라고 컴퓨터를 검색해서 문서 또는 비디오파일 또는 사진파일들을 암호화시켜 사용자에게 비트코인을 요구를 하는 것이 특징이지만 이번 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)은 언어 점검, 외부 IP 및 지역들을 점검해서 한국에서 사용하는지 확인을 하는 과정을 거치게 됩니다.

즉 한국인이 해당 컴퓨터를 사용하는지 확인을 하려고 윈도우 언어, IP 주소, 지역들을 점검한다는 점에서 한국인을 노리는 랜섬웨어 입니다. 일단 해당 랜섬웨어는 기본적으로 CVE-2016-0189 취약점을 노린다는 점입니다. 즉 윈도우 업데이트를 하면 해당 랜섬웨어는 피해갈 수가 있습니다.

해당 CVE-2016-0189는 Internet Explorer의 메모리 손상 취약점입니다. 그리고 오랫동안 보이지 않고 있었던 Cerber ransomware(사이버 랜섬웨어)의 귀환을 알리는 랜섬웨어이기도 합니다.

그리고 해당 메그니베르 랜섬웨어는 한국어 이외의 시스템에서 실행되는 경우 ping 명령을 실행하여 지연되는 자체 삭제 작업을 볼 수가 있는 것이 특징입니다. 즉 한국인을 노리고 있다는 것을 볼 수가 있습니다. 먼저 해당 랜섬웨어에 감염이 되면 %TEMP%폴더에서 랜섬웨어 자체를 복사하고 작업 스케줄러를 사용하여 자체적으로 배포를 시작하기 시작을 합니다. 그리고 암호화된 각 파일에는 작은 라틴 문자로 구성되며메그니베르 의 특정 샘플에 대해 일정한 확장자가 추가되며 같은 일반 텍스트 파일은 같은 암호문을 만들고 모든 파일은 정확히 같은 키를 사용하여 암호화됩니다.
랜섬웨어에 암호화된 파일은 각 파일의 시작 부분에 메그니베르 랜섬웨어의 특정 파일에 대해 상수인 16자 길이의 식별자가 추가되는 구조로 되어 있습니다. 그리고 모든 파일이 완료되면 이제 몸값을 받으려고 랜섬 노트를 생성합니다. 내용은 다음과 같습니다.

ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
====================================================================================================
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
====================================================================================================
To receive the private key and decryption program follow the instructions below:
1. Download "Tor Browser" from https://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
http://[희생자 ID].ofotqrmsrdc6c3rz.onion/EP866p5M93wDS513
Note! This page is available via "Tor Browser" only.
====================================================================================================
Also you can use temporary addresses on your personal page without using "Tor Browser":
http://[희생자 ID].bankme.date/EP866p5M93wDS513
http://[희생자 ID].jobsnot.services/EP866p5M93wDS513
http://[희생자 ID].carefit.agency/EP866p5M93wDS513
http://[희생자 ID].hotdisk.world/EP866p5M93wDS513
Note! These are temporary addresses! They will be available for a limited amount of time!

보면 일단 기본적으로 비트코인을 얻어내기 위해서 Tor Browser를 설치를 유도합니다. 즉 다크넷을 이용을 하려면 Tor Browser가 필요하기 때문입니다. 그리고 나서 파일을 암호화하기 위해서 다음의 파일들을 검색하고 암호화를 진행합니다.

.doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, em, vsd, vsdx, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi, vmx, gpg, aes, raw, cgm, nef, psd, ai, svg, djvu, sh, class, jar, java, rb, asp, php, jsp, brd, sch, dch, dip, p, vb, vbs, ps1, js, asm, h, pas, cpp, c, cs, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, db, mdb, accdb, sq, sqlitedb, sqlite3, asc, lay6, lay, mm, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der, 1cd, cd, arw, jpe, eq, adp, odm, dbc, frx, db2, dbs, pds, pdt, dt, cf, cfu, mx, epf, kdbx, erf, vrp, grs, geo, st, pff, mft, efd, rib, ma, lwo, lws, m3d, mb, obj, x, x3d, c4d, fbx, dgn, 4db, 4d, 4mp, abs, adn, a3d, aft, ahd, alf, ask, awdb, azz, bdb, bib, bnd, bok, btr, cdb, ckp, clkw, cma, crd, dad, daf, db3, dbk, dbt, dbv, dbx, dcb, dct, dcx, dd, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dx, eco, ecx, emd, fcd, fic, fid, fi, fm5, fo, fp3, fp4, fp5, fp7, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdn, mdt, mrg, mud, mwb, s3m, ndf, ns2, ns3, ns4, nsf, nv2, nyf, oce, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm, phm, pnz, pth, pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, str, tcx, tdt, te, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, abw, act, aim, ans, apt, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bna, boc, btd, cnm, crw, cyi, dca, dgs, diz, dne, docz, dsv, dvi, dx, eio, eit, emlx, epp, err, etf, etx, euc, faq, fb2, fb, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, gtp, frt, fwdn, fxc, gdoc, gio, gpn, gsd, gthr, gv, hbk, hht, hs, htc, hz, idx, ii, ipf, jis, joe, jp1, jrtf, kes, klg, knt, kon, kwd, lbt, lis, lit, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwp, lyt, lyx, man, map, mbox, me, mel, min, mnt, mwp, nfo, njx, now, nzb, ocr, odo, of, oft, ort, p7s, pfs, pjt, prt, psw, pu, pvj, pvm, pwi, pwr, qd, rad, rft, ris, rng, rpt, rst, rt, rtd, rtx, run, rzk, rzn, saf, sam, scc, scm, sct, scw, sdm, sdoc, sdw, sgm, sig, sla, sls, smf, sms, ssa, sty, sub, sxg, tab, tdf, tex, text, thp, tlb, tm, tmv, tmx, tpc, tvj, u3d, u3i, unx, uof, upd, utf8, utxt, vct, vnt, vw, wbk, wcf, wgz, wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wp, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xd, xlf, xps, xwp, xy3, xyp, xyw, ybk, ym, zabw, zw, abm, afx, agif, agp, aic, albm, apd, apm, apng, aps, apx, art, asw, bay, bm2, bmx, brk, brn, brt, bss, bti, c4, ca, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, dds, dgt, dib, djv, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dv, ecw, eip, exr, fa, fax, fpos, fpx, g3, gcdp, gfb, gfie, ggr, gih, gim, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn, icon, icpr, iiq, info, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbmp, jbr, jfif, jia, jng, jp2, jpg2, jps, jpx, jtf, jw, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo, mrxs, my, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, asy, cdmm, cdmt, cdmz, cdt, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, dhs, dpp, drw, dxb, dxf, egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, gem, glox, hpg, hpg, hp, idea, igt, igx, imd, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx, mmat, mat, ovp, ovr, pcs, pfv, plt, vrm, pobj, psid, rd, scv, sk1, sk2, ssk, stn, svf, svgz, tlc, tne, ufr, vbr, vec, vm, vsdm, vstm, stm, vstx, wpg, vsm, xar, ya, orf, ota, oti, ozb, ozj, ozt, pa, pano, pap, pbm, pc1, pc2, pc3, pcd, pdd, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpg, pm, pmg, pni, pnm, pntg, pop, pp4, pp5, ppm, prw, psdx, pse, psp, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d, qmg, ras, rcu, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rw, s2mv, sci, sep, sfc, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, wallet, jpeg, jpg, vmdk, arc, paq, bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, backup, iso, vcd, bmp, png, gif, tif, tiff, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3

그리고 랜섬웨어는 다음과 같이 새로운 폴더를 생성합니다.

%Temp%\(확장자).exe
%Temp%\(희생자 ID).[확장자]
READ_ME_FOR_DECRYPT_[희생자 ID]_.txt
그리고 암호화 대상을 검색하기 위해서 다음과 같은 폴더를 검색합니다.
\$recycle.bin\
\$windows.~bt\
\boot\
\documents and settings\all users\
\documents and settings\default user\
\documents and settings\localservice\
\documents and settings\networkservice\
\program files\
\program files (x86)\
\programdata\
\recovery\
\recycler\
\users\all users\
\windows\
\windows.old\
\appdata\local\
\appdata\locallow\
\appdata\roaming\adobe\flash player\
\appData\roaming\apple computer\safari\
\appdata\roaming\ati\
\appdata\roaming\intel\
\appdata\roaming\intel corporation\
\appdata\roaming\google\
\appdata\roaming\macromedia\flash player\
\appdata\roaming\mozilla\
\appdata\roaming\nvidia\
\appdata\roaming\opera\
\appdata\roaming\opera software\
\appdata\roaming\microsoft\internet explorer\
\appdata\roaming\microsoft\windows\
\application data\microsoft\
\local settings\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

일단 기본적으로 이런 랜섬웨어로 부터 컴퓨터가 악성코드가 감염되는 것을 방지하려면 최소한 윈도우 업데이트는 기본적으로 하고 윈도우 업데이트를 하기 귀찮다고 하면 윈도우 업데이트는 자동 업데이트 부분을 수동으로 변경하지 않으면 윈도우는 인터넷에 연결이 되어져 있으면 기본적으로 보안 업데이트를 진행을 합니다. 그리고 나서 사용을 하는 프로그램은 최신 업데이트로 유지를 하면 그리고 백신프로그램도 함께 실시간 감시, 최신 업데이트로 유지를 하는 것이 중요합니다. 그리고 토렌트 같은 곳에서 파일을 함부로 다운로드 및 실행을 하는 것도 주의하시길 바랍니다. 그리고 지난번에 소개해 드린 우크라이나를 노린 랜섬웨어 처럼 아마도 특정 지역, 특정 국가 및 언어를 사용하는 랜섬웨어는 증가할 것으로 생각합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어) 감염 증상 및 예방 방법

Posted by Sakai
2017.10.18 00:00 소프트웨어 팁/보안

오늘은 Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어) 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져보겠습니다. 일단 Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어)은 또 다른 이름의 My Decryptor ransomware(MY Ransom 랜섬웨어)이라고도 부르고 있습니다. My Decryptor ransomware은 악성코드에 감염되면 기본적으로. kgpvwnrd으로 변경이 됩니다. 암호화는 AES 암호화로 암호화를 진행됩니다. 일단 랜섬웨어 감염이 되는 곳은 악의적으로 조작된 웹사이트에 사용자가 접속했으면 보안 취약점을 악용해서 컴퓨터에서 윈도우 보안 업데이트 및 기타 프로그램을 최신프로그램을 유지하지 않으면 원격코드가 실행되는 Exploit를 통해서 감염됩니다. 일단 해당 랜섬웨어에 감염이 되면 기본적으로 다음과 같은 폴더에 새로운 파일들을 생성을 시도합니다.
C:\Users\%UserName%\AppData\Local\Temp\kgpvwnr.exe
C:\Users\%UserName%\AppData\Local\Temp\_HOW_TO_DECRYPT_MY_FILES_(랜덤)_.txt
C:\Users\%UserName%\Desktop\(랜덤).exe
C:\Windows\System32\Tasks\kgpvwnr
C:\Windows\System32\Tasks\(랜덤)
작업 스케줄을 통해서 calua.exe -a %Temp%\kgpvwnr.exe,%Temp%\_HOW_TO_DECRYPT_MY_FILES_(랜덤)_.txt을 생성이 됩니다.

그리고 랜섬노트을 생성을 하고 내용은 다음과 같습니다.
_HOW_TO_DECRYPT_MY_FILES_(랜덤)_.txt
ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
To receive the private key and decryption program follow the instructions below:
1. Download “Tor Browser” from https://www.torproject.org/ and install it.
2. In the “Tor Browser” open your personal page here:
http://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/xxxxxxxxxxx
Note! This page is available via “Tor Browser” only.
Also you can use temporary addresses on your personal page without using “Tor Browser”:
http://27dh6y1kyr49yjhx8i3.sayhere.party/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.goflag.webcam/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.keysmap.trade/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.segon.racing/xxxxxxxxxxx
Note! These are temporary addresses! They will be available for a limited amount of time!
대충 번역을 하면 다음과 같습니다.
모든 사진, 사진, 데이터베이스 및 기타 중요한 파일이 암호화되었습니다!
파일이 손상되지 않았습니다! 파일은 수정됩니다. 이 수정은 되돌릴 수 있습니다.
파일을 복원하는 유일한 방법은 개인 키와 암호 해독 프로그램을 받는 것입니다.
타사 소프트웨어로 파일을 복원하려는 시도는 파일에 치명적입니다!
개인 키와 암호 해독 프로그램을 받으려면 다음 지침을 따르십시오.
1. http://www.torproject.org/에서 "Tor Browser"를 다운로드하여 설치하십시오.
2. Tor 브라우저에서 개인 페이지를 엽니다.
https://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/xxxxxxxxxxx
노트! 이 페이지는 "Tor 브라우저"를 통해서만 사용할 수 있습니다.
또한 "Tor Browser"를 사용하지 않고도 개인 페이지에서 임시 주소를 사용할 수 있습니다.
http://27dh6y1kyr49yjhx8i3.sayhere.party/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.goflag.webcam/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.keysmap.trade/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.segon.racing/xxxxxxxxxxx
노트! 이들은 임시 주소입니다! 제한된 시간 동안 사용할 수 있습니다!
라는 메시지를 볼 수가 있습니다.

그리고 랜섬웨어 몸값을 제공하기 위해서 Tor 브라우저(토르 브라우저)를 다운로드 및 실행을 접속하게 합니다.
그리고 READ_ME_FOR_DECRYPT_ (확장). txt에는 다음과 같은 내용은 다음과 같습니다.
ALL Y0UR DOCUMENTS, PHOTOS, DATABASES AMD OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
To receive the private key and decryption program follow the instructions below:
1. Download "Tor Browser" from https://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
http://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/xxxxxxxxxxxx
문서, 사진, 데이터베이스 및 기타 중요한 파일이 암호화되었습니다!
경고! 타사 소프트웨어로 파일을 복원하려는 시도는 파일에 치명적입니다! 경고!
파일을 해독하려면 특수 소프트웨어 ( "My Decryptor")를 구매해야 합니다.
모든 거래는 BITCOIN 네트워크를 통해 수행되어야 합니다.
5일 이내에 제품을 특별 가격으로 살 수 있습니다 : BTC 0.200(~$ 1105)
5 일 후 제품의 가격은 최대 BTC 0.400(~$ 2210)
그리고 친절하게 비트코인을 구매 및 거래를 할 수 있는 사이트 목록들을 다음과 같이 보여 줍니다.
How to get "My Decryptor"?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Here are our recommendations:
Buy Bitcoins with Cash or Cash Deposit
LocalBitcoins (https://localbitcoins.com/)
BitQuick (https://www.bitquick.co/)
Wall of Coins (https://wallofcoins.com/)
LibertyX (https://libertyx.com/)
Coin ATM Radar (https://coinatmradar.com/)
Bitit (https://bitit.io/)
Buy Bitcoins with Bank Account or Bank Transfer
Coinbase (https://www.coinbase.com/)
BitPanda (https://www.bitpanda.com/)
GDAX (https://www.gdax.com/)
CEX.io (https://cex.io/)
Gemini (https://gemini.com/)
Bittylicious (https://bittylicious.com/)
Korbit (https://www.korbit.co.kr/)
Coinfloor (https://www.coinfloor.co.uk/)
Coinfinity (https://coinfinity.co/)
CoinCafe (https://coincafe.com/)
BTCDirect (https://btcdirect.eu/)
Paymium (https://www.paymium.com/)
Bity (https://bity.com/)
Safello (https://safello.com/)
Bitstamp (https://www.bitstamp.net/)
Kraken (https://www.kraken.com/)
CoinCorner (https://www.coincorner.com/)
Cubits (https://cubits.com/)
Bitfinex (https://www.bitfinex.com/)
Xapo (https://xapo.com/)
HappyCoins (https://www.happycoins.com/)
Poloniex (https://poloniex.com/)
Buy Bitcoin with Credit/Debit Card
Coinbase (https://www.coinbase.com/)
CoinMama (https://www.coinmama.com/)
BitPanda (https://www.bitpanda.com/)
CEX.io (https://cex.io/)
Coinhouse (https://www.coinhouse.io/)
Buy Bitcoins with PayPal
VirWoX (https://www.virwox.com/)
Could not find Bitcoins in your region? Try searching here:
BittyBot (https://bittybot.co/eu/)
How To Buy Bitcoins (https://howtobuybitcoins.info/)
Buy Bitcoin Worldwide (https://www.buybitcoinworldwide.com/)
Bitcoin-net.com (http://bitcoin-net.com/)
3. Send BTC 0.200 to the following Bitcoin address:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
4. Control the amount transaction at the "Payments History" panel below
5. Reload current page after the payment and get a link to download the software
 Payments: Total received: BTC 0.000
At the moment we have received from you: BTC 0.000 (left to pay BTC 0.200)
입니다.
그리고 암호화되는 파일 목록들은 다음과 같습니다.
.PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI., .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG
입니다. 일단 해당 랜섬웨어인 Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어)은 Cerber 랜섬웨어와 비슷한 모습도 있습니다. 일단 이런 악성코드에 감염되지 않는 방법은 기본적으로 윈도우 보안 업데이트를 해야 하면 Adobe Flash Player 등과 같이 자신이 사용하는 프로그램은 최신으로 유지해야 하면 기본적으로 백신프로그램을 설치하고 최신 업데이트 및 실시간 감시를 해야 하면 토렌트와 같은 곳에서 함부로 파일을 다운로드해서 실행을 하는 것을 최소화해야 합니다. 그리고 윈도우에서 시스템 복원지점을 설정돼 있습니다. 일단 해당 시스템 복원지점 지정이 돼 있다고 하면 ShadowExplorer(새도우 익스플러워)를 통해서 복구를 시도할 수가 있습니다. 다만 기본적으로 백신프로그램으로 해당 랜섬웨어를 제거를 하고 나서 ShadowExplorer(새도우 익스플러워)로 복원을 시도하면 됩니다. 그리고 백신프로그램과 함께 보조 백신프로그램 또는 랜섬웨어 방어 프로그램을 다운로드를 해서 실행을 해두는 것도 좋을 것입니다. 예를 들면 앱체크, Zemana Anti Malware등과 같은 프로그램을 다운로드 해서 실시간 감시를 하는 것도 좋은 방법이라고 생각이 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 타사 소프트웨어로 절때 복구 하면 안되는군요.
    랜섬웨어 무서워지네요.
    • 원래 랜섬웨어에서는 저렇게 경고성 글을 넣어서 사용자를 놀라게 합니다.랜섬웨어에 감염이 안되게 하는것이 제일 중요한것이라고 생각이 됩니다.

랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

Posted by Sakai
2017.08.11 00:00 소프트웨어 팁/보안

랜섬웨어라고 하면 기본적으로 AES,RSA같은 개인정보 보호 또는 중요한 메일 같은 내용, 중요한 파일, 중요한 문자 등을 암호화를 통해서 다른 사람들이 자신의 중요한 파일이나 내용을 함부로 열 수 없게 하려고 사용이 되고 있습니다. 즉 좋은 쪽으로 사용하면 이렇게 사용을 할 수가 있겠지만 나쁘게 사용을 한다고 해당 종은 기술을 역으로 나쁘게 이용을 해서 다른 사람의 파일을 강제적으로 잠그고 그리고 해당 내용을 풀려고 하면 돈을 내거나 비트코인을 내라고 합니다.

물론 해당 해커들이 잡히는 경우나 프로그램의 버그 그리고 흔히 이야기하는 재능기부 아니면 보안업체에서 해당 랜섬웨어를 깨뜨리면 암호화된 파일은 복원화가 가능합니다. 다만, 요즈음 해커들은 이런 것도 알고 있기 때문에 개인키를 따로 만들어서 해당 개인키가 없는 경우는 해당 랜섬웨어로 암호화된 파일은 풀 수가 없습니다. 물론 풀려고 하면 사법당국에서 범죄자를 체포하고 그리고 해당 개인키를 획득을 하면 해당 랜섬웨어 복원화도구를 만들어서 배포할 수 있지만 사실상 불가능에 가깝습니다. 즉 기본적으로 랜섬뭬어와 같은 악성코드를 예방하는 방법은 간단합니다.

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

윈도우 보안 업데이트를 하고 그리고 백신프로그램을 설치하거나 보조 백신프로그램 설치 또는 랜섬웨어 감염 예방 프로그램을 설치해서 이에 대비를 하는 방법 그리고 자신이 사용하는 프로그램은 최신 업데이트로 업데이트를 해두어야지 이런 피해로부터 최소화가 가능합니다. 그리고 요즈음 랜섬웨어들은 MBR부분도 암호화하거나 파괴를 하기 때문에 정말 악성코드에 감염되면 머리가 아파집니다. 그래서 지난 시간에 MBR보호 프로그램을 소개를 해주었고 MBR보호 기능이 있는 앱체크라는 프로그램을 소개해 드렸습니다.

일단 오늘 시켜 드리는 랜섬웨어 감염 예방 프로그램인 Ransomoff(랜섬오프)은 기본적으로 무료인데 MBR 보호 기능이 있다고 하는 것이 특징입니다. 일단 특별하게 조작을 할 것이 없고 프로그램을 다운로드 해서 실행을 시켜주면 됩니다. 그리고 기본적인 옵션으로 사용하면 됩니다. 다만, 현재 Ransomoff(랜섬오프)은 RC 버전이라서 조금은 불안정할 수가 있습니다.
그러니까 자신이 한번 설치를 해보고 싶은 분만 설치를 하고 이런 위험 부담을 감수하기 싫은 분들은 정식 버전이 나올 때까지 기다렸다고 설치하는 방법과 아니면 가상 시스템를 통해서 설치를 해보는 것도 좋은 방법입니다. 일단 어느 것을 선택하든 자신이 좋은 방법을 선택하면 될 것입니다.

Ransomoff(랜섬오프)
다만, 앞서 이야기한 것처럼 기본적으로 악성코드에 감염되지 않으려면 자신이 사용하는 최신 프로그램은 항상 최신 업데이트로 유지 관리하면 윈도우 업데이트는 귀찮더라도 시간을 내어서 업데이트를 하고 백신프로그램도 무료로 제공되고 있는 것들도 좋은 것 많으니까 백신프로그램은 반드시 업데이트를 해서 사용을 하시길 바랍니다. 그것이 악성코드를 예방하는 길이면 그리고 제일 중요한 것은 기본적인 보안 수칙인 프로그램을 다운로드 설치를 하려고 하면 반드시 해당 프로그램이 정식으로 서비스하는 사이트에서 다운로드 하고 설치를 하시길 바랍니다. 그리고 토렌트 같은 곳에서 함부로 프로그램이나 동영상을 다운로드 해서 실행을 하는 것도 위험합니다. 그러한 곳에서는 악성코드들도 많이 배포가 되고 있고 물론 백신프로그램에 탐지가 되면 좋겠지만 그렇지 않았으면 악성코드 때문에 개인정보가 노출되는 현상을 피해야 할 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬 웨어도 조금은 잠잠해진 것 같아요
    • 그래도 새로운 랜섬웨어는 해외에서는 많이 제작이 되고 있고 언제 한국에 들어올지 모르니 미리 조심하는것이 좋을것 같습니다.
  2. 다양한 랜섬웨어가 생기는만큼 다양한 방어 프로그램도 많이 생기네요 ㅎㅎ
    • 네~자신에게 맞는 랜섬웨어 예방 프로그램을 사용을 하시면 될것입니다.

랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

Posted by Sakai
2017.07.31 00:01 소프트웨어 팁/보안

랜섬웨어라고 하면 아마도 간단합니다. 보안을 위해서 사용이 되는 AES등과 같은 암호화 기술을 이용해서 사용자 컴퓨터에서 감염 그리고 해당 암호화 기술을 이용해서 암호화를 진행하고 나서 가상화폐인 비트코인을 요구를 하고 비트코인이 입금이 되면 해당 암호화를 복원할 수가 있는 프로그램을 제공하는 방식을 취하고 있습니다.

물론 가상화폐인 비트코인을 받고 해당 복원화 도구를 제공하고 복원화에 성공을 한다고 하면 모르겠지만 복원화도구를 주지 않은 경우가 있거나 복원화가 되더라도 100% 복구가 되지 않는 경우가 있습니다.

즉 랜섬웨어에 감염이 되면 사실상 복구는 불가에 가깝다고 볼 수가 있습니다. 일단 오늘 소개해 드리는 랜섬웨어 예방 프로그램인 RansomFree은 Cybereason팀에서 제공을 하는 랜섬웨어 예방 도구입니다. 일단 작동이 되는 운영체제는 다음과 같습니다.

Cybereason RansomFree

Windows 7, Windows 8, Windows 10, Windows Server 2008 R2, Windows 2012 R2입니다. 일단 동작 방식은 허니팟으로 작동하는 파일 시스템 전체에 무작위로 이름이 지정된 폴더를 만들어 작동합니다. 그리고 시스템에 상주하고 있다가 랜섬웨어로 의심이 되는 행동을 하면 사용자에게 팝업으로 해당 메시지를 보여줍니다. 물론 여기서 사용자가 실행할 것인지 말 것인지를 결정을 하게 됩니다.

일단 해당 회사인 Cybereason 회사는 클라우드 기반의 보안 솔루션 Cybereason을 제공하는 보안 업체로서 이스라엘군의 첩보 부대에서 사이버 보안에 참여한 회원들에 의해 개발되고 있다고 하면 AI를 활용해서 자체 분석 기술로 랜섬웨어 공격의 징후를 실시간으로 탐지하고 표적 공격과 랜섬웨어 등으로부터 시스템을 보호할 수가 있다고 합니다.

일단 무료로 배포되고 있으면 먼저 해당 프로그램을 사용하기 전에 PDF로 작성된 설명서를 꼼꼼히 읽어보고 사용을 하는 것도 좋은 방법일 것입니다. 일단 기본적으로 랜섬웨어 같은 악성코드로부터 보호하고 싶은 경우에는 기본적으로 윈도우 보안 업데이트를 자동 업데이트를 해놓고 업데이트가 있으면 시간이 걸리더라도 반드시 보안 업데이트를 하면 그리고 자신이 사용하는 프로그램은 항상 최신 버전으로 유지 관리하면서 특히 토렌트 같은 곳에서 함부로 영화, 파일 같은 것을 다운로드 해서 실행을 하는 것은 조심해야 할 것입니다.

즉 유명한 동영상 프로그램을 가장해서 해당 파일을 실행하는 순간 감염이 이루어지는 방식을 취하고 있기 때문이죠. 일단 기본적인 보안 수칙을 지킨다고 하면 랜섬웨어 같은 악성코드에 감염되는 확률은 줄어들 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 드디어 감염예방 프로그램도 나왔군요
    • 여러가지 랜섬웨어 감몀 예방 프로그램들이 있으니까 자신에게 맞는것을 사용을 하면 될것이라고 생각이 됩니다.
  2. 랜섬웨어도 이제는 극복 하는 군요.
    • 가장 기본은 보안 업데이트를 하는것입니다.
  3. 믿음직스럽지 못한 알약도 페이크폴더 생성후 잡는것 같더라구요 ㅎㅎ
    • 대부분이 백신프로그램들은 그렇게 되어져 있는것 같습니다.

Erebus Ransomware(에레버스 랜섬웨어) 감염 증상 및 예방 벙법

Posted by Sakai
2017.06.12 20:10 소프트웨어 팁/보안

Erebus Ransomware(에레버스 랜섬웨어는 일단 기본적으로 윈도우에 있는 보안 기능인 UAC 바이 패스를 사용하여 UAC 프롬프트를 표시하지 않고 최고 권한으로 허용을 가능하게 설계된 랜섬웨어 입니다. 즉 Erebus Ransomware(에레버스 랜섬웨어는 기본적으로 MSC 파일 연결을 하이재킹통한 UAC 우회할 수 있는 기능을 가지고 있습니다.
Erebus Ransomware(에레버스 랜섬웨어 감염이 되어서 설치가 되면 설치 관리자가 실행되면 윈도우 보안 기능 중 하나인 UAC(User Account Control) 우회 방법을 사용하여 컴퓨터 사용자보다 더 높은 권한을 획득합니다. 그리고 같은 폴더에 있는 임의의 이름이 지정된 파일에 자신을 복사하기를 진행합니다. 그리고 난 다음 Windows 레지스트리를 수정하여 .msc 파일 확장명에 대한 연결 통해서 하이재킹을 통한 마음대로 지정된  Erebus가 대신 실행되도록 구성이 돼 있습니다. 그리고 레스지스터리에서는 아래와 같이 변경을 합니다.
HKEY_CLASSES_ROOT\.msc
HKCU\Software\Classes\mscfile
HKCU\Software\Classes\mscfile\shell
HKCU\Software\Classes\mscfile\shell\open
HKCU\Software\Classes\mscfile\shell\open\command
HKCU\Software\Classes\mscfile\shell\open\command\ %UserProfile%\[무작위].exe
그리고 피해를 입은 사용자에게 맞춤 서비스를 제공하기 위해서
IP 주소와 국가를 확인하기 위해 http://ipecho.net/plain 및 http://ipinfo.io/country에 연결시도를 합니다. 그런 다음 TOR 클라이언트를 자동으로 내려받기가 됩니다.
그리고 컴퓨터에서 아래의 파일들이 있는지 검색을 합니다.

.accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx
그리고 암호화 방식은 AES 방식을 사용합니다. 그리고 ROT-23을 이용해서 확장자를 암호화합니다. 그리고 확장자는 ROT-23을 사용하여 확장자를 암호화합니다. 그리고 확장자명.msj으로 변경을 합니다..
그리고 사용자 컴퓨터에서 Windows 볼륨 섀도 복사본이 있는지 확인을 합니다. 즉 사용자가 새도우 익스플러워 같은 프로그램을 통해서 복구하는 것을 방지하기 위해서 Windows 볼륨 섀도 복사본을 지워 버리는 명령어를 수행합니다.
cmd.exe /C vssadmin delete shadows /all /quiet && exit
그리고 나서 몸값을 받아내기 위해서 사용자 바탕 화면에 README.HTML이라는 것이 생성되고 몸값을 받아내기 위한 고유 IID, 암호화된 파일 목록 및 TOR 지불 사이트로 이동하는 버튼이 포함해줍니다.
그리고 사용자에게 당신의 파일은 암호화가 진행되었다는 것을 바탕화면에 표시해줍니다. 그리고 암호화 작업을 하려고 감염이 된 컴퓨터에 남는 파일목록들은 다음과 같습니다.
%UserProfile%\AppData\Local\Temp\tor\ %UserProfile%\AppData\Local\Temp\tor\Data\ %UserProfile%\AppData\Local\Temp\tor\Data\Tor\ %UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip %UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip6 %UserProfile%\AppData\Local\Temp\tor\Tor\ %UserProfile%\AppData\Local\Temp\tor\Tor\libeay32.dll %UserProfile%\AppData\Local\Temp\tor\Tor\libevent-2-0-5.dll %UserProfile%\AppData\Local\Temp\tor\Tor\libevent_core-2-0-5.dll %UserProfile%\AppData\Local\Temp\tor\Tor\libevent_extra-2-0-5.dll %UserProfile%\AppData\Local\Temp\tor\Tor\libgcc_s_sjlj-1.dll %UserProfile%\AppData\Local\Temp\tor\Tor\libssp-0.dll %UserProfile%\AppData\Local\Temp\tor\Tor\ssleay32.dll %UserProfile%\AppData\Local\Temp\tor\Tor\tor-gencert.exe %UserProfile%\AppData\Local\Temp\tor\Tor\tor.exe %UserProfile%\AppData\Local\Temp\tor\Tor\zlib1.dll %UserProfile%\AppData\Local\Temp\tor.zip %UserProfile%\AppData\Roaming\tor\ %UserProfile%\AppData\Roaming\tor\cached-certs %UserProfile%\AppData\Roaming\tor\cached-microdesc-consensus %UserProfile%\AppData\Roaming\tor\cached-microdescs.new %UserProfile%\AppData\Roaming\tor\lock %UserProfile%\AppData\Roaming\tor\state %UserProfile%\Desktop\test\xor-test.pdf %UserProfile%\Desktop\README.html %UserProfile%\Documents\README.html %UserProfile%\[랜덤].exe
네트워크는 통신인 다음과 같이 수행을 진행합니다.
http://erebus5743lnq6db.onion/
그리고 이런 종류의 악성코드에 감염되기 전에 미리 조금은 귀찮더라도 윈도우 업데이트에서 윈도우 업데이트 하라고 하면 기본적으로 시간을 내어서 반드시 진행이 돼야 하면 기본적으로 브라우저도 최신 업데이트 유지, Adobe Flash Player, Java(사용하는 분들만), 소프트웨어 최신 업데이트 유지, 백신프로그램 사용 실시간 감시 및 최신 갱신, 어둠의 경로는 자제해야지 이런 악성코드에 감염되는 것을 최소화할 수가 있으며 물론 윈도우 같은 경우 Windows XP같이 지원이 끝난 운영체제를 사용하고 있어서는 안 될 것입니다.
Windows XP, Windows Vista(2017년4월11일 연장 지원 종료)를 사용을 하고 있으면 Windows 7(2020년1월14일 연장 지원 종료 예정),Windows 8. Windows 10으로 업데이트를 권장을 합니다.
즉 아무리 기본적으로 백신프로그램을 설치한다고 해도 윈도우 기술지원이 안 되면 이런 악성코드에 감염될 확률은 높습니다. 그리고 외장하드디스크에 백업프로그램을 이용한 백업을 이용하면 나중에 유용하게 사용을 할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

Jaff ransomware(Jaff 랜섬웨어)감염 증상 및 예방 방법

Posted by Sakai
2017.06.08 00:03 소프트웨어 팁/보안

최근에 컴퓨터 보안에 가장 위협이 되는 것 중 하나가 바로 랜섬웨어일것입니다. 기본적으로 파일을 AES, RSA 등으로 암호화 아니며 두 가지를 다 사용하는 때도 있습니다. 암호화해서 사용자에게 암호를 풀려고 싶으면 해당 주소를 통해서 가상화폐인 비트코인을 계좌이체를 할 수가 있는 주소를 제시하고 해당 계좌를 통해서 비트코인을 입금을 하면 암호화된 파일을 해제하기 위한 도구를 준다고 나와져 있습니다. 물론 진짜로 해당 파일을 복원화도구를 주는 경우가 있겠지만 실제로는 대부분은 먹튀를 할 가능성이 큽니다. 즉 랜섬웨어을 제거를 하고 랜섬웨어 복구 도구가 나오기 전까지 그냥 무기한 기다리는 것뿐입니다. 그래서 윈도우 업데이트,프로그램 최신 업데이트 유지,백신프로그램 사용,보조 백신프로그램사용, 랜섬웨어 방어 전용도구 사용을 해서 피해를 줄이는 방법뿐입니다. 일단 오늘은 Jaff ransomware(Jaff 랜섬웨어)감염 증상에 대해 알아보겠습니다.

먼저 Jaff ransomware(Jaff 랜섬웨어)은 기본적으로 Locky ransomware(록키 랜섬웨어)하고 비슷한 부분도 많이 있기는 합니다. 일단 Locky ransomware(록키 랜섬웨어)변형들은 은 약 800개의 다른 함수로 구성되어 있고  Jaff ransomware(Jaff 랜섬웨어)는 약 50개로 구성되어 있기 때문 있습니다. 그리고 Obfuscator을 사용을 해서 멀웨어 제작자는 잠재적으로 여러 계층의 암호화 및 압축한 파일 아래에서 악성코드를 숨겨서 분석을 어렵게 만드는 데 사용되는 도구입니다. 그리고 C언어로 작성된 랜섬웨어이기도 합니다. 일단 해당 랜섬웨어는 암호화에 성공하면 .jaff 확장자를 추가하게 됩니다.

지금은 가격이 올라갔는지 모르겠지만 대략 몸값은 3,800달러, 3,500유로, 3,000파운드에 가까운 랜섬웨어입니다.Jaff ransomware(Jaff 랜섬웨어)은 기본적으로 Necurs 다운로더 또는 봇넷을 통해 랜섬웨어를 전파를 합니다. 그리고 보통은 PDF 파일이 함께 포함돼 있으면 랜섬웨어 제작자들은 사용자에게 PDF 문서에 포함된 DOCM (embedded document-macro) 파일을 열어 달라고 강력하게 요청을 합니다. 물론 열면 랜섬웨어가 활동을 시작합니다.

그리고 Necurs는 사회 공학적 기법 즉 알기 쉽게 이야기하면 사회공학적 기법은 우리가 현재 이슈가 될 이야기들이나 불륜 스캔들과 같이 사용자의 호기심을 자극하는 것으로 악성코드를 실행을 유도하는 방법입니다. 그리고 Jaff ransomware(Jaff 랜섬웨어)는 조금은 특이하게 RSA와 AES를 동시에 사용을 하는 랜섬웨어 입니다.

즉 먼저 랜섬웨어에 감염이 되면 먼저 악성코드 제작자는 공용 RSA를 다운로드를 시도를 하고 나서 RSA로 암호화합니다. 그리고 나서 AES-256비트로 암호화를 한 번 더 실행을 합니다. 그리고 나서 컴퓨터에서 암호화할 대상을 찾기 시작을 하면 암호화되는 파일들은 다음과 같습니다.

.xlsx, .acd, .pdf, .pfx, .crt, .der, .cad, .dwg, .MPEG, .rar, .veg, .zip, .txt, .jpg, .doc, .wbk, .mdb , .vcf, .docx, .ics, .vsc, .mdf, .dsr, .mdi, .msg, .xls, .ppt, .pps, .obd, .mpd, .dot, .xlt, .pot,. obt, .htm, .html, .mix, .pub, .vsd, .png, .ico, .rtf, .odt, .3dm, .3ds, .dxf, .max, .obj, .7z, .cbr, .deb, .gz, .rpm, .sitx, .tar, .tar.gz, .zipx, .aif, .iff, .m3u, .m4a, .mid, .key, .vib, .stl, .psd, .ova, .xmod, .wda, .prn, .zpf, .swm, .xml, .xlsm, .par, .tib, .waw, .001, .002, 003., .004, .005, .006 , .007, .008, .009, .010, .contact, .dbx, .jnt, .mapimail, .oab, .ods, .ppsm, .pptm, .prf, .pst, .wab,1cd,. 3g2, .7ZIP, .accdb, .aoi, .asf, .asp., aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .if, .flv, .idx, .js, .kwm, .laccdb, .idf, .lit, .mbx, .md, .mlb, .mov, .mp3, .mp4, .mpg, .pages , .php, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .aac,. ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dotm, .dotx, .d rw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsx, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xltm, .xltx, .xlw, .act, .adp, .al , .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h,. iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit , .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .ndf, .nvram, .ogg, .ost, .pab, .pdb,. pif, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdt, .ach, .acr, .adb, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm , .tex, .wallet, .wb2, .wp, .x11, .x3f, .xis, .ycbcra, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, rwl, .rwz , .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlited .ppd, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pptx, .psafe3, .py, .qba, .qbr.myd, .ndd, .nef, .nk, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .ord, .otg, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw , .mny, .moneywell, .mrw.des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erd, .exf, .ffd, .fh, .fhd, .gray , .grey, .gry, .hbk, .ibank, .ibd, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl,. db_journal, .dc2, .dcs, .ddoc, .ddrw, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .as4

그리고 AES-256 비트를 통해서 파일 첫 부분에 512KB까지 암호화를 진행합니다. 즉 랜섬웨어 제작자의 공용 RSA 키를 사용하고 나서 AES 키를 암호화하고 암호화된 블록의 크기와 새 파일에 암호화된 바이트를 함께 저장해버립니다. 그리고 마지막으로 암호화되지 않은 데이터를 파일에 추가하는 방식을 취하고 있습니다. 이것을 보면 철저하게 준비한 것으로 볼 수가 있습니다.

즉 Jaff ransomware(Jaff 랜섬웨어)는 인터넷 연결이 필요없이도 암호화가 가능해진다는 것도 의미합니다. 그리고 복구 도구를 계발하려면 먼저 랜섬웨어 제작자의 RSA 공용키가 필요하다는 것을 의미하게 됩니다.

그래서 앞서 이야기한 것처럼 그래서 윈도우 업데이트,프로그램 최신 업데이트 유지,백신프로그램 사용,보조 백신프로그램사용,랜섬웨어 방어 전용도구 사용을 해서 피해를 줄이는 방법과 그리고 외장하드디스크 구매를 해서 하드디스크를 전체를 백업을 해주면 나중에 랜섬웨어에 감염이 되더라도 조금은 능동적으로 대처할 수가 있게 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 잘 읽고 공감누르고 갑니다.
    기분 좋은 목요일 되세요^^
    • 네~감사합니다.오늘 하루도 즐겁게 보내세요.
  2. 인터넷 뉴스 보니까.. 모바일 게임 업체 서버가 랜섬웨어 감염되서 서비스 종료를 했다고 하더라구요..
    안걸리게 예방하는게 가장 좋은것 같습니다..
    • 안걸리게 미리 예방을 하는것이 최선의 방법이라고 생각이 됩니다.

무료 암호화 소프트웨어 VeraCrypt 1.19 보안 업데이트

Posted by Sakai
2016.10.20 10:01 소프트웨어 팁/보안

오픈소스 형태로 무료로 배포되고 있는 무료 암호화 프로그램인 VeraCrypt에 대한 보안 업데이트가 진행이 되었습니다. VeraCrypt라고 하면 기본적으로 Truecrypt의 뒤를 잇는 암호화 프로그램이며 기본적으로 AES,Serpent,Twofish이며 5가지 조합으로 하는 다단 암호화(Multiple encryption) 알고리즘도 지원하고 있어서 암호화에 도움이 되면 특히 공인인증서 또는 중요한 문서 등과 같은 파일들을 암호화하는데 도움을 받을 수가 있는 프로그램입니다. 일단 이번 VeraCrypt 1.19 보안 업데이트에서는 총 28건의 보안 취약점이 해결되었으며 다른 사람 사이에서 Windows 시스템의 Truecrypt에서 상속된 MBR 부트로더에 암호 길이의 누출 등을 문제를 해결했습니다.

그리고 VeraCrypt 1.19 보안 업데이트에서는 아직은 복잡성이 높고 코드와 아키텍처에 변경을 요구하는 AES 구현 관련 취약점 등은 아직 해결이 되지 않고 있지만 일단 VeraCrypt 1.19 보안 업데이트를 진행을 하지 않으면 악용될 위험이 있어서 암호되어져 있는 파일 부분 등이 노출될 수가 있는 문제가 발생할 수가 있으니까 해당 VeraCrypt를 사용하고 계시는 분들은 반드시 VeraCrypt 1.19 보안 업데이트해서 사용을 하는 것이 안전하게 VeraCrypt를 이용하는 방법의 하나가 될 것입니다.

일단 기본적으로 VeraCrypt 홈페이지로 이동해서 반드시 VeraCrypt 1.19 보안 갱신을 하고 해당 VeraCrypt를 이용하시길 바랍니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

72시간 지나면 몸값을 올리는 랜섬웨어-Locker

Posted by Sakai
2016.04.28 20:01 소프트웨어 팁/보안

Locker이라는 랜섬웨어는 작년에 발견된 랜섬웨어 이지만 국내에서는 잘 알려지지 않은 랜섬웨어 입니다. 일단 거의 모든 안티바이러스에서 해당 랜섬웨어 탐지를 할 수가 있습니다.

일단 해당 Locker이라는 랜섬웨어는 2015년 5월에 발견이 되었으면 해당 랜섬웨어는 Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10에서 작동하는 악성코드입니다. 해당 핸섬웨어에 감염이 되면 일단 기본적으로 특정 파일 확장자에 대한 모드 드라이브를 스캔을 시작하고 AES암호화를 진행을 하고 해당 암호화가 성공을 하면 가상화페인 비트코인을 요구를 시작하면 해당 요구는 72시간이 지나고 나면 사용자에서 몸값을 지급하지 않았으니 몸값은 1비트 코인을 올려버립니다.

그리고 해당 랜섬웨어는 이동식 드라이브, 네트워크 공유를 검사해서 데이터 암호화를 실행합니다.

그리고 감염이 완료되면 하드디스크에 있는 Shadow Volume 사본을 삭제를 시도하면 그리고 랜섬웨어 분석을 방지하기 위해서 컴퓨터에 VMware, 버추얼 박스,와이어샤크, netmon, Procexp,processhacker,fiddler,anvir,cain,nwinvestigatorpe,uninstalltool,installwatch,inctrl5,installspy,systracer,whatchanged,trackwinstall프로세스를 감지를 하면 해당 자동으로 종료하게 돼 있어서 악성코드 분석을 방해합니다. 보면 anvir라는것을 백신프로그램 프로세스를 검사하는 것을 확인할 수가 있습니다.

해당 랜섬웨어는 암호화에 성공했으면 정보화면, 결제를 위한 결제 화면, 파일화면, 상태 화면으로 사용자에게 친절하게? 결제화면과 해당 암호화된 파일을 볼 수가 있습니다.

기본적으로 예방 방법으로 윈도우 보안 업데이트를 진행을 합니다. 그리고 오래된 소프트웨어가 설치돼 있으면 해당 프로그램을 사용하지 않으면 삭제를 하거나 아니면 업데이트를 통해서 최신 상태로 유지합니다. 그리고 해당 Locker에 감염되었을 때는 해당 랜섬웨어 복원화 파일이 존재하고 있습니다.

Locker 복원화 도구

일단 복원도구인 Lockerunlocker 다운로드해서 설치를 합니다.그리고서 실행을 하고 나서 Brute BTC를 통해서 암호화를 복원화를 할수가 있을것입니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로