Apophis Ransomware(아포피스 랜섬웨어)감염 증상

Posted by Sakai
2018.05.07 00:00 소프트웨어 팁/보안

오늘은 Apophis Ransomware(아포피스 랜섬웨어)감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 Apophis Ransomware(아포피스 랜섬웨어)은 일단 개인적인 생각으로는 이집트 신화에 등장하는 거대한 독사를 인용해서 만든 랜섬웨어 인 것 같습니다.

일단 아포피는 이집트어로는 아펩(Apep),아페피(Apepi)로 불리고 있으며 거대한 코브라 또는 맹독을 지닌 독사의 모습을 하고 있으며 태양신 라의 숙적 이면서 라가 하늘을 건너는 배에 올라타 하늘을 일주하고 나서 밤에는 지하세계를 통과하게 되는 과정에서 12시간으로 나누어진 밤의 제7시에 그를 공격합니다.

일단 해당 Apophis Ransomware(아포피스 랜섬웨어)는 일단 지난 시간에 소개해 드린 직쏘 랜섬웨어 하고 비슷하게 생겼습니다. 아마도 직쏘 랜섬웨어를 모방했거나 아니면 변형을 한 랜섬웨어가 아닐까 생각이 됩니다.

일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)은 2018년4월쯤에 발견이 된 랜섬웨어로서 앞서 이야기한 것처럼 Jigsaw Ransomware(직쏘 랜섬웨어)의 변종인 것 같습니다. 일단 해당 랜섬웨어인 Apophis Ransomware(아포피스 랜섬웨어)는 매크로스크립트가 삽입된 .DOCX를 포함해서 악성코드가 배포되는 방식을 취하고 있으면 이메일 형태로도 전파가 되고 있습니다.

일단 다른 직쏘 랜섬웨어 처럼 24시간 안에 몸값을 지급을 요구하면 악성코드가 감염되면 기본적으로 컴퓨터 안에 있는 파일을 검색하고 다음 확장자들을 검색해서 암호화를 진행합니다.
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm. pptx, .prel, .prproj, .ps, .ps, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip
그리고 해당 암호화 방식은 RSA 및 AES 암호화 방식을 사용해서 암호화되므로 사용자는 파일을 사용할 수가 없으면. fun으로 확장자로 변경해버립니다.
그리고 기본적으로 msiexec.exe를 통해서 악성코드는 실행됩니다.
You have been hacked by Apophis Squad!
We have encrypted your files using AES 256, which is NOT easy to reverse! XD
Do not panic, we will let you fix this by sending us a payment.
However I've already encrypted your personal files, so you cannot access them.
Twitter: @apophissquadv2 Web: apophissquad.rx Maker:P13x13t
[1H COUNDDOWN TIMER]
Time till file delete.
{View encrypted files|BUTTON]
Send $500 worth of Bitcoin here:
[34 자리 랜덤 챕터]
[I made a payment, now give me back my files!]
대충 번역을 하면 다음과 같습니다.
당신은 아포피스 분대에 의해 해킹당했습니다!
우리는 AES 256을 사용하여 파일을 암호화했습니다. XD
당황하지 마시고, 우리에게 지급금을 보내 당신이 해결하도록 하겠습니다.
그러나 이미 개인 파일을 암호화했으므로 액세스 할 수 없습니다.
트위터:@apophissquadv2 웹:apophissquad.rx 제조사:P13x13t
[1H COUNDDOWN TIMER]
파일 삭제까지의 시간.
{암호화 된 파일 보기}
여기에 Bitcoin을 500달러 상당 보내십시오.
[34개의 무작위 챕터]
[지급을 했고, 이제 당신의 파일을 돌려줍니다!]
일단 연결이 되는 사이트는 보면 러시아 사이트를 이용하고 있으면 그리고 랜섬웨어 노트 같은 경우 독일 3 제국인 나치를 상징하는 문장이 있는 것으로 보아서 아마도 나치 추종자가 아닐까 생각이 됩니다. 일단 랜섬웨어에 감염이 되는 것을 최소화하려고 하면 기본적으로 윈도우 업데이트는 무조건 해야 하면 백신프로그램, 백신보조프로그램, 랜섬웨어 방어 프로그램 등을 이용해서 방어해야 하면 그리고 기본적으로 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하는 것을 자제해야 할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

TPM 보안 프로세서 펌웨어를 업데이트 후 지우는 방법

Posted by Sakai
2018.05.04 00:00 소프트웨어 팁/보안

오늘은 TPM 보안 프로세서 펌웨어를 업데이트 후 지우는 방법에 대해 알아보는 시간을 가져 보겠습니다.TPM이라는것은  Trusted Platform Module의 약자입니다. 해당 TPM은 암호화 키 같은 보안정보를 저장하는 데 쓰일 수 있는 모듈입니다. 특히 Bitlocker등에서 이용되며 해당 모듈을 사용하면 패스워드 없이도 Bitlocker 암호화가 가능한데 모듈이 암호화 키를 대신 저장해 줘서 가능하며 TPM은 시스템이 기동이 되면 POST 과정에서 시스템의 무결성을 검사하고 검사하는 항목은 조금씩 다른 부분도 있겠지만 대부분 디스크, BIOS 버전, 메인보드 정보, 하드디스크 등 시스템을 점검해서 시스템이 변조된 것으로 감지되면 잠겨 버리고 키를 내 놓는 것을 거부하게 되며 그리고 최근에 나오는 스마트폰에도 TPM이나 TPM과 비슷한 역할을 하는 보안 칩이 장착되어서 발표되며 그리고 데스크톱 메인보드는 기본적으로 달려서 나오는 경우가 흔하지는 않지만 TPM을 장착할 수 있도록 슬롯은 만들어 두는 경우가 꽤 있습니다.

다만, Skylake (6세대) 이후 Intel CPU였으면 CPU level에서 Microsoft 정책에 따라 Windows OS 자체에서 fTPM을 지원을 하기도 합니다. 즉 하드웨어 인증을 위해 호스트 시스템 고유의 RSA 암호화 키를 저장할 수 있으며 또한 TPM 칩에는 인증 키라고 하는 RSA 키 쌍이 있는데 이 쌍은 칩 내부에서 유지되며 소프트웨어로 액세스 할 수 없습니다. 간단히 말해 지문, 얼굴 데이터 등 중요한 데이터를 칩에 저장할 수 있으며 쉽게 액세스 할 수 없습니다.

그리고 활용을 하는 방법은 Windows에서 BitLocker을 사용하거나 Windows 10 OS (15063.413) 크리에이터 업데이터 이상 사용자는 Samsung Flow를 사용하여 Windows Hello를 통한 모바일 인증을 통한 PC 계정 로그인을 이용할 수 있습니다.

NIKON CORPORATION | NIKON D300

그리고 TPM을 사용하는 노트북 또는 PC가 있고 보안 프로세서 또는 TPM 펌웨어를 갱신해야 한다는 메시지가 Windows Defender Security Center에 있는 경우 우선순위를 갱신해야 합니다.
TPM 보안 프로세서 펌웨어를 업데이트하는 방법은 다음과 같습니다.
TPM 업데이트에는 일반적으로 운영 체제 보안에 영향을 줄 수 있는 보안 취약점 패치가 들어 있습니다. 이 업데이트는 다운로드하여 설치해야 하는 취약점을 해결합니다. Windows Update와 비교하여 일반적으로 빠른 펌웨어 업데이트가 OEM에서 할 수가 있습니다.
Windows 업데이트 다운로드 및 설치
해당 방법은 TPM을 업데이트하는 가장 좋은 방법입니다. TPM 업데이트를 수동 모드로 설정하였으면 업데이트가 있는지와 보안 패치가 포함되어 있는지 확인해야 합니다. 자동 업데이트의 경우 다운로드하여 설치하고 작업 센터에서 컴퓨터를 다시 시작하라는 알림을 볼 수가 있습니다.
여기에 작은 경고가 있을 수가 있습니다. Windows 운영 체제 업데이트를 설치하기 전에 OEM의 TPM 펌웨어 업데이트를 적용하지 하면 안 됩니다. 해당 방법은 Windows는 시스템이 영향을 받는지 판별할 수 없습니다.
OEM에 의한 펌웨어 업데이트 설치
Microsoft를 포함한 많은 OEM은 펌웨어 업데이트를 별도로 제공하고 있습니다. TPM 펌웨어 업데이트가 Windows Update에 포함되어 있지 않으면 수동으로 다운로드하여 적용해야 합니다. 다음은 업데이트를 다운로드 할 수 있는 OEM 목록입니다. 여기에서 제조업체를 언제든지 확인할 수 있습니다.
Microsoft Surface Devices.
Acer
Fujitsu
HP Customer Support
HP Enterprise Support
Lenovo
Panasonic
Toshiba
그리고 TPM을 지우는 방법은 다음과 같습니다.
Windows Update 또는 OEM 웹 사이트에서 펌웨어 업데이트를 설치하면 TPM을 지워야 합니다. 데이터가 안전한지 확인하는 것이 중요합니다. 다음 단계로 가기 전에 단계를 따로야 합니다. 나중에 TPM 데이터를 복원할 수 있도록 TPM 데이터를 백업해야 합니다. TPM을 지우면 보안 프로세서가 기본 설정으로 재설정됩니다. 또한, PC를 소유하지 않는 한 PC를 사용하지 않아야 합니다.
TPM 보안 프로세서 펌웨어 업데이트 및 지우기
TPM을 지우려면 다음 단계로 진행해야 합니다.
시작->설정->업데이트 및 보안->Windows 보안->장치 보안으로 이동합니다. 그러면 Windows Defender 보안 센터가 시작됩니다. 그리고 나서 장치 보안을 다시 선택한 다음 보안 프로세서에서 보안 프로세서 세부 정보를 선택합니다.
다음 화면에서 보안 프로세서 문제 해결을 선택한 다음 TPM 지우기 아래에서 TPM 지우기 버튼을 클릭합니다. 이렇게 하면 보안 프로세서가 기본 설정으로 재설정됩니다. 그리고 프로세스가 완료되기 전에 장치를 다시 시작해야 합니다.
PowerShell을 사용하여 TPM 지우기
Clear-Tpm cmdlet은 신뢰할 수 있는 플랫폼 모듈을 기본 상태로 다시 설정하고 소유자 권한 부여 값과 TPM에 저장된 키를 제거하는 방법입니다.
Clear-Tpm
이 명령은 값을 지정하거나 파일의 값을 사용하는 대신 레지스트리에 저장된 소유자 권한 부여 값을 사용하며 docs.microsoft.com 에서 자세한 내용을 확인할 수가 있습니다. 일단 TPM를 사용을 하시는 분들에게 도움이 되었으면 합니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 업데이트 정보 정보 잘 보고 갑니다
  2. 업데이트 정보 감사합니다.

GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상

Posted by Sakai
2018.05.01 02:22 소프트웨어 팁/보안

오늘은 최근에 유행하는 랜섬웨어 중 하나인 GandCrab Ransomware(갠드 랜섬웨어)가 새로운 버전인 GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)으로 업데이트가 되었다는 소식입니다. 최근에 켤 스위치가 발표되었지만, 그것도 거의 2주도 안 된 사이에 새로운 버전으로 업데이트가 되었습니다. 일단 GandCrab Ransomware(갠드 랜섬웨어)는 오리지널 버전은 다음과 같은 증상이 있습니다.
섬웨어는 기본적으로 감염되면 확장자를.GDCB으로 변경을 해버립니다. 기본적으로 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)는 기본적으로 스팸메일, 불법다운로드 파일에 있으면 익스플로잇으로도 감염이 되면 해당 GandCrab Ransomware(갠드크랩 랜섬웨어)의 특징 중 하나가 보통 랜섬웨어들은 기본적으로 비트코인이라는 가상화폐를 이용하지만 해당 랜섬웨어는 대쉬이라는 가상화폐를 요구합니다.
그리고 해당 랜섬웨어는 GandCrab Ransomware(갠드드크랩 랜섬웨어)은 기본적으로 해당 감염이 된 환경이 어떤 보안 프로그램이 사용되고 있는지 확인을 하고 샌드박스, 가상환경을 사용하는지 체크를 합니다. 일단 다음 보안 프로그램이 설치돼 있는지 확인을 합니다.
Avast
Avira
Comodo
ESET NOD 32
F-Secure
Kaspersky
McAfee
Microsoft
Norton/Symantec
Panda
Trend Micro

입니다. 여기서 마이크로소프트는 윈도우에 탑재된 윈도우 디펜더 제품을 이야기합니다. 그리고 컴퓨터가 감염되면 기본적으로 다음과 같은 파일들이 암호화됩니다.
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend,.bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des.design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho,.gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost,.otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,.ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
일단 해당 랜섬웨어 배포 방식은 스팸 메일, 이 메일 첨부 파일, 웹사이트 등으로 유포되고 있습니다. 일단 해당 랜섬웨어 제작자는 악성코드를 유포하기 위해서 다양한 방법을 사용합니다. 예를 들어서 사회공학적기법(쉽게 이야기하면 현재 인터넷 또는 사회에서 인기 있는 키워드 또는 정치적 이슈등을 이용을 하는 공격 방식)입니다.그리고 해당 방법이 아니면 소프트웨어프로그램에 악성코드를 삽입하는 방법입니다.

즉 프로그램을 다운로드를 하더라도 공식사이트에서 해야지 악성코드에 감염되는 것을 최소화할 수가 있지만 토렌트 같은 곳이나 출처가 불분명한 사이트에서 프로그램을 다운로드 및 실행을 하는 것은 위험한 행동 중 하나입니다. 아니면 Mozilla Firefox, Safari,Microsoft Edge,Opera,Internet Explorer,Google Chrome 같은 브라우저에서 사용되는 플러그인을 이용하는 방법도 있습니다. 물론 출처가 확실한 곳에서도 악성 플러그인 발견이 되고 있으므로 조심을 해야 할 것입니다. 그리고 Magnitude, RIG,GrandSoft,Exploit Kit들을 활용한 윈도우 취약점 및 브라우저 취약점 등을 활용한 공격입니다. 즉 윈도우 최적화를 한다고 윈도우 업데이트는 꺼버리는 것은 비추천 합니다. 물론 자신이 윈도우 업데이트가 되는 날을 알면 그때만 윈도우 업데이트 켜서 업데이트를 하고 꺼버리면 되겠지만, 보안을 위해서는 보안에 관한 것은 꺼버리는 것은 해서는 안 됩니다.

특히 UAC(사용자계정컨트롤),DEP(데이터실행방지)등과 같은 기능을 꺼버리면 안 됩니다. 일단 해당 GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)에 감염이 되면 먼저 부팅 순서를 변경하면 명령 프롬프트와 PowerShell을 관리자로 사용하여 사용자가 랜섬웨어 복구를 하려고 기본적으로 사용하는 볼륨 섀도 복사본(시스템복원지점)을 제거를 하면 그리고 파일들은 AES-256(CBC 모드)+RSA-2048 암호화 알고리즘을 사용하여 암호화하기 때문에 복구는 해당 랜섬웨어가 잡히지가 않는 이상 복구는 그냥 포기해야 합니다.

[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)변종 발견

[소프트웨어 팁/보안] - 랜섬웨어 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

그래서 백업을 하라고 하는 이유입니다. 그리고 백그라운드에서 random.exe를 실행하며 explorer.exe를 하이재커으로 하여서 시스템을 강제로 다시 시작하여 암호화를 완료할 수 있습니다. 그리고 기본적으로 250개 이상의 파일 형식을 대상으로 공격합니다. 그리고 나서 암호화를 완료되면 CRAB-DECRYPT.txt라는 파일을 형성하면 해당 내용은 다음과 같습니다.

--—= GANDCRAB V3 =—--
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter “username”: 21b1a2d1729f0695
1) Enter “password”: your password
2. Add new account in Psi
3. Add and write Jabber ID:ransomware@sjms any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!
굳이 번역을 하면 다음과 같이 됩니다.
- = GANDCRAB V3 = -
주의!
모든 파일, 사진, 데이터베이스 및 기타 중요한 파일은 암호화되어 있으며 확장자는 .CRAB입니다
파일을 복구하는 유일한 방법은 개인 키를 사는 것입니다. 그것은 우리 서버에 있으며 파일만 복구할 수 있습니다.
키가 있는 서버가 닫힌 네트워크 TOR에 있습니다. 다음과 같은 방법으로 거기에 갈 수 있습니다.
Tor 브라우저 다운로드 - https://www.torproject.org/
1. Tor 브라우저 설치
2. Tor 브라우저 열기
3. TOR 브라우저에서 링크 열기 :
4.이 페이지의 지시 사항을 따르십시오.
우리 페이지에서 지급에 대한 지시 사항을 볼 수 있으며 1 파일을 무료로 해독할 기회를 얻습니다.
우리에게 연락하는 다른 방법은 Jabber messenger를 사용하는 것입니다. 방법을 읽어보십시오.
0. Psi-Plus Jabber 클라이언트 다운로드 : https://psi-im.org/download/
1. 새 계정 등록 : http://sj.ms/register.php
0) "username"을 입력하십시오 : 21b1a2d1729f0695
1) "암호"를 입력하십시오 : 암호
Psi에 새 계정을 추가하십시오.
3. Jabber ID를 추가하고 쓰십시오 : ransomware@sj.ms 모든 메시지
4. 명령 봇을 따르십시오.
주의!
봇입니다! 그것은 인간의 제어 없이 완전히 자동화된 인공 시스템입니다!
우리에게 연락하려면 TOR 링크를 사용하십시오. 우리는 언제든지 해독 가능한 모든 증거를 제공할 수 있습니다. 우리는 대화에 개방적입니다.
jabber 설치 및 사용 방법은 여기를 참고하십시오. http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
주의!
파일을 수정하거나 개인 키를 사용하지 마십시오. 이렇게 하면 데이터가 영구히 손실됩니다!

입니다. 그리고 전에도 소개해 드린 ShadowExplorer(새도우 익스플로워)는 아무런 소용이 없습니다. 앞서 이야기한 것처럼 볼륨 섀도 복사본(시스템복원지점)을 제거를 했기 때문에 아무런 소용이 없습니다.

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

굳이 복구 방법은 일단 포멧을 하고 나서 기존에 볼륨 섀도 복사본(시스템복원지점)을 만들어 놓은 백업파일을 이용해서 복구하거나 외장하드디스크 등에 저장된 복구지점을 통해서 이용하는 방법입니다. 즉 기본적으로 윈도우 업데이트는 기본적으로 자동업데이트로 하고 백신프로그램 설치,최신업데이트 유지,보조백신프로그램 또는 랜섬웨어 방지 프로그램 설치 및 실행 그리고 출처가 불분명한 사이트에서 프로그램, 영화 같은 것을 다운로드 및 실행을 하는 것은 하지 말아야 합니다. 즉 안전하게 사용을 하고 싶으면 윈도우도 공식사이트에서 ISO를 다운로드 및 정품인증을 위해서 윈도우를 구매해서 사용하는 것이 안전할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁] - 윈도우 업데이트 오류코드 0x8024402f 해결방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어 정보 잘 보고 갑니다

한국을 노리는 랜섬웨어 Magniber 랜섬웨어(메그니베르 랜섬웨어)(README.txt) 복구툴 공개

Posted by Sakai
2018.04.04 17:47 소프트웨어 팁/보안

일단 오늘은 한국을 목표하는 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상에 대해 알아보는 시간을 알아보겠습니다. 일단 랜섬웨어라는것이 기본적으로 개인적으로 사용자이든 공적으로 중요한 문서들을 개인정보 보호하기 위해서 사용이 되는 AES와RSA같은것을 역으로 이용해서 컴퓨터 취약점을 통하거나 또는 토렌트 같은 곳에서 출처가 의심스러운 파일을 실행했으면 랜섬웨어 같은 악성코드에 감염될 수가 있는 확률이 높아집니다.
메그니베르 랜섬웨어(Magniber ransomware)는 다른 랜섬웨어와 다르게 작동하는 것이 일반적인 랜섬웨어들은 기본적으로 자신이 원하는 대로 컴퓨터를 악성코드를 감염을 시키고 나서 자신이 수행하는 랜섬웨어 원칙에 맞게 비트코인을 입금을 하라고 컴퓨터를 검색해서 문서 또는 비디오파일 또는 사진파일들을 암호화시켜 사용자에게 비트코인을 요구를 하는 것이 특징이지만 이번 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)은 언어 점검, 외부 IP 및 지역들을 점검해서 한국에서 사용하는지 확인을 하는 과정을 거치게 됩니다.
즉 한국인이 해당 컴퓨터를 사용하는지 확인을 하려고 윈도우 언어, IP 주소, 지역들을 점검한다는 점에서 한국인을 노리는 랜섬웨어 입니다. 일단 해당 랜섬웨어는 기본적으로 CVE-2016-0189 취약점을 노린다는 점입니다. 즉 윈도우 업데이트를 하면 해당 랜섬웨어는 피해갈 수가 있습니다.
해당 CVE-2016-0189는 Internet Explorer의 메모리 손상 취약점입니다. 그리고 오랫동안 보이지 않고 있었던 Cerber ransomware(사이버 랜섬웨어)의 귀환을 알리는 랜섬웨어이기도 합니다.

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

일단 2017년 10월 중순경부터 한국어 운영체제를 사용하는 사용자에게 파일 암호화 행위가 이루어지는 랜섬웨어 입니다. 즉 기본적으로 윈도우 보안 업데이트 및 기타 프로그램에서 제공하는 보안 패치를 잘하면 해당 랜선웨어는 걸릴 확률이 줄어듭니다.
최근에 한국에 대표적인 보안 업체인 안랩(AhnLab)에서 최근에 유포되고 있는 Magniber 랜섬웨어(메그니베르 랜섬웨어)의 취약점을 확인하며 무료로 복구할 수가 있는 복구 도구를 공개했습니다. 다만, 기존에 유포된 랜섬웨어인 Magniber 랜섬웨어 중 "_HOW_TO_DECRYPT_MY_FILES_<Random>_.txt, READ_ME_FOR_DECRYPT_<Random>_.txt, READ_ME_FOR_DECRYPT.txt, READ_FOR_DECRYPT.txt, READ_ME.txt" 메시지 파일을 생성했던 변종은 복구할 수 없으며, 최근에 파일 암호화 후 생성되는 README.txt 메시지 파일이 생성되는 경우에만 복구할 수 있습니다.

일단 해당 랜섬웨어 복구를 하려면 기본적으로 파일 복구를 위해서는 반드시 키(Key)값과 벡터(Vetor)값을 사용자가 알고 있어야 합니다.

벡터(Vetor)값은 Magniber 랜섬웨어 감염으로 생성된 README.txt 파일에 표시된 URL 주소의 뒷자리 값으로 사용자가 확인할 수가 있습니다.

그리고 사용자는 기본적으로 암호화된 파일 확장명과 벡터값만 확인할 수 있으며 암호화에 사용된 공개키 정보는 알 수 없기에 안랩(AhnLab) 블로그에서는 지속적으로 복구 가능한 확장명을 기준으로 키 정보를 공개할 예정할 예정입니다. 일단 2018년 4월 2일경에 유포된 Magniber 랜섬웨어 변종에 의해 암호화된 파일은 .hxzrvhh 확장명으로 암호화된 경우에는 다음과 같이  적용을 할수가 있을것입니다.

암호화된 파일 확장명:.hxzrvhh
키(Key):EsoNSQ0oaSE614v
벡터(Vetor):lEF91UX3DHb1N194
암호화된 파일 확장명:.gcwssbfuw
키(Key)::B4484pQ2w3y6Icq6
벡터(Vetor):X0x117b1Um535FD8
4월 3일
암호화된 파일 확장명:.jxrhgat
키(Key):CZH7Fy6Q537ycWX3
벡터(Vetor):R9Ltm45J2oVk7ciZ
4월 3일
암호화된 파일 확장명:.qgsxyzidg
키(Key):g5eIdGlVqO9s1Naj
암호화된 파일 확장명:Nu4996t2h6m7K3bx

입니다.
일단 안랩에서 제공을 하는 Magniber 랜섬웨어 복구툴을 임의의 폴더에 다운로드한 후 실행을 위해서는 명령 프롬프트를 관리자 권한으로 실행합니다. 그리고 나서 Magniber 랜섬웨어 복구툴이 위치한 폴더로 지정하면 됩니다.
암호화된 개별 파일 복구 방법
Magniber 랜섬웨어에 의해 암호화된 파일 중 사용자가 특정 암호화된 파일만을 복구하는 방법은 다음과 같습니다.
먼저 CMD 명령 프롬프트 창에 MagniberDecryptV1 /f "암호화된 파일 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vetor)> 씩으로 입력을 하시면 됩니다.
정 폴더 내의 파일 전체를 복구하는 방법
Magniber 랜섬웨어에 의해 암호화된 파일을 사용자가 특정 폴더 내에 모두 넣고 파일들을 일괄적으로 복구하는 방법은 다음과 같습니다.
CMD 명령 프롬프트 창에 MagniberDecryptV1 /d "암호화된 파일이 존재하는 폴더 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vetor)> 방식으로 정보를 입력하시면 됩니다.
물론 해당 방법은 일시적으로 사용할 수가 있습니다. 왜냐하면, 악성코드를 제작하는 사람들이 바꾸어 버리면 끝이니 때문입니다.
그리기 때문에 귀찮더라도 기본적으로 윈도우 업데이트를 꺼버리는 것은 하지 말며 그리고 랜섬웨어 방어 프로그램은 반드시 설치를 해서 사용을 하시면 됩니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

비트코인 및 가상화폐 가격 변동을 볼수가 있는 윈도우 스토어-CryptoTracker

Posted by Sakai
2017.12.22 03:56 브라우저 부가기능/윈도우 스토어

오늘은 비트코인 및 가상화폐 가격 변동을 볼수가 있는 윈도우 스토어인 CryptoTracker에 대해 알아보겠습니다.일단 비트코인은 사토시 나카모토(Satoshi Nakamoto)가 만들었고 비트코인은 2009년 1월 3일 사토시 나카모토가 개발한 세계 최초의 암호화폐이며 ISO 코드 4217, XBT 또는 BTC이며 기존 화폐와 달리 정부나 중앙은행, 금융기관의 개입없이 P2P의 빠르고 안전한 거래가 가능하고 그리고 금처럼 유통량이 한정되어 있다는 것이 특징을 가지는 암호화 화폐입니다.

일단 기본적으로 일단 좋은 데로는 잘 사용이 되지 않고 마약거래, 성매매, 불법무기거래 등 어둠이 경로의 거래에 사용되고 있고 그리고 악성코드 제작자들은 AES, RSA 같은 암호화 파일을 이용해서 사용자 파일을 암호화하고 해당 암호화를 풀어주는 대가로 예전에는 돈을 요구했지만, 이제는 비트코인 같은 비트코인을 요구를 하고 있습니다.

일단 비트코인을 얻으려면 돈을 주고 구매를 하는 방법과 직접 비트코인 채굴기를 만들어서 CPU나 GPU 병렬로 연결해서 사용해서 비트코인을 채굴을 합니다.

물론 이런 비트코인을 채굴을 하려고 악성코드를 만들거나 사이트에 스크립트를 넣어서 비트코인 등과 같은 가상화폐를 사용하기도 합니다. 그리고 앞으로 100년간 발행될 비트코인 화폐량이 미리 정해져 있으며 2,100만 개까지만 발행됩니다. 즉 한정이 돼 있어서 최근에 투기 현상이 일어나고 있기도 합니다.비트코인 채굴은 다음과 같이 진행이 됩니다.

Panasonic | DMC-GX80

CryptoTracker

사용자가 송금 버튼을 누르면 거래내용이 네트워크를 통해 주변 노드로 전파되기 시작을 합니다. 그리고 각 채굴 노드는 거래 내용을 검증 거친 후, 이들을 하나로 모아 하나의 블록으로 만들게 되고 채굴 노드는 블록에 무작위로 숫자를 더하고 SHA-256 암호화 함수를 계산합니다. 암호화 결과가 일정 난이도를 통과하면 블록 생성이 성공되고 다시 해당 결과가 주변 노드에 전파되며 이때 블록마다 주어지는 현상금과 각 거래에 포함된 수수료가 블록 생성에 성공한 채굴 노드에 주어집니다.

새 블록이 생성되면 각 노드는 올바른 블록인지 검증되고 블록에 포함된 정보가 모두 올바른 정보일 경우 승인이 이루어집니다. 그리고 채굴 문제를 풀면 나오는 비트코인의 양은 대략 4년마다 절반씩 줄어들어 들고 최종적으로는 총량이 약 2,100만 비트코인을 얻기 돼 있습니다. 일단 해당 윈도우 스토어에 있는 CryptoTracker는 간단하게 Bitcoin, Ethereum, Litecoin를 가격을 볼 수가 있습니다.

단위는 마지막 시간당, 일, 주, 월, 년으로 볼 수가 있으며 현재는 EUR, USD, CAD 및 MXN을 지원을 합니다.

그리고 해당 계발 자는 지갑 주소를 추가해서 포트폴리오를 자동으로 추가할 수가 있는 기능을 추가한다고 합니다. 일단 가상화폐에 관심이 있으신 분들은 한번 참고 하시는 것도 좋을 것 같습니다.

참고로 개인적으로 사용하는 보조 백신프로그램에서는 2017년12월21일 오후 2시쯤에는 Zemana AntiMalware에서 유해한 파일이라고 탐지가 되었습니다. 일단 Zemana AntiMalware 특징상 오진이 있을 수가 있으면 해당 부분은 참고 하시면 될 것입니다.
먼저 해당 CryptoTracker를 설치를 하고 실행을 하면 다음과 같은 화면을 볼 수가 있습니다.

일단 가격은 Bitcoin, Ethereum, Litecoin 가격이 나오는 것을 볼 수가 있으면 각각의 가상화폐 옆에는 최고, 최저, 개장했을 때 가격을 볼 수가 있습니다.
그리고 자신이 원하는 가상화폐를 선택하면 챠트가 나올 것이고 그리고 마우스로 클릭하면 해당 가격 변동부분을 볼 수가 있습니다. 그리고 환경설정에서는 달러, 유로화, CAD를 통화를 변경할 수가 있습니다. 일단 비트코인과 같은 가상화폐에 관심이 있으신 분들만 보시면 될 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 요즘 가상화폐에 투자하는 분들이 많더라구요 덕분에 잘 알고 갑니다
    • 개인적으로 가상화폐에 투자하는것은 위험해보이더라고요.
  2. 좋은 정보 잘보고갑니다. 행복한 아침되세요^^

랜섬웨어 예방 프로그램-RansomStopper

Posted by Sakai
2017.12.18 14:31 소프트웨어 팁/보안

랜섬웨어(Ransomware)이라고 하는 것은 기본적으로 AES, RSA 같은 암호화 알고리즘을 이용해서 사용자의 컴퓨터에 있는 특정 파일을 대상으로 공격해서 파일을 암호화하거나 또는 하드디스크에 있는 파일들을 삭제해서 컴퓨터 사용자에게 돈을 요구하면 돈을 받으면 암호화를 풀어 준다고 협박을 하는 악성코드입니다. 최근에는 기본적으로 가상화폐인 비트코인을 요구하기도 합니다.

물론 해당 비트코인을 지불을 한다고 해도 해당 암호화된 파일들이 풀어준다는 보장은 없습니다. 일단 랜섬웨어(Ransomware)은 기본적으로 예방하는 것이 제일 좋은 방법입니다.

즉 기본적으로 윈도우 업데이트를 기본적으로 하면 백신프로그램을 사용하면 자신이 사용하는 프로그램들은 항상 최신으로 이용하면 토렌트 같은 곳에서 영화를 내려받기를 해서 보다가 랜섬웨어 같은 악성코드에 감염되는 경우 이메일을 통해서 감염되는 경우 아니면 불법 사이트에 접속했다가 감염이 되는 경우 아니면 특정 사이트에서 취약점을 통한 감염 등 여러 가지 방법으로 사용자의 컴퓨터에 감염되기도 합니다.

오늘 소개해 드리는 소프트웨어인 RansomStopper이라는 프로그램은 CyberSight 사에서 제작을 해서 배포를 하는 프로그램입니다. 물론 랜섬웨어는 단순하게 비트코인을 요구를 통한 돈을 위한 목적도 있지만, 정치적인 랜섬웨어 들도 많이 있습니다. 예전에 소개해 드린 이스라바이라는 랜섬웨어 일 것입니다.
RansomStopper라는 프로그램은 컴퓨터에 침입하는 악성코드들을 예측, 탐지 및 차단 및 행동 분석을 수행하는 보안 소프트웨어입니다.
일단 해당 RansomStopper는 무료 안티 랜섬웨어 소프트웨어로 행동 분석 및 기만 기술을 사용하여 예방, 탐지 및 랜섬웨어 공격을 방지합니다, 그리고 랜섬웨어가 사용자의 컴퓨터를 공격하는 것을 탐지할 수가 있습니다. 일단 해당 프로그램인 RansomStopper의 특징은 다음과 같습니다.
행동 분석-소프트웨어에는 기존 또는 잠재적인 랜섬웨어 를 탐지할 수 있는 특허받은 행동 분석 및 기만 기술이 포함되어 있어 PC를 악의적인 암호화로부터 보호합니다.

[보안] - 이스라엘을 목표를 하는 랜섬웨어-Israby Ransomware(이스라바이 랜섬웨어)

RansomStopper

디코이,허니팟:RansomStopper는 허니팟 기술에서 작동합니다. 해당 프로그램 실제로 침입자를 유혹하여 공격을 탐지하도록 설정된 시스템 함정이면서 현재 사이버 범죄자들과 싸우는 가장 좋은 보안 도구 중 하나입니다.
다층 방위 및 실시간 경보 다층 보안 및 실시간 경보 기능을 통해 이 프리웨어는 컴퓨터가 악성코드로부터 안전한지 확인합니다.
완전 자동화된 소프트웨어이므로 특별하게 컴퓨터 사용자가 설정을 변경하거나 구성할 필요가 없습니다.
공격 방법에 관계없이 보호: 사이버 공격자는 다양한 방법을 사용하여 악성 링크를 보내고 PC에 대한 무단 액세스를 허용하지만 RansomStopper는 가능한 모든 방법을 통해서 컴퓨터를 랜섬웨어로 부터 보호합니다.
일단 기본적으로 간단하고 사용하기 쉬운 소프트웨어이며 직관적인 인터페이스가 제공되며 특별한 기술 노하우가 필요 없고 모든 백신 프로그램 및 기타 보안 솔루션과 호환되며 인터페이스는 매우 직관적이며 간단하게 구성이 돼 있습니다. 일단 기본적으로 윈도우 7,윈도우 8,윈도우 10에서만 사용할 수 있으면 윈도우 XP,윈도우 비스타같이 기술지원이 종료된 운영체제는 지원하지 않습니다. 일단 해당 프로그램이 익숙하지 않은 분들은 지난 시간에 소개해 드린 앱체크, 안랩에서 제공하는 랜섬웨어 예방 도구 등을 설치하면 됩니다. 일단 한번 사용을 해보고 싶은 경우에는 가상환경에서 한번 사용을 해보시는 것도 좋은 방법이라고 생각이 됩니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

Posted by Sakai
2017.11.14 00:00 소프트웨어 팁/보안

랜섬웨어(Ransomware)라고 하면 기본적으로 AES와 그리고 RSA 암호화 알고리즘을 사용해서 사용자가 사용자의 컴퓨터를 감염을 시켜 암호화를 진행해서 해당 암호화된 파일을 풀고 싶으면 가상화폐 중 하나인 비트코인을 내보라고 하는 악성코드입니다. 물론 비트코인을 보낸다고 암호화를 풀 수 있는 파일을 랜섬웨어 복원화 도구를 받는다는 100% 보장이 없습니다.

즉 이런 악성코드에 감염되는 것을 최소화하려면 기본적으로 예방이 중요합니다. 즉 윈도우 업데이트 제때하고 백신프로그램 설치를 하고 최신으로 유지하면 최신 업데이트로 유지를 하며 자신이 사용하는 프로그램을 최신 상태로 유지하면 토렌트와 같은 곳에서 출처가 불분명한 곳에서 파일이나 동영상을 다운로드르 및 실행을 하지 않고 보조 백신프로그램이나 랜섬웨어예방프로그램을 사용을 하는 것이 안전하게 컴퓨터를 사용하는 방법의 하나일 것입니다.

오늘은 소개해 드리는 프로그램인 Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버) 일명 Rifr은 간단하게 랜섬웨어가 남겨놓은 랜섬노트를 지우는 역할을 합니다.

일단 랜섬웨어는 제거를 하지 않으므로 랜섬웨어 안내파일만 삭제합니다. 일단 해당 스크립트인 Rifr은 일단 MZK로 유명한 ViOLeT님이 제작을 해서 배포를 하고 있습니다. 일단 사용은 무료로 할 수가 있으면 프로그램의 계발을 위해서 기부도 가능합니다. 일단 배포 하는 곳은 예전부터 몸을 담고 있던 바이러스 제로 시즌 2에서 제공을 합니다. 일단 제거를 할 수가 있는 랜섬웨어 종류는 다음과 같습니다.
726, Cerber, CryptoLocker, CryptoShield, CryptoWall, CryptXXX, CTB-Locker, Locky, Matrix,My Ransom, Sage, WannaCry
일단 기본적으로 해당 파일은 바이러스 제로 시즌 2에서 내려받기하면 되면 실행을 하려면 먼저 해당 프로그램을 압축프로그램으로 풀고 나서 그리고 나서 해당 파일을 관리자 권한으로 실행을 시켜 줍니다. 그리고 나서 잠시 기다리다 보면 다음과 같은 메시지가 나올 것입니다.

Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

Ransomware Information File Remover
Virus Zero Season 2 : cafe.naver.com/malzero
Batch Script : ViOLeT (archguru)
────────────────────────────────────────────────
ⓘ 진행 전에 반드시 읽어주세요!
 이 스크립트는 랜섬웨어 안내 파일만 삭제하며, 랜섬웨어 본체 삭제 기능은 없습니다.
랜섬웨어 안내 파일 삭제 시, 비트 코인 송금을 통한 복호화가 불가능해지므로 유의 바랍니다.
ⓘ 안내 파일 제거 가능 랜섬웨어 종류 안내
726, Cerber, CryptoLocker, CryptoShield, CryptoWall, CryptXXX, CTB-Locker, Locky, Matrix
My Ransom, Sage, WannaCry
● 동의 및 삭제를 진행하시겠습니까 (Y/N)? y
◇ 고정식 및 이동식 드라이브 정보 읽는중 . . .
◇ C:\ 드라이브 랜섬웨어 안내 파일 제거 중 (데이터가 많을 경우 상당 시간 소요) . . .

일단 726, Cerber, CryptoLocker, CryptoShield, CryptoWall, CryptXXX, CTB-Locker, Locky, Matrix,My Ransom, Sage, WannaCry에 감염이된 분들에게 랜섬웨어 노트를 제거하는데 도움을 받을 수가 있을 것입니다. 일단 기본적으로 무료이면 프로그램 계발 자인 ViOLeT 님에게 후원을 하고 싶은 분들은 페이팔과 카카오뱅크계좌로 후원을 하시는 것도 좋은 방법일 것입니다.

일단 기본적으로 앞서 이야기한 것처럼 랜섬웨어에 감염이 되지 않는 것이 제일 나은 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. MZK 도 사용중인데 랜섬웨어 제거 툴도 나왔군요.
    • 해당 프로그램은 랜섬웨어 노트만을 제거합니다.랜섬웨어를 제거를 하는것이 아닙니다.랜섬웨어 제거는 MZK등과 같은 보조 프로그램과 백신프로그램을 이용을 하는것이 좋을것 같습니다.
  2. 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover 글 잘 읽고 갑니다^^ 항상 건강하세요
  3. 맥신프로그램이 많이 개발되면 더 좋을 것 같아요
    • 백신프로그램도 중요하지만 일단 기본적으로 사용자의 보안 의식도 중요한것 같습니다.백신프로그램이 100% 잡아주지 않기 떄문이죠.
  4. 정말 대단하신분인것 같아요
    mzk도 만들어서 배포하시고 이 프로그램도 만드시고 ㅎㅎ
    • 저도 그렇게 생각을 하고 있습니다.

독일을 목표로 하는 랜섬웨어-Ordinypt Ransomware

Posted by Sakai
2017.11.13 00:01 소프트웨어 팁/보안

랜섬웨어라는것은 간단하게 암호화 기술인 AES, RSA를 이용해서 사용자 컴퓨터를 감염시켜 사용자 컴퓨터에 있는 문서, 동영상, 사진 등 파일을 암호화해서 암호화를 풀기를 위해서 암호화를 풀기 위한 도구를 구매해야 하면 해당 도구를 다운로드 하고 싶은 경우에는 비트코인이 있기 이전에는 대포통장을 비트코인같은 가상화폐가 있으면 비트코인등을 요구합니다. 일단 최근에 특정 국가를 목표로 랜섬웨어들이 많이 제작이 되고 있습니다. 해당 Ordinypt Ransomware는 독일어를 사용하는 사람들로 목표했기 때문에 독일어로만 구성돼 있습니다. 일단 해당 Ordinypt Ransomware는 Petya Ransomware(페트야 랜섬웨어)와 마찬가지로 취업광고로 대한 회신형식이면 이력서로 가장하는 ZIP 형식으로 압축파일로 구성돼 있고 조금 더 신뢰를 얻으려고 예쁜 여자얼굴이 있는 JPG파일가 포함이 돼 있습니다.
Viktoria Henschel-Bewerbungsfoto.jpg,Viktoria Henschel-Bewerbungsunterlagen.zip의 2개의 파일이 첨부돼 있습니다. 일단 압축파일을 열어보면 아이콘은 PDF 아이콘으로 돼 있지만 실제로는 확장자는 PDF 확장자가 아닌 exe형식로 돼 있어서 컴퓨터에서 확장자를 표시하지 않았으면 PDF 파일로 착각해서 exe 파일이 실행되는 방식입니다.

즉 악성코드 유포자가 토렌트에서 유명한 영화로 돼 있는 것처럼 돼 있지만 실제로는 실행을 하면 동영상이 아닌 exe 파일이 실행되어서 악성코드를 감염시키는 방법을 사용합니다. 그리고 파일명은 무작위로 바뀌게 돼 있습니다.

문자 및 숫자로 구성된 문자열을 무작위로 생성하며 같은 함수에 의해 생성되며 파일 크기는 8KB에서 24KB 사이에서 다를 수 있습니다. 그리고 해당 Ordinypt Ransomware는 파일을 파괴한 모든 폴더에 몸값기록을 남기며 몸값을 받으려고 파일 이름은 Where_are_my_files.html,Wo_sind_meine_Dateien.html이 됩니다. 그리고 감염이 되면 감염이 된 컴퓨터의 ID,Bitcoin 주소(비트코인 주소),다크웹 URL 그리고 몸값을 지급을 확인하기 위해서 전자메일주소도 함께 표시합니다.
그리고 JavaScript로 구성이 된 101개의 비트코인 지갑 주소목록에서 무작위로 비트코인 주소를 선택합니다.

일단 Ordinypt Ransomware의 독일어 이메일 내용입니다. 일단 개인적으로 독일어를 못하기 때문에 번역은 생략하겠습니다.

Sehr geehrte Damen und Herren, anbei erhalten Sie meine Bewerbung für Ihre bei der Arbeitsagentur ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann. Mit freundlichen Grüßen, Viktoria Henschel Translated Spam: Dear Sir or Madam, Enclosed you will receive my application for your job advertised at the Employment Agency. Please see my detailed and attached application documents for the reasons why I am able to fill the vacant position optimally and that your experience has many advantages for your company. I'm glad if I can introduce myself once again. Best regards, Viktoria Henschel

그리고 랜섬웨어가 생성하는 랜섬웨어 노트는 다음과 같습니다.

Ihre Dateien wurden verschlüsselt!

Sehr geehrte Damen und Herren, Wie Sie mit Sicherheit bereits festgestellt haben, wurden alle Ihre Dateien verschlüsselt. Wie erhalte ich Zugriff auf meine Dateien? Um Ihre Dateien erfolgreich zu entschlüsseln, benötigen Sie unsere Spezielle Software und den dazugehörigen Decrypt-Key. Wo bekomme ich die Software? Die Entschlüsselungs-Software können Sie bei uns erwerben. Der Preis für die Entschlüsselungs-Software beläuft sich auf 0.12 Bitcoin (ca. 600 Euro). Bitte beachten Sie, dass wir ausschließlich Bitcoin für den Erwerb der Software akzeptieren.
Wo bekomme ich Bitcoin?

Bitcoin können Sie Online sowie Offline erwerben, eine Liste empfohlener Anbieter folgt: https://www.bitcoin.de/de/-Online https://localbitcoins.com/-Online/Offline

https://btcdirect.eu/de-at-Online

https://www.virwox.com-Online

Zahlungsanweisungen Bitte transferieren

Sie exakt 0.12 Bitcoin an folgende Addresse:XXXXXXXXXXXXXXXXXXXXXXXXX
Nach erfolgreichem Zahlungseingang erhalten Sie automatisch die Entschlüsselungs-Software sowie den dazugehörigen Decrypt-Key. ACHTUNG! Sollten wir innerhalb von 7 Tagen keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie kein Interesse an der Entschlüsselung Ihrer Dateien haben.
 In diesem Fall löschen wir den Decrypt-Key unwiderruflich und Ihre Dateien sind für immer verloren. Ihre Dateien wurden mit einem 256-Bit AES Algorithmus auf Militärqualität verschlüsselt.
Wir empfehlen Ihnen keine Zeit mit eigenhändigen Entschlüsselungsversuchen zu verschwenden, dies würde Sie nur unnötig Zeit und weiteres Geld kosten, Ihre Dateien wären aber weiterhin verschlüsselt.

Bonus Zusätzlich zur Entschlüsselungs-Software erhalten Sie nach erfolgreicher Zahlung, hinweise wie die Schadsoftware auf Ihre System gelangen konnte und wie Sie sich in Zukunft vor weiteren Übergriffen schützen können!

뭐 대충 랜섬웨어 노트 내용이라 간단하게 비트코인 가격과 그리고 비트코인 주소, 사용자 감염자 ID, 그리고 AES 256비트 알고리즘을 암호화했다는 내용입니다. 보면 유로화로 600유로인 것을 볼 수가 있습니다.
이런 랜섬웨어에 감염이 되기 싫은 분들은 기본적으로 윈도우 업데이트,백신프로그램 사용, 보조 백신프로그램 또는 랜섬웨어차단 프로그램을 사용하면 기본적으로 자신이 사용하는 프로그램은 최신프로그램으로 유지하면 프로그램도 프로그램제작사에서 다운로드해서 사용을 해야 하면 출처가 불분명한 곳에서는 파일을 다운로드 및 설치를 하지 말아야 하며 그리고 확장자를 볼 수가 있게 윈도우 설정을 변경을 해주면 됩니다.

설정 방법은 간단합니다. 먼저 내 컴퓨터를 열어줍니다. 윈도우 10 같은 경우에는 보기에 보면 파일 확장명이라는 것이 보일 것입니다. 해당 부분을 체크를 해주면 자신의 컴퓨터에 있는 파일의 확장자를 볼 수가 있습니다. 해당 부분은 필수로 설정하지 않아도 되지만 그래도 확장자 명을 표시하게 하는 것이 보안에는 도움이 됩니다.

<기타 관련 글>

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

[보안] - 일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - MBR 변조를 한 후 부팅을 방해하는 PETYA 랜섬웨어(패트야 랜섬웨어)- 변종 골든 아이 랜섬웨어(Goldeneye Ransomware)

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 우크라이나를 겨냥한 XData 랜섬웨어 감염 증상 및 예방 방법

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 특정 국가를 상대로한 랜섬웨어가 계속 나오는군요.
    • 특정 국가를 노린다는것은 아마도 해당 국가에 대해서 반감을 가지고 있거나 아니면 해당 국가의 대상으로 랜섬웨어를 감염 시켜서 비트코인을 벌기 위해서 이죠.
  2. 독일을 상대로 한 랜섬웨어 라고 하니 조금은 안심이 되는군요
    • 그래도 독일쪽으로 일을 하거나 채팅,이메일등을 하는 경우에는 조심해야되죠.그리고 시간이 걸리겠지만 국내에도 발견이 될수도 있겠죠.
  3. 무섭네요.; 한국사람은 걱정안해도되겠죠?^^;
    잘보고갑니다. 좋은 하루되세요^^
    • 한국 사람이라서 걱정을 안하는것 보다 기본적으로 윈도우 업데이트 같은것을 잘하면 감염이 될 확률은 줄어들것입니다.
  4. 독일을 목표로 하는 랜섬웨어 Ordinypt Ransomware 에 대해 잘알고 갑니다^^
  5. 저는 이번에 랜섬 걸린거 다 풀엇어요^^
    • 축하드립니다.다음에 악성코드에 걸리지 않게 조심하세요.
  6. 와.. 논문인줄 알았어요. 굉장히 전문가적이면서도 자세하네요. ^^* 좋은 설명 정보 감사합니다.

안드로이드 랜섬웨어-Doublelocker android Ransomware(더블락 안드로이드 랜섬웨어) 감염 및 증상

Posted by Sakai
2017.11.04 00:49 소프트웨어 팁/보안

일단 랜섬웨어라고 하면 기본적으로 AES 와 RSA 알고리즘을 이용해서 컴퓨터에만 있는 비디오 파일, 사진파일, 문서 파일 등을 암호화해서 사용자에게 암호화를 풀어주는 대가로 금전을 요구했으나 최근에는 비트코인이라는 가상화폐를 이용합니다. 일단 가상화폐인 비트코인을 요구를 해서 사용자에게 비트코인을 받고 암호화를 풀 수 있는 복구툴을 제공을 할 가능성은 거의 없습니다. 즉 예방이 중요하다는 것입니다. 그리고 보통 사람들은 랜섬웨어라고 하면 컴퓨터에서만 감염된다고 생각을 하지만 안드로이드 같은 운영체제를 사용하는 스마트폰도 노리기도 합니다.

해당 안드로이드 랜섬웨어인 Doublelocker android Ransomware(더블락 안드로이드 랜섬웨어)은 이름처럼 장치를 두 번 잠금을 합니다. 해당 Doublelocker android Ransomware(더블락 안드로이드 랜섬웨어)은 기본적으로 스마트폰에 있는 파일들을 암호화하고 나서 그리고 PIN 잠금을 시도합니다. 물론 PIN 번호도 사용자가 설정한 PIN(핀 번호) 가 아닙니다.Double locker ransomware의 목적은 은행 계좌 정보를 도용하기 위해 만들어진 랜섬웨어이며 관리자 되지 않은 웹사이트를 해킹해서 가짜 어도비 플래시 플레이어(Adobe Flash Player)를 업데이트 하라고 해서 사용자에게 요구하게 되고 업데이트를 실행을 하는 순간 랜섬웨어에 감염이 됩니다.

참고로 어도비 플래시 플레이어는 안드로이드에서는 퇴출이 되어서 현재 출시가 되는 어도비 플래시 플레이어에서는 실행 및 설치가 돼 있지 않기 때문에 그냥 무시를 하면 됩니다. 먼저 해당 랜섬웨어는 먼저 구글 플레이어의 접근성 기능 활성화를 요청하고 사용자가 강제적으로 해당 앱을 설치를 하게 되면 관리자 권한을 얻으려고 기본 홈 응용프로그램으로 권한을 요청하게 되고 요청에 응하면 이제는 자신이 사용하는 스마트폰은 자신의 것이 아니게 됩니다.

그리고 사용자가 홈 버튼을 누를 때마다 랜섬웨어가 활성화가 되며 자신이 사용하는 스마트폰은 랜섬웨어에 의해서 잠기는 것을 볼 수가 있습니다. 그리고 스마트폰에서 보안 설정을 할 때 사용을 하는 PIN 번호는 임의의 값으로 변경하고 AES 암호화 알고리즘을 통해서 악성코드에 의해서 모든 파일을 암호화합니다. 그리고 BTC 0.00130을 요구하면 24시간 이내에 비트코인을 지급하여 달라고 요구하면 해당 몸값인 비트코인을 지급이 되면 악성코드 제작자는 해독키를 제공하면 파일이 잠금을 해제하고 PIN을 원격에서 재설정하여 랜섬웨어 손해를 입은 장치를 잠금을 해제해줍니다.

물론 비트코인을 지급하기 싫으면 해결방법은 스마트폰 초기화를 진행해야 제거를 할 수가 있으면 디버깅 모드가 설정된 루딩이 된 안드로이드 기기의 경우 안드로이드 디버그 브리지 도구(ADB)를 사용해서 스마트폰을 초기화하지 않고 PIN 재설정을 할 수가 있습니다. 이런 랜섬웨어에서 피해를 줄이는 방법은 스마트폰에서 백신프로그램은 반드시 설치를 하고 실시간 감시 최신 업데이트 유지, 그리고 Google Play 스토어와 같은 신뢰할 수 있는 앱을 이용을 하면 그리고 안드로이드 게임 등을 공짜로 즐기려고 게임 핵이 적용된 APK파일을 사용을 할 때 이런 랜섬웨어 같은 악성코드에 감염될 수가 있으면 SMS(문자) 또는 이메일에 첨부된 링크는 함부로 클릭을 하고 실행을 하는 것을 자제해야 하면 안드로이드 백신어플을 사용을 하더라도 신뢰할 수가 있는 제품을 이용하는 것이 좋은 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 눌 조심해서 밖에 없을 것 같아요 좋은 정보 잘 보고 갑니다
    • 항상 조심하는것이 제일 좋은 방법이라고 생각이 됩니다.
  2. 알고보면 안전지대가 없는거 같습니다.
  3. 알수없는출처의 apk를 설치하는건 정말 주의해야할것 같아요
    • 네~유료 어플을 공짜로 사용을 할려고 불법 APK를 사용을 하다가는 랜섬웨어에 감염이 쉬워집니다.

Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법

Posted by Sakai
2017.10.26 00:00 소프트웨어 팁/보안

오늘은 지금 동유럽을 강타한 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 토끼라고 하면 사람들하고 귀엽고 사랑스러운 동물이기도 하지만 오스트레일리아 즉 호주에서는 인간에 의해서 자연이 파괴한 동물이기도 하고 세계경제공황과 1차 세계대전, 2차 세계대전 때에는 MRE로 활용이 되기 했고 경제 공황 속에서도 훌륭한 단백질 공급원이기도 합니다. 일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 현재 러시아, 우크라이나, 불가리아, 터키 등을 휩쓸고 있습니다. 현재 확인된 상황은 우크라이나의 오데사 공항, 우크라이나의 키예프 지하철 시스템, 우크라이나 인프라 자원부, 인터 팩스(Interfax)및폰탄카(Fontanka) 그리고 러시아 통신사도 표적이 되고 있습니다.

일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 가짜 어도비 플래시 플레이어(Adobe Flash Player)을 통해서 전파가 되고 있었지만, 현재는 드라이브 바이 공격으로 이용되고 있습니다. 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 Mimikatz를 사용하여 로컬 컴퓨터의 메모리에서 자격 증명을 추출하고 그다음에 하드 코드 된 자격 증명 목록과 함께 SMB를 통해 같은 네트워크의 서버 및 워크 스테이션에 접근을 시도합니다. 그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 Petya 및 NotPetya와 비슷하게 동작을 하는 것이 특징입니다. 먼저 컴퓨터 파일을 암호화하고 나서 MBR (Master Boot Record)를 건드립니다.

그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염이 성공을 하면 컴퓨터를 재부팅을 합니다. 그리고 나서 MBR에 걸린 랜섬웨어에 대해 랜섬노트를 제시를 하고 몸값을 제시합니다. 그리고 몸값으로 Tor 브라우저를 이용해서 Tor 네트워크의 사이트에 접속해서 0.05 Bitcoin (약 280달러)을 요구합니다. 그리고 2017년 초에 미국을 강타한 HDDCryptor Ransomware처럼 오픈소스디스크암호화도구인 DiskCryptor를 사용을 하고 있습니다.

NIKON CORPORATION | NIKON D7000

그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 미국 드라마인 Game of Thrones(왕좌의게임)를 매우 좋아하는지 Grayworm와 같이 Game of Thrones에 나오는 캐릭터 이름이 많이 나오는 것이 특징입니다. 일단 기본적으로 웹사이트를 해킹하고 가짜 어도비플래시플레이어를 설치를 하라는 메시지를 사용자가 나오면 install_flash_player.exe이라는 파일을 사용자가 실행하면 감염이 실행됩니다. 해당 나쁜 토끼 랜섬웨어가 실행이 되면 C:\Windows\infpub.dat를 삭제를 합니다. 그리고 나서 C:\Windows\system32 rundll32.exe,C:\Windows\ infpub.dat 명령어를 통해서 실행됩니다.

실행이 되면 Infpub.dat을 생성을 하고 C:\Windows\cscc.dat,C:\Windows\dispci.exe파일을 생성을 합니다. 그리고 DiskCryptor에서 생성된 파일은 Cscc.dat이며 dcrypt.sys 필터 드라이버이름이 바뀐 복사본입니다. 그리고 두 파일은 DDriver의 윈도우 서비스파일을 생성합니다. 그리고 Infpub.dat는 악성코드에 감염된 사용자가 컴퓨터를 로그인할 때 dispci.exe를 예약된 작업을 만듭니다.작업스케줄에 등록이 되는 것은 Game of Thrones 시리즈 중에 나오는 Rhaegal입니다.cscc.dat와  dispci.exe 파일과 함께 하드디스크를 암호화하고 마스터 부트 레코드를 수정하게 되고 피해자가 컴퓨터를 켤 때 비트코인을 통해서 몸값을 받으려고 랜섬메세지를 표시합니다.

랜섬메세지는 다음과 같습니다.

Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#1:
Network Activity:

그리고 암호화하는 대상은 다음과 같습니다.

3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

그리고 파일들은 AES 암호 알고리즘으로 암호화됩니다. 그리고 다음 파일을 암호화하는 데 사용이 된 AES 암호화 키가 내장 RSA-2048 공개키로 암호화됩니다. 그리고 Infpub.dat를 통해서 SMB를 통해서 다른 컴퓨터로 랜섬웨어를 확산시키려고 시도를 합니다.
생성되는 파일과 폴더 목록은 다음과 같습니다.

C:\Windows\infpub.dat
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
C:\Windows\cscc.dat C:\Windows\dispci.exe
레지스트리 부분은 다음과 같습니다.
HKLM\SYSTEM\CurrentControlSet\services\cscc
HKLM\SYSTEM\CurrentControlSet\services\cscc\Type 1
HKLM\SYSTEM\CurrentControlSet\services\cscc\Start 0
HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl 3
HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath cscc.dat
HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName Windows Client Side Caching DDriver
HKLM\SYSTEM\CurrentControlSet\services\cscc\Group Filter
HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService FltMgr
HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64

SMB를 통해서 다음과 같은 네트워크 활동을 합니다.
Local & Remote SMB Traffic on ports 137,139,445
caforssztxqzf2nm.onion

그리고 내장이 된 RSA-2048키는 다음과 같습니다.

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

그리고 바이러스토탈 결과는 다음과 같습니다.일단 해당 부분은 참고이므로 검사 당시에서는 업데이트가 되지 않았어 탐지가 되지 않았지만, 지금은 업데이트가 되는 제품들이 있는 것을 미리 알려 드립니다.

바이러스토탈 결과

일단 기본적으로 이런 랜섬웨어 같은 악성코드에 감염되지 않는 방법은 윈도우 업데이트 최신 업데이트로 유지를 하면 토렌트 같이 출처가 불확실한 곳에 있는 파일은 실행하지 않으면 기본적으로 어도비 플래시 플레이어 같은 경우 기본적으로 윈도우 8,윈도우 10 같은 경우에는 윈도우 업데이트를 통해서 업데이트를 할 수가 있으면 그리고 다른 브라우저를 사용하는 같은 경우에는 어도비 공식홈페이지에서 다운로드해서 사용을 하면 됩니다. 그리고 기본적으로 설치돼 있으면 특별한 설정 없으면 인터넷에 연결돼 있으면 알아서 업데이트를 할 것입니다. 그리고 백신프로그램은 항상 설치를 하고 최신 상태로 유지하면 실시간 감시를 하며 보조 백신프로그램 또는 랜섬웨어차단프로그램을 통해서 이런 랜섬웨어에 대비를 할 수가 있으면 프로그램은 항상 최신 업데이트를 유지를 하는 것이 이런 랜섬웨어 같은 악성코드에 감염되는 확률을 줄일 수가 있습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 이 참에 중요한 자료는 일단 백업해둬야 겠습니다.
    • 백업프로그램으로 미리 백업을 해두는것도 좋은 방법이라고 생각이 됩니다.
  2. 잘 보고 갑니다.
    조심해야겠군요
  3. Bad Rabbit Ransomware 나쁜 토끼 랜섬웨어의 감염 증상 및 예방 방법 잘 보고 갑니다^^
    행복한 목요일 하루 되시길 바래요-
  4. 면서 종류도 참 다양하네요 좋은 팁 잘 보고 갑니다
    • 랜섬웨어 기본은 같습니다.파일을 암호화 하고 나서 비트코인을 요구하는것이죠.
  5. 나쁜토끼가 새로 나왔나보네요..
    보안에 더 신경써야겠습니다..
    • 기본적으로 보안 업데이트와 보안 수칙을 잘 지키면 랜섬웨어에 감염이 될 확률은 줄어듭니다.
  6. 좋은정보 잘보고갑니다.
  7. 저도 이미 걸려 본 적이 있어서 그런지 요줌에는 더 많이... 조심하게 되더라구요.ㅠㅠ
    • 기본적으로 윈도우 업데이트와 자신이 사용을 하는 프로그램들은 최신 업데이트로 유지를 하면 악성코드에 감염이 되는것을 최소화 할수가 있습니다.

한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

Posted by Sakai
2017.10.23 18:31 소프트웨어 팁/보안

오늘은 한국을 목표하는 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상에 대해 알아보는 시간을 알아보겠습니다. 일단 랜섬웨어라는것이 기본적으로 개인적으로 사용자이든 공적으로 중요한 문서들을 개인정보 보호하기 위해서 사용이 되는 AES와RSA같은것을 역으로 이용해서 컴퓨터 취약점을 통하거나 또는 토렌트 같은 곳에서 출처가 의심스러운 파일을 실행했으면 랜섬웨어 같은 악성코드에 감염될 수가 있는 확률이 높아집니다.

메그니베르 랜섬웨어(Magniber ransomware)는 다른 랜섬웨어와 다르게 작동하는 것이 일반적인 랜섬웨어들은 기본적으로 자신이 원하는 대로 컴퓨터를 악성코드를 감염을 시키고 나서 자신이 수행하는 랜섬웨어 원칙에 맞게 비트코인을 입금을 하라고 컴퓨터를 검색해서 문서 또는 비디오파일 또는 사진파일들을 암호화시켜 사용자에게 비트코인을 요구를 하는 것이 특징이지만 이번 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)은 언어 점검, 외부 IP 및 지역들을 점검해서 한국에서 사용하는지 확인을 하는 과정을 거치게 됩니다.

즉 한국인이 해당 컴퓨터를 사용하는지 확인을 하려고 윈도우 언어, IP 주소, 지역들을 점검한다는 점에서 한국인을 노리는 랜섬웨어 입니다. 일단 해당 랜섬웨어는 기본적으로 CVE-2016-0189 취약점을 노린다는 점입니다. 즉 윈도우 업데이트를 하면 해당 랜섬웨어는 피해갈 수가 있습니다.

해당 CVE-2016-0189는 Internet Explorer의 메모리 손상 취약점입니다. 그리고 오랫동안 보이지 않고 있었던 Cerber ransomware(사이버 랜섬웨어)의 귀환을 알리는 랜섬웨어이기도 합니다.

그리고 해당 메그니베르 랜섬웨어는 한국어 이외의 시스템에서 실행되는 경우 ping 명령을 실행하여 지연되는 자체 삭제 작업을 볼 수가 있는 것이 특징입니다. 즉 한국인을 노리고 있다는 것을 볼 수가 있습니다. 먼저 해당 랜섬웨어에 감염이 되면 %TEMP%폴더에서 랜섬웨어 자체를 복사하고 작업 스케줄러를 사용하여 자체적으로 배포를 시작하기 시작을 합니다. 그리고 암호화된 각 파일에는 작은 라틴 문자로 구성되며메그니베르 의 특정 샘플에 대해 일정한 확장자가 추가되며 같은 일반 텍스트 파일은 같은 암호문을 만들고 모든 파일은 정확히 같은 키를 사용하여 암호화됩니다.
랜섬웨어에 암호화된 파일은 각 파일의 시작 부분에 메그니베르 랜섬웨어의 특정 파일에 대해 상수인 16자 길이의 식별자가 추가되는 구조로 되어 있습니다. 그리고 모든 파일이 완료되면 이제 몸값을 받으려고 랜섬 노트를 생성합니다. 내용은 다음과 같습니다.

ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
====================================================================================================
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
====================================================================================================
To receive the private key and decryption program follow the instructions below:
1. Download "Tor Browser" from https://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
http://[희생자 ID].ofotqrmsrdc6c3rz.onion/EP866p5M93wDS513
Note! This page is available via "Tor Browser" only.
====================================================================================================
Also you can use temporary addresses on your personal page without using "Tor Browser":
http://[희생자 ID].bankme.date/EP866p5M93wDS513
http://[희생자 ID].jobsnot.services/EP866p5M93wDS513
http://[희생자 ID].carefit.agency/EP866p5M93wDS513
http://[희생자 ID].hotdisk.world/EP866p5M93wDS513
Note! These are temporary addresses! They will be available for a limited amount of time!

보면 일단 기본적으로 비트코인을 얻어내기 위해서 Tor Browser를 설치를 유도합니다. 즉 다크넷을 이용을 하려면 Tor Browser가 필요하기 때문입니다. 그리고 나서 파일을 암호화하기 위해서 다음의 파일들을 검색하고 암호화를 진행합니다.

.doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, em, vsd, vsdx, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi, vmx, gpg, aes, raw, cgm, nef, psd, ai, svg, djvu, sh, class, jar, java, rb, asp, php, jsp, brd, sch, dch, dip, p, vb, vbs, ps1, js, asm, h, pas, cpp, c, cs, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, db, mdb, accdb, sq, sqlitedb, sqlite3, asc, lay6, lay, mm, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der, 1cd, cd, arw, jpe, eq, adp, odm, dbc, frx, db2, dbs, pds, pdt, dt, cf, cfu, mx, epf, kdbx, erf, vrp, grs, geo, st, pff, mft, efd, rib, ma, lwo, lws, m3d, mb, obj, x, x3d, c4d, fbx, dgn, 4db, 4d, 4mp, abs, adn, a3d, aft, ahd, alf, ask, awdb, azz, bdb, bib, bnd, bok, btr, cdb, ckp, clkw, cma, crd, dad, daf, db3, dbk, dbt, dbv, dbx, dcb, dct, dcx, dd, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dx, eco, ecx, emd, fcd, fic, fid, fi, fm5, fo, fp3, fp4, fp5, fp7, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdn, mdt, mrg, mud, mwb, s3m, ndf, ns2, ns3, ns4, nsf, nv2, nyf, oce, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm, phm, pnz, pth, pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, str, tcx, tdt, te, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, abw, act, aim, ans, apt, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bna, boc, btd, cnm, crw, cyi, dca, dgs, diz, dne, docz, dsv, dvi, dx, eio, eit, emlx, epp, err, etf, etx, euc, faq, fb2, fb, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, gtp, frt, fwdn, fxc, gdoc, gio, gpn, gsd, gthr, gv, hbk, hht, hs, htc, hz, idx, ii, ipf, jis, joe, jp1, jrtf, kes, klg, knt, kon, kwd, lbt, lis, lit, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwp, lyt, lyx, man, map, mbox, me, mel, min, mnt, mwp, nfo, njx, now, nzb, ocr, odo, of, oft, ort, p7s, pfs, pjt, prt, psw, pu, pvj, pvm, pwi, pwr, qd, rad, rft, ris, rng, rpt, rst, rt, rtd, rtx, run, rzk, rzn, saf, sam, scc, scm, sct, scw, sdm, sdoc, sdw, sgm, sig, sla, sls, smf, sms, ssa, sty, sub, sxg, tab, tdf, tex, text, thp, tlb, tm, tmv, tmx, tpc, tvj, u3d, u3i, unx, uof, upd, utf8, utxt, vct, vnt, vw, wbk, wcf, wgz, wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wp, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xd, xlf, xps, xwp, xy3, xyp, xyw, ybk, ym, zabw, zw, abm, afx, agif, agp, aic, albm, apd, apm, apng, aps, apx, art, asw, bay, bm2, bmx, brk, brn, brt, bss, bti, c4, ca, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, dds, dgt, dib, djv, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dv, ecw, eip, exr, fa, fax, fpos, fpx, g3, gcdp, gfb, gfie, ggr, gih, gim, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn, icon, icpr, iiq, info, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbmp, jbr, jfif, jia, jng, jp2, jpg2, jps, jpx, jtf, jw, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo, mrxs, my, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, asy, cdmm, cdmt, cdmz, cdt, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, dhs, dpp, drw, dxb, dxf, egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, gem, glox, hpg, hpg, hp, idea, igt, igx, imd, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx, mmat, mat, ovp, ovr, pcs, pfv, plt, vrm, pobj, psid, rd, scv, sk1, sk2, ssk, stn, svf, svgz, tlc, tne, ufr, vbr, vec, vm, vsdm, vstm, stm, vstx, wpg, vsm, xar, ya, orf, ota, oti, ozb, ozj, ozt, pa, pano, pap, pbm, pc1, pc2, pc3, pcd, pdd, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpg, pm, pmg, pni, pnm, pntg, pop, pp4, pp5, ppm, prw, psdx, pse, psp, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d, qmg, ras, rcu, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rw, s2mv, sci, sep, sfc, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, wallet, jpeg, jpg, vmdk, arc, paq, bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, backup, iso, vcd, bmp, png, gif, tif, tiff, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3

그리고 랜섬웨어는 다음과 같이 새로운 폴더를 생성합니다.

%Temp%\(확장자).exe
%Temp%\(희생자 ID).[확장자]
READ_ME_FOR_DECRYPT_[희생자 ID]_.txt
그리고 암호화 대상을 검색하기 위해서 다음과 같은 폴더를 검색합니다.
\$recycle.bin\
\$windows.~bt\
\boot\
\documents and settings\all users\
\documents and settings\default user\
\documents and settings\localservice\
\documents and settings\networkservice\
\program files\
\program files (x86)\
\programdata\
\recovery\
\recycler\
\users\all users\
\windows\
\windows.old\
\appdata\local\
\appdata\locallow\
\appdata\roaming\adobe\flash player\
\appData\roaming\apple computer\safari\
\appdata\roaming\ati\
\appdata\roaming\intel\
\appdata\roaming\intel corporation\
\appdata\roaming\google\
\appdata\roaming\macromedia\flash player\
\appdata\roaming\mozilla\
\appdata\roaming\nvidia\
\appdata\roaming\opera\
\appdata\roaming\opera software\
\appdata\roaming\microsoft\internet explorer\
\appdata\roaming\microsoft\windows\
\application data\microsoft\
\local settings\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

일단 기본적으로 이런 랜섬웨어로 부터 컴퓨터가 악성코드가 감염되는 것을 방지하려면 최소한 윈도우 업데이트는 기본적으로 하고 윈도우 업데이트를 하기 귀찮다고 하면 윈도우 업데이트는 자동 업데이트 부분을 수동으로 변경하지 않으면 윈도우는 인터넷에 연결이 되어져 있으면 기본적으로 보안 업데이트를 진행을 합니다. 그리고 나서 사용을 하는 프로그램은 최신 업데이트로 유지를 하면 그리고 백신프로그램도 함께 실시간 감시, 최신 업데이트로 유지를 하는 것이 중요합니다. 그리고 토렌트 같은 곳에서 파일을 함부로 다운로드 및 실행을 하는 것도 주의하시길 바랍니다. 그리고 지난번에 소개해 드린 우크라이나를 노린 랜섬웨어 처럼 아마도 특정 지역, 특정 국가 및 언어를 사용하는 랜섬웨어는 증가할 것으로 생각합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로

Locky Ransomware(.Asasin),록키 랜섬웨어((.Asasin))감염 증상 및 예방 방법

Posted by Sakai
2017.10.16 00:00 소프트웨어 팁/보안

오늘은 Locky Ransomware(.Asasin)록키 랜섬웨어((.Asasin))감염 증상 및 예방 방법에 대해 알아보는시간을 가져보겠습니다.Locky Ransomware(.Asasin)은 Locky Ransomware의 변종입니다.일단 기본적으로 해당 랜섬웨어는 .vbs 파일로 악성코드로 제작된 첨부파일을 통해서 이메일을 통해서 악성코드가 퍼져 나갔습니다.

일단 해당 Locky Ransomware(.Asasin)록키 랜섬웨어((.Asasin))은 감염이 되면 사용자의 피해자 컴퓨터에 감염되면 내려받아서 실행되어 감염이 진행됩니다. 일단 감염에 성공되면. Asasin 확장자로 변경합니다.

기본적으로 RSA-2048 및 AES-128 암호화 알고리즘으로 사용해서 알고리즘을 데이터를 암호화합니다. 암호화 과정에서 확장자 명은. asasin확장자 또는.aesir,.ykcol,.diablo6등으로 기타 확장자로 암호화가 진행됩니다. 이름은 36자 및 숫자 조합을 사용하여 암호화된 파일의 이름을 변경이 되며 파일이 암호화되면 Asasin은 세 가지 파일을 추가를 시도합니다. 추가로 생성되는 파일은 다음과 같습니다.
asasin.bmp(컴퓨터 배경 화면으로 설정), asasin-5eac.htm, asasin.html입니다.
해당 생성된 파일은 랜섬웨어에 감염이 된 피해자 컴퓨터에 비트코인(Bitcoin)을 요구하기 위해서 Asasin 악성코드 제작자가 제작한 웹사이트로 권장하는 메시지인 랜섬노트를 생성합니다.

!!! 중요 정보 !!!!
모든 파일은 RSA-2048 및 AES-128 암호로 암호화됩니다. RSA 및 AES에 대한 자세한 내용은 다음을 참조하십시오.
hxxp://en.wikipedia.org/wiki/RSAicryptosysteml
hxxp://en.wikipedia.org/wiki/Advanced_Encryption_Standard
파일의 암호 해독은 비밀 서버에 있는 개인 키 및 암호 해독 프로그램을 통해서만 가능합니다. 비공개 키를 받으려면 다음 링크 중 하나를 따르십시오.
이 주소를 모두 사용할 수 없는 경우 다음 단계를 수행하십시오.
1. Tor 브라우저를 내려받아 설치하십시오.
hxxps://www.torproject.org/download/download-easy.html
2. 설치가 성공적으로 완료되면 브라우저를 실행하고 기다립니다. 초기화를 위해
3. 검색 주소창에 다음을 입력하십시오:g46mbrrzpfszonuk.onion/xxxxxxxxxxx
!!! 귀하의 신분증 ID: xxxxxxxxxxxxxxxxx
(!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers. More information about the RSA and AES can be found here: hxxp://en.wikipedia.org/wiki/RSAicryptosysteml hxxp://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server. To receive your private key follow one of the links:
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser:hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar:g46mbrrzpfszonuk.onion/XXXXXXXXXXXX
4. Follow the instructions on the site.
!!! Your personal identification ID: xxxxxxxxxxxxxxxxx!!!)

그리고 나서 Tor 브라우저를 다운로드를 해야 한다고 합니다. 즉 우리가 사용하는 일반적인 브라우저로는 접속되지 않으면 인터넷에서 익명성을 위해서 사용을 하는 Tor 브라우저를 이용해서 해당 웹사이트에 접속할 수 있습니다. 해당 토르 브라우저를 사용해서 랜섬웨어 감염자가 원하는 사이트로 이동합니다. 이동을 하면 다음과 같은 화면을 볼 수가 있습니다.

Locky Decryptor™
We present a special software - Locky Decryptor™
which allows to decrypt and return control to all your encrypted files.
How to buy Locky Decryptor™?
You can make a payment with BitCoins, there are many methods to get them.
You should register BitCoin wallet:
Simplest online wallet or Some other methods of creating wallet
Purchasing Bitcoins, although it's not yet easy to buy bitcoins, it's getting simpler every day.
Send 0.3 BTC to Bitcoin address: xxxxxxxxxxxxxxxxxxxxxx
Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient...
Refresh the page and download decryptor.
When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.
간단하게 번역을 해보면 다음과 같습니다.
Locky Decryptor ™
우리의 특별한 소프트웨어-Locky Decryptor ™
모든 암호화 된 파일을 해독하고 제어권을 반환할 수 있습니다.
Locky Decryptor ™ 구매 방법
BitCoins를 사용하여 지급할 수 있습니다. BitCoins을 구입할 수 있는 방법이 많이 있습니다.
BitCoin 지갑을 등록해야 합니다.
가장 간단한 온라인 지갑 또는 지갑을 만드는 다른 방법
Bitcoins를 사면 아직 비트 코인를 사기가 쉽지는 않지만, 매일매일 더 단순해지고 있습니다.
Bitcoin 주소로 0.3 BTC를 보냅니다.XXXXXXXXXXXXXXXXXXXXXXXXXXX
참고 : 거래 확인을 위해 최대 30분 이상 결제 보류 중입니다. 기다려주세요.
페이지를 새로 고침하고 암호 복원화 도구를 다운로드하십시오.

Bitcoin 트랜잭션이 하나의 확인을 받으면  복원화 도구를 다운로드하기위한 페이지로 리디렉션됩니다.
라는 메시지를 볼 수가 있습니다. 여기서 비트코인 0.3 BTC은 대략 1,440달러입니다. 일단 랜섬웨어 복원화 도구를 보내고 있다고 하지만 실제로는 BitCoins를 정상적으로 보냈다고 해도 악의적인 목적을 가진 사람은 복원화키를 보내지 않을 가능성이 거의 99%입니다. 설상 파일을 받았다고 해도 자신의 컴퓨터에 감염된 복원화가 정상적으로 복구된다는 보장이 없습니다.

일단 기본적으로 해당 랜섬웨어를 백신프로그램으로 제거하고 나서 파일을 복구를 진행해야 합니다. 기본적으로 윈도우를 사용을 하고 계시면 기본적으로 사용자가 마음대로 설정을 변경하지 않으면 기본적으로 시스템 복원기능이 설정이 적용되어서 작동되고 있습니다. 물론 대부분의 사용자 부분들은 아마도 컴퓨터 최적화라는 것을 보고 해당 시스템 복원기능을 꺼두고 사용을 하시는 분들도 있습니다. 이런 분들은 일단 복구 시도를 할 수가 없습니다. 만약 해당 시스템 복원기능을 사용하고 있다고 하면 일단 기본적으로 ShadowExplorer(새도우 익스플로러)를 통해서 해당 복구를 시도할 수가 있습니다. 그러나 해당 악성코드가 해당 시스템 복원지점을 삭제하면 방법이 없습니다. 복구되는 방법은 사법기관에서 해당 랜섬웨어를 제작한 사람을 체포하고 복원키를 만들어 내거나 아니면 보안업체에서 버그를 이용해서 복원하거나 아니면 능력이 좋은 분이 해당 랜섬웨어 복원화 도구를 만들어 내거나 아니면 보안 업체에서 랜섬웨어를 분석을 하다가 자신들이 복원화 도구를 할 수가 있으면 복원화 도구를 만들어서 배포되는 경우입니다.
일단 기본적으로 랜섬웨어 등과 같은 악성코드에 감염되는 것을 최소화하려면 반드시 윈도우 보안 업데이트 와 기타 프로그램을 최신으로 업데이트를 유지하고 백신프로그램을 반드시 설치하고 실시간 감시 최신 업데이트로 유지하는 것이 안전하게 컴퓨터를 사용하는 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 옛날에는 일반적인 바이러스를 조심해야 했지만 랜섬웨어도 점점 빠르게 발전되 지능화 되어 가는거 같습니다.
    • 일단 기본적으로 사회적으로 이슈가 되는 키워드를 악용하는 경우가 많이 있고 토렌트 같은 곳에서 함부로 파일을 다운로드 해서 실행을 하는것을 자제 하면서 기본적인 컴퓨터 보안 수칙을 지키면 예방을 하는데 도움이 될것이라고 생각이 됩니다
  2. 컴퓨터 바이러스는 늘 조심하는 게 중요한 것 같아요
    • 기본적으로 컴퓨터 보안 수칙을 지킨다고 하면 악성코드에 감염이 되는것을 최소화 할수가 있을것입니다.
  3. 무섭네요.ㄷㄷ
    잘보고갑니다.
    행복한 월요일 하루 되시길^^
    • 기본적으로 윈도우 업데이트와 기본적인 보안 수칙을 잘 지키면 악성코드에 감염이 되는것을 최소화 할수가 있습니다.
  4. 랜섬웨어는 계속 계속 나오는군요..
    보안 관련 업데이트만 잘해줘도.. 안걸릴텐데 말이죠..
    • 보안 업데이트 하는것이 업데이트 파일을 다운로드 하고 나서 보안 업데이트를 설치를 하고 나서 적용을 하기 위해서는 다시 컴퓨터를 재부팅을 해야 되니까 이것이 귀찮아서 많은 분들이 하지 않는것 같습니다.
  5. Locky Ransomware 관련 정보 잘보고 갑니다.
    역시 보안프로그램은 항상 수시로 업데이트를 하고 가끔씩 백신 프로그램을 이용해 검사를 돌려줘야 할 것 같습니다^^
    • 기본적은 보안 수칙을 잘 지킨다고 하면 악성코드에 감염이 되는 확률을 줄일수가 있지 않을까 생각이 됩니다.

랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

Posted by Sakai
2017.08.11 00:00 소프트웨어 팁/보안

랜섬웨어라고 하면 기본적으로 AES,RSA같은 개인정보 보호 또는 중요한 메일 같은 내용, 중요한 파일, 중요한 문자 등을 암호화를 통해서 다른 사람들이 자신의 중요한 파일이나 내용을 함부로 열 수 없게 하려고 사용이 되고 있습니다. 즉 좋은 쪽으로 사용하면 이렇게 사용을 할 수가 있겠지만 나쁘게 사용을 한다고 해당 종은 기술을 역으로 나쁘게 이용을 해서 다른 사람의 파일을 강제적으로 잠그고 그리고 해당 내용을 풀려고 하면 돈을 내거나 비트코인을 내라고 합니다.

물론 해당 해커들이 잡히는 경우나 프로그램의 버그 그리고 흔히 이야기하는 재능기부 아니면 보안업체에서 해당 랜섬웨어를 깨뜨리면 암호화된 파일은 복원화가 가능합니다. 다만, 요즈음 해커들은 이런 것도 알고 있기 때문에 개인키를 따로 만들어서 해당 개인키가 없는 경우는 해당 랜섬웨어로 암호화된 파일은 풀 수가 없습니다. 물론 풀려고 하면 사법당국에서 범죄자를 체포하고 그리고 해당 개인키를 획득을 하면 해당 랜섬웨어 복원화도구를 만들어서 배포할 수 있지만 사실상 불가능에 가깝습니다. 즉 기본적으로 랜섬뭬어와 같은 악성코드를 예방하는 방법은 간단합니다.

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

윈도우 보안 업데이트를 하고 그리고 백신프로그램을 설치하거나 보조 백신프로그램 설치 또는 랜섬웨어 감염 예방 프로그램을 설치해서 이에 대비를 하는 방법 그리고 자신이 사용하는 프로그램은 최신 업데이트로 업데이트를 해두어야지 이런 피해로부터 최소화가 가능합니다. 그리고 요즈음 랜섬웨어들은 MBR부분도 암호화하거나 파괴를 하기 때문에 정말 악성코드에 감염되면 머리가 아파집니다. 그래서 지난 시간에 MBR보호 프로그램을 소개를 해주었고 MBR보호 기능이 있는 앱체크라는 프로그램을 소개해 드렸습니다.

일단 오늘 시켜 드리는 랜섬웨어 감염 예방 프로그램인 Ransomoff(랜섬오프)은 기본적으로 무료인데 MBR 보호 기능이 있다고 하는 것이 특징입니다. 일단 특별하게 조작을 할 것이 없고 프로그램을 다운로드 해서 실행을 시켜주면 됩니다. 그리고 기본적인 옵션으로 사용하면 됩니다. 다만, 현재 Ransomoff(랜섬오프)은 RC 버전이라서 조금은 불안정할 수가 있습니다.
그러니까 자신이 한번 설치를 해보고 싶은 분만 설치를 하고 이런 위험 부담을 감수하기 싫은 분들은 정식 버전이 나올 때까지 기다렸다고 설치하는 방법과 아니면 가상 시스템를 통해서 설치를 해보는 것도 좋은 방법입니다. 일단 어느 것을 선택하든 자신이 좋은 방법을 선택하면 될 것입니다.

Ransomoff(랜섬오프)
다만, 앞서 이야기한 것처럼 기본적으로 악성코드에 감염되지 않으려면 자신이 사용하는 최신 프로그램은 항상 최신 업데이트로 유지 관리하면 윈도우 업데이트는 귀찮더라도 시간을 내어서 업데이트를 하고 백신프로그램도 무료로 제공되고 있는 것들도 좋은 것 많으니까 백신프로그램은 반드시 업데이트를 해서 사용을 하시길 바랍니다. 그것이 악성코드를 예방하는 길이면 그리고 제일 중요한 것은 기본적인 보안 수칙인 프로그램을 다운로드 설치를 하려고 하면 반드시 해당 프로그램이 정식으로 서비스하는 사이트에서 다운로드 하고 설치를 하시길 바랍니다. 그리고 토렌트 같은 곳에서 함부로 프로그램이나 동영상을 다운로드 해서 실행을 하는 것도 위험합니다. 그러한 곳에서는 악성코드들도 많이 배포가 되고 있고 물론 백신프로그램에 탐지가 되면 좋겠지만 그렇지 않았으면 악성코드 때문에 개인정보가 노출되는 현상을 피해야 할 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬 웨어도 조금은 잠잠해진 것 같아요
    • 그래도 새로운 랜섬웨어는 해외에서는 많이 제작이 되고 있고 언제 한국에 들어올지 모르니 미리 조심하는것이 좋을것 같습니다.
  2. 다양한 랜섬웨어가 생기는만큼 다양한 방어 프로그램도 많이 생기네요 ㅎㅎ
    • 네~자신에게 맞는 랜섬웨어 예방 프로그램을 사용을 하시면 될것입니다.

CRBR ENCRYPTOR Ransomware(CRBR ENCRYPTOR 랜섬웨어)감염 증상 및 예방 방법

Posted by Sakai
2017.07.04 17:23 소프트웨어 팁/보안

오늘은 CRBR ENCRYPTOR Ransomware(CRBR ENCRYPTOR 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다.일단 여기서 CRBR ENCRYPTOR Ransomware(CRBR ENCRYPTOR 랜섬웨어)는 일단 기존에 있던 Cerber 랜섬웨어입니다.

즉 Cerber 랜섬웨어->CRBR Encryptor 랜섬웨어 라는 공식과 그리고 이름만 살짝 바꾼 것밖에 되지 않습니다. 기본적으로 모든 랜섬웨어들 또는 악성코드의 공통점은 바로 윈도우 보안 업데이트 등과 같이 보안 업데이트가 이루어지지 않은 취약점을 가지는 컴퓨터를 노리게 돼 있고 이런 컴퓨터들이 악의적인 목적이 있는 웹사이트 방문 또는 파일을 다운로드 했을 때는 악성코드에 감염될 확률이 높아서 개인정보 유출 및 금전적인 피해로 이어지는 형태로 구성돼 있습니다.

일단 해당 CRBR ENCRYPTOR Ransomware(CRBR ENCRYPTOR 랜섬웨어)로 이름이 변경된 것은 약 일주일 전쯤인 것 같습니다. (2017년6월26일쯤)입니다.
일단 기본적으로 RSA-512 암호화 및 RC4 암호화 알고리즘을 사용하여 파일을 암호화하여 임의로 생성된 4개의 A~Z 0~9 문자를 암호화된 파일의 파일 확장 명으로 추가하고 암호 해독을 하고 싶은 경우 비트코인을 요구하는 방식을 취하고 있습니다.

물론 암호화가 진행되었기 때문에 사용자가 파일에 접근하는 것은 불가능 상태가 되며 몸값을 받아내기 위해서_R_E_A_D___T_H_I_S___<Random>_.hta 형태로 파일을 만들고 13국에 있는 사람들을 표적을 하고 있는지 해당 국가(영어, 아랍어, 중국어, 네덜란드어, 프랑스 어, 독일어, 이탈리아 어, 일본어, 한국어, 폴란드어, 포르투갈어, 스페인 어, 터키어)를 번역이 돼 있는 것을 볼 수가 있으면 그리고 감염이 되면 아름다운 아가씨가 나오는 음성을 뜯을 수가 있습니다. 내용은 당신의 파일들은 암호화되었습니다. 그리고 주로 스팸 메일, 이 메일 첨부 파일, 파일 공유 네트워크, Torrent Trackers의 Malicious Executable 등입니다. 그리고 감염이 되고 나서
처음에 할 일은 Windows의 내부 프로세스를 수정합니다.

wscript.exe
WScript.exe
Mui
Sortdefault.nls
Wshom.ocx
Stdole2.tlb
KERNELBASE.dll.mui
Msxml3.dll

그리고 나서 정상으로 동작하는 데 필요한 레지스터리에 등록을 합니다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_CURRENT_USER\Software\Classes
HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft\Cryptography

그리고 Windows 작업 관리자에 새 프로세스를 삽입하고 svchost.exe 파일을 숨기고 악의적으로 조작된 svchost.exe 파일 프로세스 항목으로 보여 줍니다. 그리고 RSC-512 암호화를 원본 파일의 데이터 암호화 후 암호화된 데이터 블록으로 바뀌는 부분 또한 RC4 암호화 모드와 함께 사용하기 때문에 사용자로서 파일에 열수가 없는 상태가 될 것입니다.

그리고 공개키와 비공개키인 RSA 형태로 생성하고 암호를 해독하려면 개인 키와 비공개키가 필요해서 사실상 암호화된 파일을 복원화 하는 것은 방법은 없습니다. 즉 공개키는 테일러 제작 스크립트를 활용해서 인수 분해를 할 수가 있지만 변경하기는 사실상 해독이 불가이며 RSA 키는 각각 파일마다 또 다르게 적용이 되기 때문에 파일을 복원 화는 데 오랜 시간이 걸립니다. 그리고
CRBR ENCRYPTOR 는 중요한 Windows 폴더를 건드리지 않는 동시 운영체제에 손상을 할 수가 있습니다.
123 ,.1cd ,.3dm ,.3ds ,.3fr ,3g2 ,.3gp ,.3pr ,.602 ,"7z  .acc, .accd, .accdr, acc, .acz,acr, act, .adp, adp, .ads, .aes, .agdl, ai, .aiff, ait .api ,.apk ,.arc,hwp 등입니다.즉 hwp도 포함돼 있어서 한국 사용자 분들도 포함될 수가 있다는 것입니다.
CRBR ENCRYPTOR로 암호화가 완료되면 몸값 기록을 삭제하고 감염된 컴퓨터의 배경 화면을 변경하면 바탕화면에서는 몸값 지급을 위해 잘 알려진 Cerber Decryptor 웹 페이지를 방문하여 몸값 지불 방법에 대한 상세한 정보를 제공을 해주면 사용자가 만약 복구할 마음이 있다고 하면 0.5BTC(BitCoins)를 요구합니다.

그리고 삭제를 한다고 수동으로 삭제하는 것보다 백신프로그램들로 삭제하는 것이 안전하게 삭제를 하는 방법이고 그리고 자신이 사용하는 운영체제, 그리고 웹브라우저는 반드시 최신 상태 유지 백신프로그램은 반드시 설치해서 사용하시는 것이 안전하게 사용을 하는 방법입니다. 물론 랜섬웨어 보호 도구들을 따로 설치해서 운영하는 것도 좋은 방법이라고 생각이 됩니다.

만약 이지만 시스템 복원지점을 생성을 해놓은 상태에서 해당 시스템 복원 지점이 삭제가 되지 않았다고 하면 ShadowExplorer(새도우 익스플러워)로 한번 랜섬웨어 복구를 시도는 할수가 있을것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 랜섬웨어가 계속 진화하네요.. 예방을 철저하게 해야겠습니다..
    • 예방과 백업을 하면 피해는 줄일수가 있을거라 생각이 됩니다.

세계 빈곤 퇴치기구(GPAA)를 가장한 랜섬웨어-GPAA Ransomware(GPAA 랜섬웨어)감염 및 증상

Posted by Sakai
2017.06.19 00:01 소프트웨어 팁/보안

오늘은 세계 빈곤 퇴치기구(GPAA)를 가장한 랜섬웨어인 GPAA ransomware(GPAA 랜섬웨어)감염 및 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 랜섬웨어인 GPAA Ransomware(GPAA 랜섬웨어)은 GPAA 바이러스는 파일 암호화를 하는 랜섬웨어로 주로 180여 가지 파일 유형을 대상으로 하고 있으면 한국을 공격을 대상을 했는지 아닌지 모르겠지만, 한국에서 자주 사용하는 한글과 컴퓨터에서 제공하는 확장자인 HWP 확장자도 포함된 랜섬웨어 입니다. 일단 해당 랜섬웨어에 감염이 되면 파일이 암호화가 진행되면 .cerber6 확장명을 변경하고 암호화는 RSA-4096 암호화 개인 키을 사용을 하기 때문에 변경하기 없이는 암호화된 파일을 열수가 없는 것이 특징입니다. 물론 모든 랜섬웨어가 비슷한 방법을 취하고 있습니다. 해당 랜섬웨어에 감염이 되며 세계 빈곤 퇴치기구 (GPAA)의 구성원인 척을 하면 감염된 컴퓨터 사용자가 해당 자선 단체의 회원이 된 것을 축하합니다. 한다는 메시지를 볼 수가 있으면 물론 이것은 거짓말입니다.
해커는 암호화된 파일을 복구하기 위해 대략 비트코인으로 11 BTC를 요구를 하면 해당 몸값을 해독하는 데 필요한 cryptocurrency를 사는 방법과 비트코인 계정으로 보내는 방법에 대해서 친절하게 알려주고 있습니다.
대략 다음과 같은 메시지를 볼 수가 있습니다.
Congradulations! Now you are a member of GPAA(Global Poverty Aid Agency).
We need bitcoins,our crowdfunding goal is to get 1000 BTCs. 1 BTC for 1 CHILD!
>> Click Here To Buy Bitcoins <<
Q: What happened?
A: Ooops, your important files are encrypted.It means you will not be able to access them anymore until they are decrypted.
These files could NOT be decrypted if you do not have the KEY(RSA4096).
Q: How can I get the decrypt programme?
A: Your task is 1.83 btc.
Send the correct amount to the bitcoin address
19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W
You can send more coins.When the goal is achieved,you will get the decrypt programme.
Use your phone to pay it
Q: Where to get the decrypt programme?
A: When the goal is achieved,we will send it to sc19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W@outlook.com
(You may register it first with the specified password: Save1000Children!!! ).
Q: What should I do?
A: Time waits for no man.
Associated Bitcoin Addresses:
19ZLfCEpxdskvWGLLhNUnM6dUGXXXXXXXXXX

대충 번역을 하자면
축하합니다. 이제부터 당신은 GPAA (Global Poverty Aid Agency)의 회원입니다.
우리는 비트 코인이 필요합니다. 크라우드 펀딩 목표는 1,000개의 BTC를 얻는 것입니다. 어린이 한명당 1BTC!
Bitcoins를 사려면 여기를 클릭하십시오.
Q : 무슨 일이 있었습니까?
A : Ooops, 중요한 파일은 암호화되어 있습니다. 암호를 해독할 때까지는 파일을 열수가 없습니다.
KEY(RSA4096)키가없는 경우 이 파일을 해독할 수 없습니다.
Q : 어떻게 복원화 프로그램을 얻을 수 있습니까?
A : 당신의 과제는 10.91 btc입니다.
비트 코인 주소로 올바른 금액을 보내십시오. 19ZLfXXXXXXXXXXXXXXXXXXXXX
더 많은 동전을 보낼 수 있습니다. 목표가 달성되면 해독 프로그램을 받게 됩니다.
Q: 복 원화 프로그램을 어디서 구할 수 있습니까?
A : 목표가 달성되면 sc19ZXXXXXXXXXXXXXXXXXW@outlook.com으로 답변을 보내 드립니다.
(먼저 지정된 비밀번호로 등록할 수 있습니다 : Save1000Children !!!)
한마디로 빈곤퇴치를 가장하고 있지만 실제로는 랜섬웨어 입니다.
그리고 컴퓨터에서 다음과 같은 파일들이 존재하면 해당 파일들을 암호화합니다.
.123, .3dm, .3dmap, .3ds, .3dxml, .3g2, .3gp, .602, .7z, .accdb, .act, .aes, .ai, .arc, .asc, .asf, .asm, .asp, .assets, .avi, .backup, .bak, .bat, .bdf, .blendl, .bmp, .brd, .bz2, .c, .c4dl, .catalog, .catanalysis, .catdrawing, .catfct, .catmaterial, .catpart, .catprocess, .catproduct, .catresource, .catshape, .catswl, .catsystem, .cdd, .cgm, .class, .cmd, .config, .cpp, .crt, .cs, .csr, .csv, .dae, .db, .dbf, .dch, .deb, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .edb, .eml, .fbx, .fla, .flv, .frm, .gif, .gl, .gl2, .gpg, .gz, .h, .hpgl, .hwp, .ibd, .icem, .idf, .ig2, .igs, .ipt, .iso, .jar, .jasl, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .library, .m3u, .m4u, .mal, .max, .maxl, .mb, .mdb, .mdf, .mid, .mkv, .mml, .model, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .obj, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .session, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .step, .sti, .stp, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tdg, .tgz, .tif, .tiff, .txt, .unity3d, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wrl, .xl, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip, .xmind

여기서 보면 hwp 파일이 포함된 것도 확인할 수가 있습니다. 아마도 한국 사람들이 많이 사용을 하는 hwp 파일도 노리고 있다는 것을 확인할 수가 있습니다.
조금은 특이한 것은 먼저 컴퓨터를 공격하고 비트코인 계좌 번호에 연결된 로그인 주소로 변경되므로 비트코인 주소가 19ZLXXXXXXXXX 이었으면 해당 랜섬웨어에 당한 피해자는 sc19ZLXXXXXXXXXX@outlook.com을 통해 계정에 연결해야 합니다. 그리고 처음에 보이는 sc문자는 Save Children(세이브 치들런)을 의미한다고 합니다. 일명 어린이를 위한다고는 하지만 실제로는 의미가 다르다는 것을 아실 것입니다. 그리고 공격하는 방식은 RDP(원격 데스크톱 프로토콜)을 이용을 한다는 것이 특징입니다. 특히 RDP (원격 데스크톱 프로토콜)이라는 것은 MS에서 윈도우 버전에 탑재된 것으로 기본적으로 TCP 3389를 사용하면 다른 컴퓨터에 그래픽 사용자 인터페이스를 제공하는 프로토콜입니다. 즉 일을 하려고 출장을 가거나 집에 있는 PC에 있는 컴퓨터에서 자료를 가져오려고 할 때 사용을 할 수가 있는 기능입니다. 만약 사용을 하지 않으면 미리 꺼두는 것도 좋은 방법입니다.
sysdm.cpl를 입력을 하면 시스템 속성이 나올 것인데 여기서 그냥 원도우를 설치해서 사용하고 있다고 하면 해당 부분은 켜져 있을 것입니다. 해당 부분을 사용을 하지 않는다면 원격지원 부분을 꺼두는 것도 좋은 방법이라고 생각이 됩니다. 물론 사용을 해야 한다면 강력하게 구성을 하는 것이 중요할 것입니다. 참고로 복구도구는 아직은 만들어지지 않고 있으며 특이한 점은 QR코드를 적극적으로 활용을 한다는 점도 눈에 띄는 부분이기도 합니다. 참고로 오타, 철자 오류등이 많은 랜섬웨어이기도 합니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. GPAA Ransomware(GPAA 랜섬웨어) 정보 잘 읽고 갑니다^^
  2. 국제적으로 이러한 범죄는 반드시 엄하게 처벌해야 합니다.
    • 랜섬웨어 제작자를 검거가 쉽지 않아서가 아닐까 생각이 됩니다.
  3. 좋은 정보 잘 읽고 갑니다.
  4. 참 별것다 이용해서 랜섬웨어 제작을 하네요..
    될수있으면 검증안된 URL 경로는 들어가지도 않아야될것 같아요
    • 예전 부터 비슷한걸 있었던걸로 알고 있습니다.검증이된 주소도 관리를 안하는곳이라면 문제가 생기수가 있을거라 생각이 됩니다.
  5. 와.. 사칭 랜섬웨어라니 사이트를 접속해도 긴장의 끈을 놓으면 안될것 같네요
    • 보통 랜섬웨어 같은 악성코드들은 기본적으로 보안 취약점을 이용을 하니 보안 업데이트는 필수로 하면 조금은 예방 하는데 도움을 받을수가 있을것입니다.

트럼프 대통령이 등장하는 랜섬웨어-TrumpLocker

Posted by Sakai
2017.02.26 16:18 소프트웨어 팁/보안

일단 트럼프 대통령에 대해 간단하게 알아보겠습니다. 일단 미국 45대 대통령이기도 하면서 MAKE AMERICA GREAT AGAIN 미국을 다시 위대하게 슬로건을 내걸었던 분이기도 합니다.
2014년에 ALS 아이스 버킷 챌린지 때에는 미스유니버스와 미스 USA가 트럼프에 물은 적이 있으며 모델 에이전시도 가진 분이고 하고 한때에는 WWE 에서도 활약을 했던 분이기도 하고 버락 오바마의 건강보험개혁법(오바마케어)의 개정령을 발동한 분이기도 하고 TPP(환태평양 경제동반자 협정)탈퇴, 미국-멕시코 국경 장벽 설치 등이 있을 것입니다. 그럼 본론으로 돌아가 TrumpLocker에 대해 알아보는 시간을 가져보겠습니다. 일단 기본적으로 해당 랜섬웨어는 보면 VenusLocker하고 비슷하게 만들어진 것을 볼 수가 있습니다.

즉 추측을 하는 방법으로는 해당 VenusLocker를 만든 쪽에서 만들어졌는지 아니며 다른 누군가가 금전적인 이익을 얻으려고 만든 것이지 알 수가 없습니다. 일단 해당 TrumpLocker에 감염이 되며 TrumpLocker.exe이라는 파일이 생성되면서 시작이 됩니다. 그리고 C&C 서버에 접속하기 위해서 접속을 시작합니다.
https://3q27hfpradjovwyo.onion.cab/ran/gen.php?u=[computer-name]\[login-name]
그리고 공개키로 사용자의 컴퓨터를 검색을 통해서 파일들을 암호화를 진행하게 되고 몸값은 미국 달러와 Bitcoin으로 암호화를 진행됩니다. 대략 몸값은 165달러인 Bitcoin 0.145로 돈을 요구합니다.

그리고 해당 TrumpLocker는 다른 랜섬웨어와 다르게 암호화하는 파일 등이 정해져 있습니다. 그러나 여기서 또 다른 점은 TrumpLocker 특정 파일 형식을 완전히 암호화하는 반면에 다른 형식 파일 처음 부분은 1024바이트로만 암호화가 진행됩니다. 그리고 암호화가 진행되고 나면 끝이. TheTrumpLockerf이라는 확장자를 추가를 해버리는 것이 특징입니다.

.txt,.ini,.php,.html,.css,.py,.c,.cpp,.cc, .h, .cs, .log, .pl,.java,.doc,.dot, .docx, .docm, .dotx, .dotm, .rtf, .wpd, .docb, .wps, .msg, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx,.xltm, xlsb,.xla,.xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .class, .jar, .csv, .xml, .dwg, .dxf, .asp

그리고 마찬가지로 사용자 컴퓨터에서 아래와 같은 파일 형식을 검색하고 나서 암호화를 진행합니다. 그리고 나서 마찬가지로. TheTrumpLockerp확장을 추가를 진행하게 됩니다

.asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .rtf, .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .rpt, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf, .cag, .cam, .dng, .ink, .ini, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic, .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar, .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd, .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc, .xlr, .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs, .csi, .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .eql, .ex, .f90, .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc, .pli, .pm, .res, .rsrc, .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab, .aip, .amxx, .ape, .api, .mxp, .oxt, .qpx, .qtr, .xla, .xlam, .xll, .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2, .bp3, .bpl, .clr, .dbx, .jc, .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl, .xlm, .yps, .1cd, .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps, .xlk, .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif, .exif, .docb, .xlt, .xltm, .xlw, .ppam, .sldx, .sldm, .class, .db, .pdb, .dat, .csv, .xml, .spv, .grle, .sv5, .game, .slot, .aaf, .aep, .aepx, .plb, .prel, .prproj, .eat, .ppj, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .svg, .as3, .as

그리고 TrumpLocker가 암호화를 진행할 때 먼저 파일 확장자 전체 암호화 목록에 있는지 먼저 확인을 진행하고 그리고 나서 동일한 확장자가 부분 목록에 있는지 없는지 관계없이 파일을 암호화를 진행을 됩니다. 그리고 원래 파일이름은 Base64로 인코딩을 한 다음 끝에 암호화된 확장자를 추가합니다. 그리고 암호화가 진행이 완료되면 사용자 컴퓨터 바탕화면에 친절하게 What happen to my files.txt라는 파일을 보여 줍니다.
그리고 What happen to my files.txt 파일에서는 다음과 같은 내용이 들어 있는 것을 확인할 수가 있습니다.

--- The Trump Locker ---
Unfortunately, you are hacked.
1. What happened to my files?
Your personal files, including your photos, documents, videos and other important files on this computer, have been encrypted with RSA-4096, the strongest encryption algorithm. RSA algorithm generates a public key and a private key for your computer. The public key was used to encrypt your files a moment ago. The private key is necessary for you to decrypt and recover your files. Now, your private key is stored on our secret Internet server. And there is no doubt that no one can recover your files without your private key.
For further information about RSA algorithm, please refer to https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. How to decrypt my files?
To decrypt and recover your files, you have to pay #ramt# US Dollars for the private key and decryption service. Please note that you have ONLY 72 HOURS to complete your payment. If your payment do not be completed within time limit, your private key will be deleted automatically by our server. All your files will be permanently encrypted and nobody can recover them. Therefore, it is advised that you'd better not waste your time, because there is no other way to recover your files except making a payment.
3. How to pay for my private key?
There are three steps to make a payment and recover your files:
1). For the security of transactions, all the payments must be completed via Bitcoin network. Thus, you need to exchange #ramt# US dollars (or equivalent local currencies) to Bitcoins, and then send these Bitcoins (about #btc# BTC) to the following address. 1N82pq3XovKoJYqUmTrRiXftpNHZyu4jyv
2). Send your personal ID to our official email: TheTrumpLocker@mail2tor.com
Your personal ID is: #id#
3). You will receive a decryptor and your private key to recover all your files within one working day.
4. What is Bitcoin?
Bitcoin is an innovative payment network and a new kind of money. It is based on an open-source cryptographic protocol that is independent of any central authority. Bitcoins can be transferred through a computer or a smartphone withour an intermediate financial institution.
5. How to make a payment with Bitcoin?
You can make a payment with Bitcoin based on Bitcoin Wallet or Based on Perfect Money. You can choose the way that is more convenient for you.
About Based on Bitcoin Wallet
1) Create a Bitcoin Wallet. We recommend Blockchain.info (https://blockchain.info/)
2) Buy necessary amount of Bitcoins. Our recommendations are as follows.
LocalBitcoins.com -- the fastest and easiest way to buy and sell Bitcoins.
CoinCafe.com -- the simplest and fastest way to buy, sell and use Bitcoins.
BTCDirect.eu -- the best for Europe.
CEX.IO -- Visa / MasterCard
CoinMama.com -- Visa / MasterCard
HowToBuyBitcoins.info -- discover quickly how to buy and sell Bitcoins in your local currency.
3) As mentioned above, send about #btc# BTC (equivalent to #ramt# USD) to our Bitcoin receiving address.
4) As mentioned above, and then, send us your personal ID via email, you will receive your private key soon.
About Based on Perfect Money
1) Create a Perfect Money account. (https://perfectmoney.is)
2) Visit to PMBitcoin.com. (https://pmbitcoin.com/btc)
input our Bitcoin receiving address in the \"Bitcoin Wallet\" textbox.
input #ramt# in the \"Amount\" textbox, the amount of Bitcoin will be calculated automatically.
click \"PAY\" button, then you can complete you payment with your Perfect Money account and local debit card.
6. If you have any problem, please feel free to contact us via official email.
Best Regards
The Trump Locker Team

그리고 uinf.uinf라는 파일을 하드디스크에 저장하고 나서 RansomNote.exe 프로그램에서 작동됩니다. 그리고 나서 TrumpLocker설치가 된 컴퓨터에서 RansomNote.exe라는 파일을 추출해서 사용자 바탕화면에 표시되는 방식입니다.
그리고 그리고 새도우 볼륨 복사본을 삭제해서 복구하는 것을 방지하기 위해서 미리 로컬 새도우 볼륨 사본을 삭제하는 명령어인
C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete&exit를 수행을 하게 되고 인터넷이 연결돼 있으며 http://i.imgur.cxm/g4Ly4AD.jpg로 접속을 해서 사용자 바탕화면을 강제로 변경해줍니다.
그리고 마지막으로는 RansomNote.exe파일을 실행을 해서 도널드 트럼프 대통령이 흐뭇하게 웃는 대통령 사진에 YOU ARE HACKED!!이라는 메시지를 볼 수가 있게 만들어 줍니다. 아마도 해당 부분에 감염되면 공화당이든 민주당이든 간에 입에 욕 한 번 더 나올 것으로 생각합니다. 그리고 나서 다시 몸값을 요구하는 사이트로 이동합니다.
그리고 해당 랜섬웨어가 제외하는 폴더는 다음과 같습니다.

Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!

일단 보면 일부 보안 업체들과 브라우저들도 포함이 되어져 있는 것을 볼 수가 있습니다. 일단 보면 미국 측 보안 업체들은 보이지 않는 걸로 보아서는 아마도 특정 국가 즉 미국을 노린 것이 아닐까 생각이 됩니다.

일단 보면 Avira, Kaspersky, IObit,AVAST,CCleaner,AVG,IObit,QQMailPlugin,Ten cent 같은 걸로 보아서는 해당 국가들이 독일, 러시아, 중국, 체코 등은 영향을 적게 받게 제작이 되지 않았나 생각이 됩니다. 그리고 NVIDIA, Realtek 같은 것을 제외한 것은 아마도 랜섬웨어가 감염이 되었으면 사용자에게 보여주기 위해서 제외처리가 된 것으로 생각이 됩니다.

바이러스 토탈 결과
치료 방법은 현재 보안 업체들에서 대응하고 있습니다. 일단 먼저 자신이 사용하는 백신프로그램은 반드시 실시간 감시 상태에서 업데이트를 진행을 합니다. 그리고 나서 전체 검사를 진행해줍니다.

그러면 대부분의 보안 업체에서는 Win32.Trump Locker,Adware.Trump Locker Ransomeware,Win32.Application .Trump Locker Ransomeware,.Trump Locker Ransomeware등으로 진단이 되고 있으며 해당 악성코드 등에 감염이 되기 싫은 경우에는 반드시 출처가 의심스러운 파일은 함부로 열지 말고 그리고 윈도우 업데이트등은 반드시 업데이트가 필요할 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 미국내에서 인기가 많이 떨어져~~ 뭔가 자구책이 있어야 할텐데
    • 해당 랜섬웨어에 감염이 되지 않으려면 언제나 조심하는 방법밖에 없는것 같습니다.

비밀메세지를 보내기 위한 메세지 암호화 어플-OpenKeychain Easy PGP

Posted by Sakai
2016.03.04 19:43 소프트웨어 팁/보안

최근 테러방지법 통과로 말미암아서 사람 중에서 일부는 비밀메시지를 보내려고 다양한 방법을 찾고 있습일니다. 여기서 사용자 분들이 카카오 톡 대신에 텔레그램을 사용하기도 합니다. 일단 이런 테러방지법을 싫어하시는 분들에게는 아마도 암호화가 필요할 것으로 생각합니다.

물론 테러방지법을 지지하는 쪽과 테러방지법을 싫어하시는 분들이 있을 것입니다. 예를 들어서 내가 숨길 것이 없으면 두려움이 없다는 것과 자신의 개인정보들이 다른 사람에게 보이기 싫어하시는 분들도 있을 것입니다.

먼저 해당 글을 다른 사람에게 이메일을 들키고 싶지 않은 분들에게 도움이 될 것입니다. 먼저 블로그에서 이메일 암호화하는 방법에 대해 설명을 한 적이 있었고 이렇게 비밀을 유지하는 데 필요하신 분들에게 필요한 것이 PGP라고 생각이 됩니다.

일단 PGP하는것은 간단하게 말을 해서 GnuPG의 암호화된 텍스트이면서 풀려고 하면 암호화에 사용된 공개키와 대칭되는 비밀키가 필요를 합니다.

그리고 해당 PGP에서 사용이 된 것은 비대칭 키인 RSA 이 되겠습니다. 그리고 이번에 소개해 드리는 암호화 어플인 OpenKeychain Easy PGP는 K9 이메일 애플리케이션과 연동이 되어 사용되기 때문에 암호화가 필요한 분들에게 필요한 어플이 되겠습니다.

OpenKeychain Easy PGP

일단 간단하게 해당 어플인 OpenKeychain Easy PGP를 다운로드 해서 설치를 하고 나서 실행을 해줍니다. 그리고 나서 먼저 할 것은 나의 키를 만드는 것입니다. 먼저 Create My Key를 눌러주고 나서 키를 만들어야 합니다. 간단하게 자신의 이름을 입력하거나 별명을 입력해줍니다.

그리고 이메일 주소를 입력해줍니다. 그리고 중요한 것 중 하나는 비밀번호를 입력해줍니다. 그리고 설정을 할 수가 있는 화면이 나오는데 특별하게 설정을 변경할 필요가 없습니다. 그러면 간단하게 Create Key를 버튼을 눌러주면 간단하게 키가 만들어질 것입니다.

[브라우저 부가기능/구글 크롬 부가기능] - 암호화된 이메일을 보내주는 구글 크롬 부가기능-Encipher it

[보안(Security)] - 자신의 이메일 계정 테스트를 통한 개인정보 보호 하기-Email Privacy Tester

[보안(Security)] - 이메일 개인정보 보호를 위한 암호화된 이메일 전송해주는 프로그램-Instantcrypt

[보안(Security)] - Email Certificate(이메일 인증서)로 암호화된 이메일 보내기

OpenKeychain Easy PGP 인증키 만들기OpenKeychain Easy PGP 인증키 만들기

그러면 이제 자신이 만들었던 계정을 눌러주고 나서 암호화하기를 위해서 파일을 선택하거나 아니며 텍스트를 선택할 수가 있습니다. 위에 보면 폴더 아이콘에 잠금장치는 파일 암호화이며 텍스트 자물쇠가 있는 것은 텍스트 암호화입니다. 그 옆에 있는 것은 NFC 관련입니다.

여기서 간단하게 텍스트를 하고 싶은 것은 텍스트 버튼을 눌러주고 나서 Type Text 부분에는 암호화하고 싶은 글자 그리고 다음으로 서명에서는 암호화할 때 필요한 서명을 선택을 해주면 됩니다.

OpenKeychain Easy PGP 암호화OpenKeychain Easy PGP 암호화


그리고 나서 암호화라는 단어 옆에 있는 아이콘을 눌러주면 암호화는 끝이 나고 해당 내용을 단순하게 붙여 넣기를 하면 됩니다.

OpenKeychain Easy PGP 암호화 완료OpenKeychain Easy PGP 암호화 완료

그러면 앞서 설치한 K-9 Mail를 통해서 이메일을 보내면 될 것입니다. 이렇게 해서 이메일을 보내는 방법도 있습니다. 물론 이런 방법이 완벽한 방법은 아니지만, 암호화라는 것을 거치기 때문에 개인정보 보호를 하는 데 도움이 될 것입니다.

[소프트웨어 소개(Software)] - 동영상 파일을 암호로 보호해주는 프로그램-GreenForce Player

[보안(Security)] - 개인정보 보호 위한 VeraCrypt를 활용한 USB 메모리 암호화 방법

[보안(Security)] - 공인 인증서 암호화와 개인정보 보호를 위한 TrueCrypt 대체 프로그램-VeraCrypt

OpenKeychain Easy PGP 파일 암호화OpenKeychain Easy PGP 파일 암호화

그리고 파일 등을 안전하게 보관하고 싶은 경우에는 지난 시간에 소개해 드린 VeraCrypt를 이용한 것이 안전할 것입니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 개인 정보가 있을 때 더 유용하게 했군요
    • 네~개인정보 같은것에 민감하시분들에게 도움이 될것 같습니다.