MBR를 파괴하는 랜섬웨어-RedEye Ransomware(레드아이 랜섬웨어)

Posted by Sakai
2018.06.12 00:00 소프트웨어 팁/보안

오늘은 컴퓨터 MBR 영역을 파괴하는 랜섬웨어인 RedEye Ransomware(레드아이 랜섬웨어)에 대해 알아보는 시간을 가져 보겠습니다. RedEye Ransomware 는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 돈을 요구하는 악성코드입니다.

일단 해당 RedEye Ransomware(레드아이 랜섬웨어)에 감염이 되면 기본적으로 컴퓨터 파일들을 지우고 MBR(마스터 부트 레코드)를 지우면 컴퓨터를 부팅을 할 수가 없게 만드는 랜섬웨어 입니다.
RedEye Ransomware(레드아이 랜섬웨어)는 파일을 암호화하고 나서. RedEye 확장자로 변경합니다.

파일 크기를 0KB 로 변경을 합니다. 암호화는 AES 암호화 알고리즘을 사용합니다. 해당 랜섬웨어는 악의적인 스크립트를 시작하는 페이로드 드로퍼(payload dropper)가 인터넷에 퍼져 나가고 있으며 해당 파일이 컴퓨터 시스템에 저장되고 어떻게 든 실행 하면 컴퓨터 시스템이 감염됩니다. 일단 기본적으로 윈도우 업데이트는 최신을 유지하면서 의심 가는 파일은 실행하는 것은 삼가야 합니다.
랜섬웨어 노트는 다음과 같습니다.

RedEye Ransomware
All your personal files has been encrypted with an very strong key by RedEye!
(Rijndael-Algorithmus – AES – 256 Bit)
The only way to get your files back is:
– Go to http://redeye85x9tbxiyki.XXXXXon/tbxIyki –개인 ID
and pay 0.1 Bitcoins to the adress below! After that you need to click on
“Check Payment”. Then you will get a special key to unlock your computer.
You got 4 days to pay, when the time is up,
then your PC will be fully destroyed!
Your personal ID: [xxxxxxx]
대충 번역을 하면 다음과 같습니다.
RedEye Ransomware
RedEye는 모든 개인 파일을 매우 강력한 키로 암호화합니다!
(Rijndael-Algorithmus-AES-256 비트)
파일을 다시 가져 오는 유일한 방법은 다음과 같습니다.
- http://redeye85x9tbxiyki.XXXXXXX/tbxIyki로 이동 - 개인 ID를 입력하십시오.
아래 주소에 0.1 비트코인를 지급하십시오! 그 후 클릭해야 합니다.
"지급 확인". 그런 다음 컴퓨터의 잠금을 해제하는 특수 키를 받게 됩니다.
당신은 지급할 사흘이 있고, 시간이 다되면,
그러면 PC가 완전히 파괴될 것입니다!
귀하의 개인 ID: [XXXXX]

일단 기본적으로 비트코인를 지급을 한다고 해당 복원키를 받는다고 보장을 할 수가 없습니다. 그리고 해당 랜섬웨어는 PC 종료를 하거나 해당 랜섬웨어가 제시하는 타이머가 만료되면 컴퓨터가 다시 시작되고 MBR(마스터 부트 레코드)이 시스템에 액세스 할 수 없다고 간주하여 MBR 영역이 교체됩니다. 그리고 운영체제를 재부팅을 하고 나면 다음과 같은 메시지를 볼 수가 있습니다.
RedEye Terminated your computer!
The reason for that could be:
– The time has expired
– You clicked on the ‘Destroy PC’ button
There is no way to fix your PC! Have Fun to try it :)
My YouTube Channel: iCoreX <- Subscribe :P Add me on discord! iCoreX#3333 <- Creator of Jigsaw, Annabelle & RedEye Ransomware! My old discord account named ’ iCoreX#1337’ got terminated by discord.
그리고 암호화하는 파일은 다음과 같습니다.
.bmp, .doc, .docx, .jpg, .png, .ppt, .pptx, .mp3, .xsl, .xslx
RedEye Ransomware(레드아이 랜섬웨어)는 섀도우 볼륨 복사본을 삭제하는 명령어를 다음과 같이 실행을 합니다.
vssadmin.exe delete shadows /all /Quiet를 실행을 합니다.
그래서 시스템복원지점을 만들어 놓았더라도 그렇게 도움이 되지 않습니다. 그래서 미리 중요한 파일은 백업하는 것이 제일 좋은 방법이고 그다음은 윈도우 자동업데이트는 함부로 끄지 말고 UAC도 마찬가지로 끄지 말고 그리고 백신프로그램도 실시간 감시 최신 갱신을 해야 하면 그리고 지난 시간에 소개해 드린 MBRFilter 같은 것을 사용해서 MBR 영역이 파괴되는 것을 차단할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어 피해가 많이 줄어든 거 같아요
    • 그래도 방심하면 랜섬웨어에 감염이 될수가 있으니까 항상 주의를 해야 될것 같습니다.
  2. 와 mbr 영역까지 건드리는 녀석도 있네요..

앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

Posted by Sakai
2018.03.21 00:00 소프트웨어 팁/보안

오늘은 앱체크(AppCheck)에서 제공을 하고 잇는 랜섬웨어방어프로그램인 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법에 대해 알아보겠습니다.일단 기본적으로 백신프로그램을 사용을 하다보면 기본적으로 자신이 사용하는 프로그램들이 악성코드가 포함돼 있는지 의심스러울 수가 있고 오진이 발생하는 경우가 있을 것입니다.

이때 기본적으로 사용자가 능동적으로 취할 수가 있는 행동은 기본적으로 해당 보안 업체에 의심파일 및 오진 파일을 신고해야 자신이 사용하는 것과 그리고 다른 사람들도 해당 부분에 대해서 도움이 될 것입니다. 일단 앱체크(AppCheck)은 기본적으로 CheckMAL(체크멀)에서 만든 제품으로 일단 기본적으로 한국어, 일본어, 영어를 지원하면 그리고 Windows 7 SP1 이상에서 지원합니다.

일단 앱체크는 개인(비영리) 사용자는 기능이 제한으로 무료로 제공하고 있으며 모든 기능을 사용하거나 기업 및 공공기관(영리) 등에서 사용하려면 앱체크 프로(AppCheck Pro)를 구매해서 사용하면 됩니다. 자체 개발한 상황 인식 기반 랜섬웨어 행위 탐지 기술인 CARB 엔진을 사용하고 있으며 보조 백신으로 사용되기 때문에 다른 안티바이러스(백신프로그램) 제품과의 충돌은 별로 없습니다. 일단 기본적으로 제공되는 기능들은 다음과 같습니다.

앱 체크 악성코드 의심 신고 및 오진 신고

실시간 보호
랜섬웨어 사전 방어
랜섬웨어 대피소
랜섬웨어 차단 후 자동 치료(유료)
로그 정보 세분화
자동 백업(유료)
폴더 보호
MBR 보호
취약점 공격 보호(일부 기능 유료)

Stable 업데이트(해당 업데이트는 무료 업데이트 보다 24시간 지나고 업데이트가 되는 기능입니다. 즉 업데이트로 인한 오류를 해결하기 위한 기능입니다. 해당 기능은 유료 사용자에게 제공되는 기능입니다.)
그리고 앱체크는 해외 유명 IT 매체 테크레이더에서 2017 최고의 유료 안티랜섬웨어로 지정이 되기도 했습니다.


일단 악성코드 의심파일 및 오진 신고 방법은 간단합니다. 먼저 해당 문의를 접수할 수가 있는 곳으로 접속합니다. 그리고 나서 문의하는 곳이 나올 것입니다. 여기서 해당 의심스러운 파일을 압축합니다.

굳이 비밀번호를 걸어두었다면 반드시 비밀번호를 가르쳐주어야 합니다. 즉 그냥 압축파일로 해서 보내면 됩니다. 그리고 이메일을 입력하고 문의내용에 자기가 아는 내용을 적어주면 악성코드 분석가분들에게 도움이 될 것입니다. 그리고 나서 기다리다 보면 이메일로 해당 문의에 대한 내용을 볼 수가 있으면 모바일로 접속했을 때는 파일을 아직은 첨부를 할 수가 없으므로 반드시 컴퓨터로 접속해서 해당 파일을 보내주면 됩니다. 간단하게 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법에 대해 알아보았습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 저도 한 번 점검해봐야겠는데요 잘 알고 갑니다
  2. 저도 사용하고 있는데요!
    맨날 사용하고있는것만 사용해서그런지
    아직까지 오진은 없네요 ㅎㅎ
    • 네~개인적으로도 사용을 하고 있지만 그렇게 오진은 없는것 같습니다.

애나벨 랜섬웨어(Annabelle Ransomware) 감염 증상

Posted by Sakai
2018.02.26 00:00 소프트웨어 팁/보안

해당 랜섬웨어인 애나벨 랜섬웨어(Annabelle Ransomware)은 공포영화인 애나벨(Annabelle)을 모티브로 제작된 랜섬웨어 입니다. 일단 해당 랜섬웨어인
Annabelle Ransomware은 일단 기본적으로 일단 해당 애나벨 랜섬웨어는 일단 기본적으로 보안 프로그램 종료, Windows Defender 사용 안 함, 방화벽 끄기, 파일 암호화, USB 드라이브를 통한 확산 그리고 다양한 프로그램을 실행할 수 없도록 설정 한 다음 사용자의 컴퓨터를 엉망진창으로 만들려고 만들어진 랜섬웨어 입니다.

일단 기본적으로 보통 랜섬웨어들은 기본적으로 비트코인,대쉬 같은 가상화폐를 요구해서 수익을 창출하는 것보다는 기본적으로 실력 과시에 가깝지 않나 싶습니다. 일단 해당 랜섬웨어는Annabelle Ransomware은 Windows에 로그인할 때 자동으로 시작되도록 구성이 돼 있습니다. 그리고 기본적으로 Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome 등을 강제 종료합니다.

그리고 나서 이미지 파일 실행 레지스트리 항목을 구성하여 위에 나열된 프로그램과 notepad++, 메모장, Internet Explorer, Chrome, Opera, bcdedit 등과 같은 다양한 프로그램을 시작할 수 없도록 막아 버립니다. 그리고 나서 모든 작업이 끝이 나면 파일 확장자 명을 .ANNABELLE 확장자로 변경해버립니다. 그리고 언제나 랜섬웨어들이 하는 것처럼
랜섬 노트를 남겨줍니다.

랜섬 노트 내용은 다음과 같습니다.
What Happened to my files? All your files are encrypted and secured with a strong key. There is no way to get them back without your personal key. How can I get my personal key? Well, you need to pay for it. You need to visit one of the special sites below & then you need to enter your personal ID (you find it on the top) & buy it. Actually it costs exactly 0.1 Bitcoins. How can I get access to the site? You easily need to download the Torbrowser, you can get it from this site: https://www.torproject.org What is goin to happen if I'm not going to pay? If you are not going to pay, then the countdown will easily ran out and then your system will be rboken. If you are going to restart, then the countdown will ran out a much faster. So, its not a good idea to do it. I got the key, what should I do now? Now you need to enter your personal key in the textbox below. Then you will get access to the decryption program. - The darknet sites are not existing, its just an example text. The other things are right, except the darknet thing. Its possible to get the key, but if I going to do a new trojan, or new version of this then I will add real ways to get the key :) If you wanna that I going to do a 2.0 or a new trojan, then write it below in the comments. Thanks If you wanna chat with me, contact me easily in discord: iCoreX#1337

그리고 해당 랜섬웨어는 마스터 부트 레코드(MBR)까지 가짜 부트 로더로 덮어쓰기 기능도 추가로 있기 때문에 정말 감염이 되면 파일 복구는 포기하는 것으로 목적으로 하는 것 같습니다. 그리고 해당 랜섬웨어 제작자하고 대화하고 싶다고 하면 디스코드(Discord)라는 메신저를 사용을 하라고 합니다.
그리고 삭제대상이 되는 폴더는 다음과 같습니다.
%Windows%
%System%
%System32%
%Temp%
%AppData%
%Local%
%LocalLow%

그리고 언제나 랜섬웨어들의 기본적으로 수행하는 시스템 복원지점을 파괴하는 명령어를 실행합니다.
vssadmin delete shadows / all / quiet
그리고 나서 윈도우의 시스템 정상 명령어인 shutdown를 실행을 해서 컴퓨터를 강제 재부팅을 합니다.
C:\Windows\System32\shutdown.exe"-r -t00 -f
그리고 컴퓨터를 다시 부팅을 하기 전에 다음과 같은 메시지를 볼 수가 있습니다.

그리고 컴퓨터 재부팅 후 타이머와 IP 주소가 있는 잠금 화면을 표시하며. 타이머는 시간을 초 단위로 계산되며 잠시 후 다른 요소가 화면에 나타납니다.
타이머가 끝까지 계산되면 BSOD(블루스크린)가 나타나면 다음 MBR이 수정되었다는 화면을 볼 수가 있습니다.

그리고 암호화되는 파일들은 동영상 파일, 사진파일, 문서 파일들입니다. 일단 랜섬웨어에 감염이 되기 싶지 않은 분들은 반드시 윈도우 업데이트,백신프로그램설치,그리고 랜섬웨어 예방 프로그램 설치와 그리고 제일 중요한 것은 토렌트와 같은 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하는 것을 하지 않는 것이 좋습니다.

일단 해당 해쉬값은 다음과 같습니다.
716335ba5cd1e7186c40295b199190e2b6655e48f1c1cbe12139ba67faa5e1ac
관련된 파일은 다음과 같습니다.
Copter.flv.exe
MBRiCoreX.exe
입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법

Posted by Sakai
2017.11.07 00:00 소프트웨어 팁/보안

오늘은 일본 기업을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 최근에 랜섬웨어들은 특정 지역을 노리는 랜섬웨어들이 많이 발생을 하고 있습니다. 지난 시간에 소개해 드린 배드래빗 랜섬웨어 등과 같이 특정 국가를 대상으로 하는 공격들입니다.

보통은 랜섬웨어는 특정 국가가 아닌 여러 국가의 표적으로 공격하였지만, 최근에는 특정 국가나 특정 언어를 사용하는 사용을 하는 맞춤형으로 랜섬웨어가 진화를 하고 있습니다. 일단 ONI Ransomware은 아마도 개인적인 추측으로는 일본어에서 귀신을 뜻하는 鬼(おに)에서 이름을 붙였는지 모르겠습니다. 일단 해당 랜섬웨어인 ONI Ransomware(오니 랜섬웨어)은 기본적으로 스피어 피싱입니다.즉 간단하게 이야기하면 특정 대상을 노려서 해당 대상을 공격하는 방법으로서 먼저 이메일에 악의적으로 조작된 워드 파일이 포함된 압축파일인 zip 파일이 포함돼 있고 사용자가 해당 파일을 무의식적으로 해당 파일을 다운로드하고 나서 압축을 풀고 해당 파일을 실행을 시켜주면 악성코드는 Ammyy Admin RAT에 접속을 시도합니다.

그리고 나서 VBScript 스크립트를 다운로드 해서 실행을 합니다.Ammyy Admin은 합법적으로 제작된 원격 관리 도구이지만 해당 원격관리도구를 악용하는 것입니다. 컴퓨터가 감염되면 도메인 관리자 계정 및 서버에 대한 액세스 권한을 얻으려고 노력을 합니다. 그리고 공격자가 도메인 서버에 액세스 할 때 그룹 정책 스크립트를 사용해서 460가지가 넘는 다양한 이벤트 로그를 정리 한 일괄적으로 처리 파일을 실행하여 해당 작업을 처리합니다. 그리고 해당 랜섬웨어인 ONI Ransomware는 컴퓨터를 무사히 감염시키면 파일 확장자를 .oni 확장명으로 변경합니다. 그리고 암호화된 폴더 안에는 !!! README !!!! .html이라는 파일을 만들고 몸값을 지급하는 메시지와 함께 랜섬웨어 제작자에게 연락할 수가 있는 이메일 주소를 남겨줍니다.

그리고 마스터 부트 레코드(master boot record, MBR) 또는 파티션 섹터(partition sector)를 윈도우 부팅 전에 표시되는 암호화도 진행합니다. 그래서 MBR-ONI이라고도 불리고 있습니다. 만약 복구를 하고 싶은 경우에는 해당 랜섬웨어 제작자한테 비트코인을 제공을 하면 해당 암호화를 풀 수 있는 랜섬웨어 입니다. 물론 랜섬웨어 제작자에게 비트코인을 제공을 하는 것은 좋지 않습니다. 즉 예방이 중요한 이유가 이런 것입니다.

랜섬 노트 내용은 다음과 같습니다.

重要な情報!
すべてのファイルは,RSA-2048およびAES-256暗号で暗号化されています。心配しないで、すべてのファイルを元に戻すことができます。すべてのファイルを素早く安全に復元できることを保証します。ファイルを回復する手順については、お問い合わせ。信頼性を証明するために、2ファイルを無料で解読できます。ファイルと個人IDを私たちにお送りください。 (ファイルサイズ10MB未満、機密情報なし)連絡先hyakunoonigayoru@yahoo.co.jp
중요한 정보!
모든 파일은 RSA-2048 및 AES-256 암호로 암호화되어 있습니다. 걱정하지 마세요 모든 파일을 복구 할 수 있습니다. 모든 파일을 빠르고 안전하게 복구 할 수 있는지 확인합니다. 파일을 복구하는 방법은 문의. 신뢰성을 증명하기 위해 두 파일을 무료로 읽을 수 있습니다. 파일과 개인 ID를 우리에게 보내주십시오. (파일 크기 10MB 미만 기밀 정보 없음) 연락처 hyakunoonigayoru@yahoo.co.jp

일단 이런 랜섬웨어에 감염이 되지 않으려면 기본적으로 윈도우 보안 업데이트를 최신으로 유지하면 백신프로그램 설치 및 최신 업데이트 유지, 실시간 감시를 해야 하며 보조 백신프로그램 또는 랜섬웨어 차단 프로그램으로 컴퓨터를 보호해야 하면 기본적으로 어도비플래시플레이어(Adobe Flash Player)같은 경우에도 마찬가지로 최신 업데이트를 유지를 해야 하면 토렌트 같은 곳에서 함부로 파일을 내려받아서 실행하는 행위 모르는 사람에게서 온 이메일 같은 것도 함부로 실행을 하지 말아야 랜섬웨어 같은 악성코드를 예방할 수가 있습니다.

<기타 관련 글>

[보안] - Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법

[보안] - Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법

[보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

[보안] - 우크라이나를 겨냥한 XData 랜섬웨어 감염 증상 및 예방 방법

[보안] - XData Ransomware(XData 랜섬웨어)에 대한 마스터 암호화 해독 도구 발표

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[보안] - Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어) 감염 증상 및 예방 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)



글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 일본에 사시는분들에게는 정말 조심해야겠군요.
    • 굳이 일본에 사시는 분들이 아니더라도 일본어에 관심이 있거나 일본에서 거래를 하시는 다른 분들도 해당 랜섬웨어에 걸릴수가 있으니까 항상 조심하는것이 좋을것 같습니다.
  2. 한 번 점검해봐야 겠네요 좋은 정보 잘 보고 갑니다
    • 항상 악성코드에 감염이 되는것을 최소화 할려면 예방이 중요하다고 생각이 됩니다.
  3. 일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법 포스트 잘 읽고 갑니다.

Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법

Posted by Sakai
2017.10.30 00:52 소프트웨어 팁/보안

오늘은 Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법에 대해 알아보는 시간을 가져 보겠습니다.일명 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)으로 불리우는 해당 랜섬웨어는 기본적으로 MBR (Master Boot Record)도 함께 건드리기도 합니다.그래서 사용자 입장에서는 정말 나쁜 토끼입니다. 그리고 기본적으로 그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염이 성공을 하면 컴퓨터를 재부팅을 합니다. 그리고 나서 MBR에 걸린 랜섬웨어에 대해 랜섬노트를 제시를 하고 몸값을 제시합니다. 그리고 몸값으로 Tor 브라우저를 이용해서 Tor 네트워크의 사이트에 접속해서 0.05 Bitcoin (약 280달러)을 요구합니다.

그리고 2017년 초에 미국을 강타한 HDDCryptor Ransomware처럼 오픈소스디스크암호화도구인 DiskCryptor를 사용을 하고 있습니다.그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 미국 드라마인 Game of Thrones(왕좌의게임)를 매우 좋아하는지 Grayworm와 같이 Game of Thrones에 나오는 캐릭터 이름이 많이 나오는 것이 특징입니다.

일단 기본적으로 웹사이트를 해킹하고 가짜 어도비플래시플레이어를 설치를 하라는 메시지를 사용자가 나오면 install_flash_player.exe이라는 파일을 사용자가 실행하면 감염이 실행됩니다. 해당 나쁜 토끼 랜섬웨어가 실행이 되면 C:\Windows\infpub.dat를 삭제를 합니다. 그리고 나서 C:\Windows\system32 rundll32.exe,C:\Windows\ infpub.dat 명령어를 통해서 실행됩니다.그리고 실행이 되면 Infpub.dat을 생성을 하고 C:\Windows\cscc.dat,C:\Windows\dispci.exe파일을 생성을 합니다.파일을 암호화하고 나서

Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#1:
Network Activity:

라는 메시지를 내보내는 랜섬웨어 입니다. 일단 특이하게도 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)은 윈도우의 시스템 복원지점을 파괴하지 않는다는 것입니다. 일단 시스템 복원지점을 실행하는 분들은 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)에서 암호화된 파일을 복구할 가능성이 조금은 커졌다고 할 수가 있을 것입니다.

물론 백신프로그램으로 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)를 처리하고 나서 일입니다. 물론 100% 복구를 할 수가 있다는 것이 아닙니다. 러시아 보안 업체인 카스퍼스키(Kaspersky)에서는 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)을 제작을 할 때 두가지 실수를 했다고 합니다.
나쁜 토끼는 보통 기본적으로 랜섬웨어들이 하는 섀도우 볼륨 복사본을 삭제하지 않았다는 것이 가장 치명적인 실수였습니다. 즉 보통 랜섬웨어들은 해당 섀도우 볼륨 복사본을 삭제해서 복구하는 것을 어렵게 하는데 이상하게도 섀도우 볼륨 복사본를 삭제를 하지 않아서 백신프로그램으로 랜섬웨어를 제거를 하고 지난 시간에 소개해 드린 ShadowExplorer(새도우 익스플러워)를 사용을 해서 복구를 시도할 수가 있습니다. 물론 100% 복구가 된다는 보장은 없습니다.

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

다음은 카스퍼스키(Kaspersky)팀에서 MBR(마스터 부트 레코드)를 암호화하고 나서 부팅을 하면 부팅화면에 Bad Rabbit ransomware(배드래빗 랜섬웨어)는 몸값을 받으려고 하려고 할 것입니다. 여기서 카스퍼스키(Kaspersky)연구원들이 분석을 통해서 사용자 정의 부더를 무시가 되지만 사용자 컴퓨터에 들어가 져 있는 암호화된 파일들은 복구 불가입니다. 일단 Your personal installation key#1: 입력을 하라고 할 때 다음과 같이 입력을 해주면 됩니다.
8FuMr3mVjPnFLfwiEgQ571wGxyGzeoZF
입니다. 일단 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)에 감염이 되었으면 한 번쯤은 시도를 할 수가 있습니다. 물론 100% 복구는 불가하겠지만요.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법 잘보고 갑니다^^
    행복한 한 주 되세요
  2. 랜섬 웨어도 복구할 수 있는 방법이 있었군요
    • 복구가 되는것은 아주 확률적은 매우 낮습니다.랜섬웨어에 감염이 안되게 하는 랜섬웨어를 예방하는것이 가장 중요하다고 생각이 됩니다.
  3. 완전 유익한 정보네요~공감 누르고 갑니당 총총

사용자 컴퓨터를 비트코인 채굴에 이용하는 악성코드-BitCoin Miner (비트코인 마이너)

Posted by Sakai
2017.10.27 00:40 소프트웨어 팁/보안

오늘은 사용자 컴퓨터를 비트코인 채굴에 이용하는 악성코드인 BitCoin Miner에 대해 알아보는 시간을 가져 보겠습니다.비트코인(bitcoin)이라는것은 2009년1월 3일 사토시 나카모토가 개발한 세계 최초의 암호화폐입니다.

XBT 또는 BTC로 알려줘 있습니다. 일단 비트코인은 우리가 사용하는 화폐와 다르게 특정한 정부나 중앙은행, 금융기관의 개입이 없이 P2P 방법으로 안전하게 가능하면 유통량은 금처럼 한정돼 있습니다. 즉 비트코인이라는 것은 돈을 발행하는 중앙은행이라는 것이 없고 컴퓨터에 있는 CPU, GPU을 이용을 해서 암호화 문제를 풀며 비트코인이 일정 한량이 채굴될 수가 있게 돼 있으며 많은 컴퓨터가 문제를 풀수록 문제의 난이도가 높아져서 비트코인의 시스템의 보안이 강화됩니다.

즉 비트코인 채굴은 기존에 우리가 일상생활에서 사용을 돈을 관리하는 중앙은행처럼 통화의 공급과 거래의 보증을 책임을 지는 역할을 하면 채굴이라는 것은 네트워크를 통해 서서 P2P 방식으로 이루어지며 어느 국가에서 통제할 수가 없는 것이 특징이며 채굴과정에서 CPU,GPU를 병렬로 구성하여서 비트코인을 채굴을 하기도 합니다.

물론 전기요금은 어마하므로 가끔 뉴스에서 농업용 전기등을 이용하여 하우스에서 비트코인을 채굴을 하다가 경찰에 검거되었다는 소식도 가끔 나오면 익명성이 있기 때문에 정상적인 화폐거래가 아닌 무기 거래, 성매매, 마약 거래, 탈세 등에 악용이 되고 최근에는 랜섬웨어에서는 악성코드를 제작해서 컴퓨터 파일 또는 MBR를 암호화해서 가상화폐인 비트코인을 요구하기도 합니다.

그리고 비트코인을 우리가 사용하는 현금화하기 위해서 비트코인을 실제 화폐로 교환해 주는 비트코인 거래소를 거쳐야 하면 그리고 전 세계의 국가 대부분에서는 앞서 이야기한 부정적으로 사용되는 것을 막으려고 거래소 이용자의 실명 확인을 강제하고 있습니다.

Panasonic | DMC-GX80

즉 이런 가상화폐를 채굴하기 위해서 BitCoin Miner 같은 악성코드도 등장했습니다. 물론 현재 백신프로그램에서는 탐지하고 있습니다. 일단 해당 BitCoin Miner 는 WMI 및 NSA에서 유출된 EternalBlue를 사용을 하여서 컴퓨터를 악성코드를 감염시킵니다. 일단 해당 악성코드는 아시아태평양지역을 목표로 하는 악성코드입니다. 일단 기본적으로 WMI (Windows Management Instrumentation)를 사용을 하면 scrcons.exe를 사용해서 악성스크립트를 실행합니다. 그리고 EternalBlue를 사용을 해서 MS17-010 취약점을 사용합니다. WMI 스크립트를 설치하는 시스템을 설치하는 시스템인 BKDR_FORSHARE.A에서 백도어를 삭제를 하고 실행이 되면 해당 스크립트는 정해진 스크립트는 C&C 서버에 연결하여서 cryptocurrency miner를 악성코드와 함께 다운로드 합니다. 그리고 같은 루트, 구독 클래스는 특정 조건이 충족되며 악의적인 WMI 스크립트를 트리거 하는 데 사용이 됩니다.
ActiveScriptEventConsumer
EventFilter
IntervalTimerInstruction
AbsoluteTimerInstruction
 FilterToConsumerBinding

Canon | Canon EOS 650D

그리고 ActiveScriptEventConsumer는 조건이 충족될떄 실행을 할 때 명령을 포함하는 지속성 페이로드입니다. JScript를 실행을 하고 C&C 서버를 사용해서 악성코드를 업데이트 하게 이용을 합니다. EventFilter는 이벤트를 트리거를 진행이 되면 select * from __timerevent where timerid = fuckyoumm2_itimer가 포함돼 있으며 fuckyoumm2_itimer이라는 타이머 ID를 찾습니다.
그리고 IntervalBetweenEvents는 EventFilter 조건이 uckyoumm2_itimer의 고요한 이름이 있으며 IntervalBetweenEvents는 10,800,000밀리 초마다 악성코드를 트리거를 시도합니다.AbsoluteTimerInstruction는 모든 클래스와 인스턴스가 서로 연결이 되도록 연결이 됩니다. 마지막으로FilterToConsumerBinding는 __ActiveScriptEventConsumer 인스턴스와 __EventFilter 인스턴스를 연결합니다.

즉 실행이 되면 악성코드를 감염된 컴퓨터는 CPU,GPU 및 기타 리소스를 사용을 하여 암호화를 통해서 해당 컴퓨터는 악성코드에 의해서 자신의 컴퓨터는 과부하가 걸리면 악성코드 제작자의 비트코인 채굴에 이용됩니다.

해결방법은 WMI 서비스를 해제하고 그리고 나서 SMB를 사용을 하지 않는다면 해당 서비스들을 해제하면 되고 그리고 기본적으로 윈도우 업데이트는 최신으로 유지하면 그리고 윈도우 XP,윈도우 비스타같이 기술 지원이 중단된 운영체제는 사용하지 말고 그리고 토렌트 같은 곳이나 기타 출처가 불분명한 사이트에서 파일을 다운로드 하고 실행을 하는 것을 하지 말아야 합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 비트코인 채굴욕심을 부리면 안돼겠네요 일반인들은 어림도 없는 거 같어요
    • 아마도 비트코인에 욕심이 많은 악성코드 제작자인것 같습니다.
  2. 헉 무서운 악성코드네요.
    잘보고갑니다
  3. 요즘 비트코인 채굴 악성코드가 기승이라던대 조심해야 겠어요
  4. 악성코드는 항상 주의해야 할 것 같습니다^^
    좋은정보 감사히 잘보고 갑니다.
    • 네~예방을 하는것이 좋은것 같습니다.
  5. 채굴시 시스템이 느려지는게 체감이 될텐데
    이 악성코드 유포자는 정말 조금조금 채굴하려고 하나보네요 ㅎㅎ
    • 컴퓨터를 잘 사용하시는 분들은 의심을 할수가 있겠지만 초보자 분들은 단순히 최적화 작업을 진행을 할것같습니다.

랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

Posted by Sakai
2017.08.11 00:00 소프트웨어 팁/보안

랜섬웨어라고 하면 기본적으로 AES,RSA같은 개인정보 보호 또는 중요한 메일 같은 내용, 중요한 파일, 중요한 문자 등을 암호화를 통해서 다른 사람들이 자신의 중요한 파일이나 내용을 함부로 열 수 없게 하려고 사용이 되고 있습니다. 즉 좋은 쪽으로 사용하면 이렇게 사용을 할 수가 있겠지만 나쁘게 사용을 한다고 해당 종은 기술을 역으로 나쁘게 이용을 해서 다른 사람의 파일을 강제적으로 잠그고 그리고 해당 내용을 풀려고 하면 돈을 내거나 비트코인을 내라고 합니다.

물론 해당 해커들이 잡히는 경우나 프로그램의 버그 그리고 흔히 이야기하는 재능기부 아니면 보안업체에서 해당 랜섬웨어를 깨뜨리면 암호화된 파일은 복원화가 가능합니다. 다만, 요즈음 해커들은 이런 것도 알고 있기 때문에 개인키를 따로 만들어서 해당 개인키가 없는 경우는 해당 랜섬웨어로 암호화된 파일은 풀 수가 없습니다. 물론 풀려고 하면 사법당국에서 범죄자를 체포하고 그리고 해당 개인키를 획득을 하면 해당 랜섬웨어 복원화도구를 만들어서 배포할 수 있지만 사실상 불가능에 가깝습니다. 즉 기본적으로 랜섬뭬어와 같은 악성코드를 예방하는 방법은 간단합니다.

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

윈도우 보안 업데이트를 하고 그리고 백신프로그램을 설치하거나 보조 백신프로그램 설치 또는 랜섬웨어 감염 예방 프로그램을 설치해서 이에 대비를 하는 방법 그리고 자신이 사용하는 프로그램은 최신 업데이트로 업데이트를 해두어야지 이런 피해로부터 최소화가 가능합니다. 그리고 요즈음 랜섬웨어들은 MBR부분도 암호화하거나 파괴를 하기 때문에 정말 악성코드에 감염되면 머리가 아파집니다. 그래서 지난 시간에 MBR보호 프로그램을 소개를 해주었고 MBR보호 기능이 있는 앱체크라는 프로그램을 소개해 드렸습니다.

일단 오늘 시켜 드리는 랜섬웨어 감염 예방 프로그램인 Ransomoff(랜섬오프)은 기본적으로 무료인데 MBR 보호 기능이 있다고 하는 것이 특징입니다. 일단 특별하게 조작을 할 것이 없고 프로그램을 다운로드 해서 실행을 시켜주면 됩니다. 그리고 기본적인 옵션으로 사용하면 됩니다. 다만, 현재 Ransomoff(랜섬오프)은 RC 버전이라서 조금은 불안정할 수가 있습니다.
그러니까 자신이 한번 설치를 해보고 싶은 분만 설치를 하고 이런 위험 부담을 감수하기 싫은 분들은 정식 버전이 나올 때까지 기다렸다고 설치하는 방법과 아니면 가상 시스템를 통해서 설치를 해보는 것도 좋은 방법입니다. 일단 어느 것을 선택하든 자신이 좋은 방법을 선택하면 될 것입니다.

Ransomoff(랜섬오프)
다만, 앞서 이야기한 것처럼 기본적으로 악성코드에 감염되지 않으려면 자신이 사용하는 최신 프로그램은 항상 최신 업데이트로 유지 관리하면 윈도우 업데이트는 귀찮더라도 시간을 내어서 업데이트를 하고 백신프로그램도 무료로 제공되고 있는 것들도 좋은 것 많으니까 백신프로그램은 반드시 업데이트를 해서 사용을 하시길 바랍니다. 그것이 악성코드를 예방하는 길이면 그리고 제일 중요한 것은 기본적인 보안 수칙인 프로그램을 다운로드 설치를 하려고 하면 반드시 해당 프로그램이 정식으로 서비스하는 사이트에서 다운로드 하고 설치를 하시길 바랍니다. 그리고 토렌트 같은 곳에서 함부로 프로그램이나 동영상을 다운로드 해서 실행을 하는 것도 위험합니다. 그러한 곳에서는 악성코드들도 많이 배포가 되고 있고 물론 백신프로그램에 탐지가 되면 좋겠지만 그렇지 않았으면 악성코드 때문에 개인정보가 노출되는 현상을 피해야 할 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬 웨어도 조금은 잠잠해진 것 같아요
    • 그래도 새로운 랜섬웨어는 해외에서는 많이 제작이 되고 있고 언제 한국에 들어올지 모르니 미리 조심하는것이 좋을것 같습니다.
  2. 다양한 랜섬웨어가 생기는만큼 다양한 방어 프로그램도 많이 생기네요 ㅎㅎ
    • 네~자신에게 맞는 랜섬웨어 예방 프로그램을 사용을 하시면 될것입니다.

윈도우 악성코드로 파괴된 MBR 복구 방법

Posted by Sakai
2017.08.02 00:00 소프트웨어 팁

오늘은 악성코드 및 랜섬웨어 중에서 MBR를 파괴하는 악성코드에 의해서 MBR이 파괴가 되었으면 다시 정상적인 상태로 복구하는 방법에 대해 알아보는 시간을 가져 보겠습니다. MBR 또는 마스터 부트 레코드 는 디스크 파티션 및 파일 시스템 구성에 대한 정보를 저장하는 일종의 하드디스크의 작은 할당 공간입니다. 간단히 말하면, MBR은 운영 체제를 부팅 하고 이를 위해 실행에 필요한 데이터를 저장하고 검색하는 일을 담당하고 있습니다. 그리고 MBR은 하드디스크에 만들어진 파티션을 구별하는 마스터 파티션 테이블이라는 테이블을 유지 관리하면서 MBR은 일반적으로 첫 번째 섹터에 저장됩니다. 즉, 하드디스크의 다른 모든 데이터 앞에 저장된다고 할 수가 있습니다.
그리고 MFT 또는 마스터 파일 테이블이라는 또 다른 데이터베이스가 있으며 MFT는 시스템의 모든 파일 또는 디렉터리에 대한 정보를 저장하는 데이터베이스입니다.
그래서 MBR과 MFT를 모두 보호해야 합니다. 최근에 나오는 악성코드 및 랜섬웨어는이  MBR 부분을 건드리는 것이 있어서 컴퓨터를 사용하시는 견해에서는 정말 중요한 것 중 하나입니다. 즉 최근에 나온 페트야 랜섬웨어 같은 경우에는 MBR부분을 암호화해서 비트코인을 요구를 하기도 합니다.
즉 컴퓨터를 사용하면서 가장 중요한 부분 중 하나가 바로  MBR입니다.지난 시간에 소개 해 드린 MBR필터(MBRFilter)를 통해서 미리 예방을 하면 상관이 없는 경우 랜섬웨어로 부터 컴퓨터를 보호해주는 앱체크 유료 버전인 앱체크 프로 버전을 사용하는 경우에는 MBR보호 기능이 있어서 랜섬웨어 또는 MBR를 파괴를 하거나 변형을 하는 악성코드로부터 컴퓨터를 지킬 수가 있습니다.

물론 기본적으로 컴퓨터에 백신프로그램을 설치해서 이런 악성코드가 설치되는 것을 막아야 하는 것이 가장 좋은 방법의 하나일 것입니다. 일단 먼저 MBR를 복구를 위해서 필요한 것은 먼저 순정 윈도우 ISO 파일입니다. 물론 가장 중요한 것은 지난 시간에 소개해 드린 Windows and Office Genuine ISO Verifier라는 프로그램을 사용해서 자신이 다운로드한 윈도우 ISO 파일이 수정되지 않았는지 확인을 하는 것이 가장 중요할 것입니다. 먼저 USB 또는 DVD에 윈도우 ISO 파일을 굽습니다.

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

그리고 나서 해당 윈도우를 이용을 하여 설치를 합니다. 그리고 나서 설치를 하면 첫 화면에서 설치할 언어, 시간대, 키보드 종류들을 선택하라고 다음이라는 버튼이 보일 것인데 여기서 다음 버튼을 누리지 말고 Shift+F10 키를 눌러줍니다. 그러면 CMD가 관리자 권한으로 자동으로 실행되는 것을 볼 수가 있는데 여기서  bootrec /fixmbr,bootrec /fixboot를 입력을 해주면 끝이 납니다. 성공적으로 되면 각각의 명령어에 따라 작업이 완료되었습니다. 라는 메시지를 볼 수가 있습니다. 그러면 MBR은 부활할 것입니다. 물론 악성코드에 감염된 상황이라면 미리 백업을 해두었으면 백업 이미지를 통해서 백업 파일을 통해서 복구하면 되고 그냥 윈도우를 새로 설치를 하고 싶은 경우에는 포멧을 통해서 새로 설치를 하면 됩니다.

그러면 끝이 납니다. 그런데 여기서 해결이 되지 않으면 UEFI 환경에서 가끔 되지 않을 경우가 있습니다. 여기서는 이제는 diskpart를 입력을 해주고 나서 sel disk 0를 입력을 하고 자신이 사용하는 하드디스크를 선택해줍니다.물론 list vol를 통해서 볼륨을 미리 확인을 하는 것은 중요합니다. 그리고 assign letter=b:를 입력을 하고 나서 마지막으로 종료하기 위해서 EXIT를 눌러서 빠져나옵니다. 그리고 나서 cd /d b:\EFI\Microsoft\Boot\를 입력을 하고 앞서 명령어를 차례대로 내려주면 됩니다.
그리고 BCD 백업과 삭제를 위해서 ren BCD BCD.bak 입력하고 BCD 다시 생성을 하려고 bcdboot c:\Windows /l ko-KR /s b: /f ALL 입력하고 엔터를 눌러주면 해당 MBR 복구 문제는 해결될 것인데 만약 이 방법을 해도 안된다고 하면 A/S를 생각을 한번 해보아야 하고 최악은 하드디스크 하나 구매를 한 번쯤 생각을 해보아야겠습니다. 물론 이런 최악의 상황을 보기 싫은 경우에는 함부로 시스템을 변경하지 말고 악성코드에 감염되지 않게 하려고 반드시 백신프로그램 설치와 윈도우 업데이트등은 반드시 진행을 해야 이런 사태를 예방할 수가 있을 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 피해를 본 분들은 복구방법대로 해보면 도움이 되겠군요
    • 네~MBR을 복구를 원하시는 분들에게 도움이 될것 같습니다.
  2. 알아두면 나중에 도움이 많이 될거 같습니다.
    • 네~저도 그렇게 생각을 합니다.

랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

Posted by Sakai
2017.07.19 00:01 소프트웨어 팁/보안

오늘은 랜섬웨어로 부터 하드디스크에서 중요한 MBR를 보호하는 방법에 대해 알아보겠습니다. 먼저 MBR이라는것을 알아야 합니다.
MBR 또는 마스터 부트 레코드 는 디스크 파티션 및 파일 시스템 구성에 대한 정보를 저장하는 일종의 하드디스크의 작은 할당 공간입니다. 간단히 말하면, MBR은 운영 체제를 부팅 하고 이를 위해 실행에 필요한 데이터를 저장하고 검색하는 일을 담당하고 있습니다. 그리고 MBR은 하드디스크에 만들어진 파티션을 구별하는 마스터 파티션 테이블이라는 테이블을 유지 관리하면서 MBR은 일반적으로 첫 번째 섹터에 저장됩니다. 즉, 하드디스크의 다른 모든 데이터 앞에 저장된다고 할 수가 있습니다.

그리고 MFT 또는 마스터 파일 테이블이라는 또 다른 데이터베이스가 있으며 MFT는 시스템의 모든 파일 또는 디렉터리에 대한 정보를 저장하는 데이터베이스입니다.

그래서 MBR과 MFT를 모두 보호해야 합니다. 최근에 나오는 악성코드 및 랜섬웨어는이  MBR 부분을 건드리는 것이 있어서 컴퓨터를 사용하시는 견해에서는 정말 중요한 것 중 하나입니다. 즉 최근에 나온 페트야 랜섬웨어 같은 경우에는 MBR부분을 암호화해서 비트코인을 요구를 하기도 합니다.

MBR필터

Ransomware 로부터 MBR를 보호하는 방법은 여러 가지가 있습니다. 지난 시간에 소개해 드린 앱체크라는 프로그램일 것입니다. 물론 MBR영역을 보호를 하고 싶은 경우에는 PRO 버전을 사용해야 합니다. 오늘 소개 시켜 드리는 MBR필터(MBRFilter)는 아마도 MBR를 보호하고 싶은 분들에게 조금이나마 도움이 될 수가 있는 프로그램이 아닐까 생각이 됩니다.

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

MBR 필터는 부트 레코드에 대한 공격을 처리하기 위해 작성된 작은 드라이버입니다. 해당 MBR 필터(MBRFilter)는 Cisco Talos가 개발했으며 오픈 소스 라이센스하에 무료로 제공되고 있으면 소스 코드를 다운로드하고 변경하고 직접 컴파일하거나 미리 컴파일된 버전을 다운로드를 할 수가 있습니다.

MBR 필터는 맬웨어, 랜섬웨어 또는 루트킷이 부트 레코드를 변경하고 변경하는 것을 막을 수 있는 도구입니다. 해당 MBR 필터 사용방법은 간단합니다.MBR 필터 웹 사이트로 이동하여 자신의 컴퓨터에 맞는 비트를 다운로드 해줍니다. 그리고 내려받기를 하면 기본적으로 압축파일로 돼 있는데 해당 압축프로그램을 이용해서 압축파일을 해제해줍니다.

그리고 나서 MBRFilter.inf를 마우스 오른쪽 버튼으로 클릭하고 설치를 선택하십시오. 설치가 빨리 완료되고 변경 사항을 적용하려면 컴퓨터를 다시 시작하시면 끝입니다. 즉 MBR을 변경을 하려고 하는 악성코드로부터 컴퓨터를 보호하려면 해당 MBR필터를 설치를 해주면 랜섬웨어 또는 악성코드가 MBR를 변경을 하려고 하는 것을 차단하는데 어느 정도 도움을 받을 수가 있을 것입니다. 물론 기본적으로 윈도우 보안 업데이트는 필수이지만요.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 보안업데이트는 필수이지만 그래도 해놔야겠네요.
    • MBR 파괴 랜섬웨어나 악성코드 같은것에는 도움이 될것입니다.
  2. 범인을 잡으면 더 좋겠어요~~ 범죄이기 때문에 수사를 하고 있겠죠
    • 문제는 잘 잡히지가 않는다는것이죠.
  3. MBR 보호하는법 잘 읽고 갑니다^^
    좋은 하루 되세요-
  4. 걸리기전 미리미리.^^
    잘보고갑니다. 좋은 하루되세요^^
    • 미리 준비하는것도 도움이 될것이라고 생각이 됩니다.
  5. 보안업데이트도 중요하지만 주기적인 백업도 중요한것 같아요..
    집pc는 백업받을만큼 중요한것도 없어서 걸리면 욕한번 날려주고.. 포맷하고 싶네요..
    • 네~백업이 좋은 방법인것 같습니다.

랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

Posted by Sakai
2017.06.29 00:01 소프트웨어 팁/보안

일단 랜섬웨어라는것은 Ransome(랜섬)이라는거라는 영어 뜻을 보더라도 몸값 등을 나타내는 말로 말 그대로 컴퓨터 사용자의 파일 중에서 중요한 파일 중 하나인 doc, jpg 등의 확장자를 가지는 암호화를 통해서 사용자가 사용할 수 없게 하고 만약 사용하고 싶으면 돈을 보내주면 해당 비밀번호를 알려주게 다는 등 아니면 해당 프로그램을 제거할 수 있는 도구를 구매를 강요하거나 아니면 화면을 잠가버려서 사용자가 정상적으로 컴퓨터를 사용을 못 하게 하고 그리고 나서 돈을 요구하는 방식을 취하거나 아찔한 사진을 내보내고 나서 컴퓨터에 접근을 제한하는 방식 등 다양한 방식을 취하고 있습니다.

물론 최근에는 비트코인을 통한 금전적인 요구가 많이 있습니다. 일단 안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)은 랜섬웨어로 부터 컴퓨터를 보호하기 위한 랜섬웨어 보호 도구입니다. 일단 기본적으로 무료로 제공하고 있으며 안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)은 랜섬웨어 대응을 위한 전용 프로그램입니다.

라이센스는 무료이면 누구나 쉽게 설치를 할 수가 있는 프로그램입니다.
일단 기본적으로 안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)은 기본적으로 클라우드 진단, 가상 환경 기술을 통해서 현재 알려진 랜섬웨어, 그리고 알려지지 않은 랜섬웨어인 신종 랜섬웨어,​변종 랜섬웨어에 대응하고자 만든 프로그램입니다. 작동 방식은 간단합니다.

이메일, 브라우저 그리고 취약한 웹 사이트 방문 또는 광고 클릭을 통해 사용자의 컴퓨터에 다운로드되어 실행될 때 의심스러운 파일을 검사를 진행하며 이때 랜섬웨어 진단을 위해 기본적으로 먼저 ASD 클라우드로 랜섬웨어를 검사를 하고 나서 ASD 클라우드 진단에서도 확인되지 않은 랜섬웨어는 컴퓨터에 설정된 별도의 가상 환경에 격리를 통해서 검사를 진행한다고 합니다.
물론 검사를 위해서 격리해서 한다고 해도 컴퓨터의 다른 공간에 영향을 미치지는 않습니다. 기본적으로 검사 부분은 실행파일들인 .exe, dll를 검사를 하면 zip, js, ps1, vbs, vbe 등과 같은 다양한 파일도 검사합니다.

그리고 MBR 보호 기능도 무료로 제공하는 랜섬웨어 보호 도구입니다. 일단 기본적으로 많이 알고 계시는 앱체크와는 또 다른 색깔을 가진 제품이라고 이 부분은 이것이 좋다.

안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

저것이 좋다고 말을 못하겠지만 일단 한번 사용자가 사용을 해보고 자신에게 맞는 것을 선택해서 사용하는 것도 좋은 방법일 것입니다. 먼저 해당 안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)를 설치를 하면 다음과 같은 화면을 볼 수가 있습니다.

여기서 간단하게 별도의 설정 없이 사용을 할 수가 있습니다. 옵션 부분에서는 검사 중인 파일과 검사 결과 해당 폴더는 예외로 처리하고 싶은 부분이 있으면 예외처리를 할 수가 있는 부분으로 나누어져 있습니다.

일단 최근에 유행하는 랜섬웨어 예방을 할 수가 있는 도구가 필요하신 분들 해당 안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)를 이용해보시는 것도 좋은 방법일 것으로 생각합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 안랩 안티랜섬웨어 툴 관련해서 상세한 정보 감사히
    잘 읽고 갑니다^^
  2. 공유 폴더를 사용하지 않고 보안 패치를 설치하는 게 중요한 것 같아요
    • 일단 기본적으로 보안 업데이트가 제일 중요하다고 생각이 됩니다.
  3. 유용한 정보입니다.^^
    잘보고가요. 좋은하루되세요~
    • 라이너스님도 즐거운 하루 보내세요.

무료 암호화 소프트웨어 VeraCrypt 1.19 보안 업데이트

Posted by Sakai
2016.10.20 10:01 소프트웨어 팁/보안

오픈소스 형태로 무료로 배포되고 있는 무료 암호화 프로그램인 VeraCrypt에 대한 보안 업데이트가 진행이 되었습니다. VeraCrypt라고 하면 기본적으로 Truecrypt의 뒤를 잇는 암호화 프로그램이며 기본적으로 AES,Serpent,Twofish이며 5가지 조합으로 하는 다단 암호화(Multiple encryption) 알고리즘도 지원하고 있어서 암호화에 도움이 되면 특히 공인인증서 또는 중요한 문서 등과 같은 파일들을 암호화하는데 도움을 받을 수가 있는 프로그램입니다. 일단 이번 VeraCrypt 1.19 보안 업데이트에서는 총 28건의 보안 취약점이 해결되었으며 다른 사람 사이에서 Windows 시스템의 Truecrypt에서 상속된 MBR 부트로더에 암호 길이의 누출 등을 문제를 해결했습니다.

그리고 VeraCrypt 1.19 보안 업데이트에서는 아직은 복잡성이 높고 코드와 아키텍처에 변경을 요구하는 AES 구현 관련 취약점 등은 아직 해결이 되지 않고 있지만 일단 VeraCrypt 1.19 보안 업데이트를 진행을 하지 않으면 악용될 위험이 있어서 암호되어져 있는 파일 부분 등이 노출될 수가 있는 문제가 발생할 수가 있으니까 해당 VeraCrypt를 사용하고 계시는 분들은 반드시 VeraCrypt 1.19 보안 업데이트해서 사용을 하는 것이 안전하게 VeraCrypt를 이용하는 방법의 하나가 될 것입니다.

일단 기본적으로 VeraCrypt 홈페이지로 이동해서 반드시 VeraCrypt 1.19 보안 갱신을 하고 해당 VeraCrypt를 이용하시길 바랍니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

컴퓨터 최적화와 MBR변조 확인,게임 가속기능을 갖춘 Toolwiz Care

Posted by Sakai
2013.03.29 00:00 소프트웨어 소개

해당 프로그램은 간단하게 컴퓨터 최적화와 동시에 MBR(マスタ-ブ-トレコ-ド,Master Boot Record)이 변조가 되었는데 확인할 수 있는 프로그램입니다. 기본적으로 한국어는 지원하고 있어서 편리하게 사용을 할 수가 있습니다. 먼저 간단하게 메인화면에 보시면 자신의 컴퓨터 시스템 성능을 확인할 수가 있으면 다양한 기능들이 있는 것을 확인할 수가 있습니다.

먼저 MBR 변조부분을 보겠습니다. 최근에 방송사와 일부 금융권을 대상으로 공격해 하드디스크를 파괴한 Trojan W32. KillMBR.24576, Trojan.KillDisk.MBR 가 있었습니다.

MBR(マスタ-ブ-トレコ-ド,Master Boot Record) 이라는것이 컴퓨터를 부팅을 하려고 중요한 부분입니다.

Toolwiz Care

일단 자신의 컴퓨터가 MBR(マスタ-ブ-トレコ-ド,Master Boot Record) 이 변조되었는지 확인하는 방법에 대해 알아보겠습니다. 먼저 도구->슈퍼 도구->MBR 백업 및 복원이 보일 것입니다. 해당 부분을 실행을 시켜줍니다.

그러면 아래와 같은 화면이 나오는 것을 확인할 수가 있습니다. 보시면 MBR백업 불러오기. 현재 MBR 백업, 백업 본과 비교부분을 통해서 자신의 MBR(マスタ-ブ-トレコ-ド,Master Boot Record)을 미리 백업을 해두면 간단하게 비교 부분을 눌러서 변조 여부를 확인할 수 있습니다.

그리고 게임을 좋아하시는 분들을 위해서 게임 가속기 즉 저번에 소개한 게임 부스터 기능이 함께 포함된 프로그램입니다. 비밀번호 생성 가능한 부분도 있어서 사용자가 비밀번호를 만들 때 도움을 받을 수가 있는 프로그램이라고 생각하시면 됩니다.

그리고 다양한 기능들이 정말로 많이 포함이 돼 있는 프로그램인 것 같습니다. 특히 시력보호기를 시력보호, 이미지 편집기를 통한 이미지 편집 및 화면 캡처, 가상금고 등 정말 편리한 도구들이 한꺼번에 다 들어가 져 있는 프로그램인 것 같습니다.

어떻게 보면 다양한 기능들이 포함돼 있어서 기타 프로그램을 따로 설치할 필요없이 한꺼번에 여러 가지 도구들을 다룰 수가 있어서 프로그램을 따로 설치해야 하는 불편한 부분은 줄어드는 프로그램이 아닐까 생각이 듭니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 게임 가속화가 관심이 가는데요.. 컴퓨터 최적화를 위해서도 도움이 되겠군요
    • 해당 최적화 프로그램은 다양한 도구들이 많아서 좋은것 같습니다.
  2. 억 유익한 정보 감사합니다 !!!!!

루트킷 전용 제거 프로그램 RootkitBuster(ルートキットバスター)

Posted by Sakai
2013.01.14 00:37 소프트웨어 팁/보안

오늘은 루트킷 전용 제거 프로그램인 RootkitBuster(ルートキットバスター)에 대해 적어 보겠습니다. RootkitBuster(ルートキットバスター)는 간단하게 이야기하면 Rootkit(ルートキット)를 제거하는 프로그램입니다. Root kit(ルートキット)은 컴퓨터에서 루트 권한을 획득한 악의적인 공격자가 심어 놓은 프로그램을 숨기려고 사용되는 프로그램으로 악의적인 목적이 있는 공격자가 컴퓨터 시스템을 유지하는 프로그램이라고 표현할 수 있지 않을까 생각이 듭니다.

보통 Root kit(ルートキット)은 컴퓨터의 로그온 프로세스 파일 혹은 로그 파일을 은폐 그리고 네트워크 혹은 키보드에서 입력하는 데이터를 가로챌 수 있습니다.

RootkitBuster(ルートキットバスター)

일단 해당 RootkitBuster(ルートキットバスター)는 기본적으로 검색 범위는 Master Boot Record(MBR,マスターブートレコード),Files,Registry entries, Kernel code patches, Operating system service hooks, File streams, Drivers, Ports, Processes, Services 부분을 검사합니다. 일단 기본적으로 사용방법은 OS가 XP였으면 그냥 더블클릭해서 실행시키면 되고 Vista, 7/8을 사용하시는 분들은 반드시 해당 RootkitBuster(ルートキットバスター)을 선택을 하고 오른쪽 마우스 버튼을 눌러서 관리권한으로 실행을 클릭해서 실행시키면 됩니다.

Ashampoo Media GmbH & Co. KG | NImageFileJPG 1.0.0Ashampoo Media GmbH & Co. KG | NImageFileJPG 1.0.0

그리고 나서 Scan 버튼을 눌러서 Root kit 검사를 하시면 됩니다. 그리고 만약 Root kit이 발견되었으면 Fix Now 버튼을 누르고 나서 치료 후 컴퓨터를 재부팅 하시면 됩니다. 기본적으로 해당 RootkitBuster(ルートキットバスター)는 보조용으로 사용하시고 안티바이러스(anti virus software,アンチウイルスソフトウェア)제품을 설치하시고 실시간 감시기능을 활용하시는 것이 좋습니다.

최근에 좋은 무료 백신프로그램(안티바이러스프로그램)들도 있으니 유료 제품 구매를 부담되시면 무료제품을 사용하는 방법도 하나의 좋은 방법이라고 생각이 됩니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 오~ 요것은 정말 꼭 필요하겠어요. 루트 권한을 갖는 해킹을 막아 줄수 있다니 +_+
    • 일단 기본적으로 백신프로그램(안티바이러스 프로그램)은 설치하고 실시간으로 돌리면서 가끔 이런 프로그램을 돌려주면 도움이 될거라 생각이 듭니다.