오늘은 CRBR ENCRYPTOR Ransomware(CRBR ENCRYPTOR 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다.일단 여기서 CRBR ENCRYPTOR Ransomware(CRBR ENCRYPTOR 랜섬웨어)는 일단 기존에 있던 Cerber 랜섬웨어입니다.
즉 Cerber 랜섬웨어->CRBR Encryptor 랜섬웨어 라는 공식과 그리고 이름만 살짝 바꾼 것밖에 되지 않습니다. 기본적으로 모든 랜섬웨어들 또는 악성코드의 공통점은 바로 윈도우 보안 업데이트 등과 같이 보안 업데이트가 이루어지지 않은 취약점을 가지는 컴퓨터를 노리게 돼 있고 이런 컴퓨터들이 악의적인 목적이 있는 웹사이트 방문 또는 파일을 다운로드 했을 때는 악성코드에 감염될 확률이 높아서 개인정보 유출 및 금전적인 피해로 이어지는 형태로 구성돼 있습니다.
일단 해당 CRBR ENCRYPTOR Ransomware(CRBR ENCRYPTOR 랜섬웨어)로 이름이 변경된 것은 약 일주일 전쯤인 것 같습니다. (2017년6월26일쯤)입니다.
일단 기본적으로 RSA-512 암호화 및 RC4 암호화 알고리즘을 사용하여 파일을 암호화하여 임의로 생성된 4개의 A~Z 0~9 문자를 암호화된 파일의 파일 확장 명으로 추가하고 암호 해독을 하고 싶은 경우 비트코인을 요구하는 방식을 취하고 있습니다.
물론 암호화가 진행되었기 때문에 사용자가 파일에 접근하는 것은 불가능 상태가 되며 몸값을 받아내기 위해서_R_E_A_D___T_H_I_S___<Random>_.hta 형태로 파일을 만들고 13국에 있는 사람들을 표적을 하고 있는지 해당 국가(영어, 아랍어, 중국어, 네덜란드어, 프랑스 어, 독일어, 이탈리아 어, 일본어, 한국어, 폴란드어, 포르투갈어, 스페인 어, 터키어)를 번역이 돼 있는 것을 볼 수가 있으면 그리고 감염이 되면 아름다운 아가씨가 나오는 음성을 뜯을 수가 있습니다. 내용은 당신의 파일들은 암호화되었습니다. 그리고 주로 스팸 메일, 이 메일 첨부 파일, 파일 공유 네트워크, Torrent Trackers의 Malicious Executable 등입니다. 그리고 감염이 되고 나서
처음에 할 일은 Windows의 내부 프로세스를 수정합니다.
wscript.exe
WScript.exe
Mui
Sortdefault.nls
Wshom.ocx
Stdole2.tlb
KERNELBASE.dll.mui
Msxml3.dll
그리고 나서 정상으로 동작하는 데 필요한 레지스터리에 등록을 합니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_CURRENT_USER\Software\Classes
HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft\Cryptography
그리고 Windows 작업 관리자에 새 프로세스를 삽입하고 svchost.exe 파일을 숨기고 악의적으로 조작된 svchost.exe 파일 프로세스 항목으로 보여 줍니다. 그리고 RSC-512 암호화를 원본 파일의 데이터 암호화 후 암호화된 데이터 블록으로 바뀌는 부분 또한 RC4 암호화 모드와 함께 사용하기 때문에 사용자로서 파일에 열수가 없는 상태가 될 것입니다.
그리고 공개키와 비공개키인 RSA 형태로 생성하고 암호를 해독하려면 개인 키와 비공개키가 필요해서 사실상 암호화된 파일을 복원화 하는 것은 방법은 없습니다. 즉 공개키는 테일러 제작 스크립트를 활용해서 인수 분해를 할 수가 있지만 변경하기는 사실상 해독이 불가이며 RSA 키는 각각 파일마다 또 다르게 적용이 되기 때문에 파일을 복원 화는 데 오랜 시간이 걸립니다. 그리고
CRBR ENCRYPTOR 는 중요한 Windows 폴더를 건드리지 않는 동시 운영체제에 손상을 할 수가 있습니다.
123 ,.1cd ,.3dm ,.3ds ,.3fr ,3g2 ,.3gp ,.3pr ,.602 ,"7z .acc, .accd, .accdr, acc, .acz,acr, act, .adp, adp, .ads, .aes, .agdl, ai, .aiff, ait .api ,.apk ,.arc,hwp 등입니다.즉 hwp도 포함돼 있어서 한국 사용자 분들도 포함될 수가 있다는 것입니다.
CRBR ENCRYPTOR로 암호화가 완료되면 몸값 기록을 삭제하고 감염된 컴퓨터의 배경 화면을 변경하면 바탕화면에서는 몸값 지급을 위해 잘 알려진 Cerber Decryptor 웹 페이지를 방문하여 몸값 지불 방법에 대한 상세한 정보를 제공을 해주면 사용자가 만약 복구할 마음이 있다고 하면 0.5BTC(BitCoins)를 요구합니다.
그리고 삭제를 한다고 수동으로 삭제하는 것보다 백신프로그램들로 삭제하는 것이 안전하게 삭제를 하는 방법이고 그리고 자신이 사용하는 운영체제, 그리고 웹브라우저는 반드시 최신 상태 유지 백신프로그램은 반드시 설치해서 사용하시는 것이 안전하게 사용을 하는 방법입니다. 물론 랜섬웨어 보호 도구들을 따로 설치해서 운영하는 것도 좋은 방법이라고 생각이 됩니다.
만약 이지만 시스템 복원지점을 생성을 해놓은 상태에서 해당 시스템 복원 지점이 삭제가 되지 않았다고 하면 ShadowExplorer(새도우 익스플러워)로 한번 랜섬웨어 복구를 시도는 할수가 있을것입니다.
<기타 관련 글>
[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware
[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
[소프트웨어 소개/소프트웨어 팁] - Windows 0x80070422 오류 해결 방법
[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법
[소프트웨어 소개/소프트웨어 팁] - 윈도우 업데이트 설치를 마칠 수 없습니다.해결 방법
[소프트웨어 소개/소프트웨어 팁] - Microsoft Update Catalog(마이크로소프트 업데이트 카탈로그) 다른 브라우저 지원 시작
[소프트웨어 소개/소프트웨어 팁] - 윈도우 업데이트 8007000E 오류 대처 방법
[소프트웨어 소개/소프트웨어 팁] - 윈도우 업데이트 설치 실패 해결 방법
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 윈도우 10 2017년7월 정기 보안 업데이트(KB4022716) (0) | 2017.07.12 |
|---|---|
| Petya Ransomware(페트야 랜섬웨어)오리지널 버전 마스트 암호 복원키 공개 (4) | 2017.07.09 |
| 노턴 인터넷 시큐리티 22.10.0.83 업데이트 (2) | 2017.07.07 |
| Windows 10 Insider Preview Build 16232에서 윈도우 디펜더에서 랜섬웨어 보호 기능 사용 방법 (12) | 2017.07.05 |
| 사이버 고스트 PETYA 랜섬웨어(패트야 랜섬웨어) 예방 도구 공개 (2) | 2017.07.04 |
| MBR 변조를 한 후 부팅을 방해하는 PETYA 랜섬웨어(패트야 랜섬웨어)- 변종 골든 아이 랜섬웨어(Goldeneye Ransomware) (4) | 2017.06.29 |
| 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool) (4) | 2017.06.29 |
| Windows Defender 1.1.13903.0 보안 업데이트(윈도우 디펜더 1.1.13903.0 보안 업데이트) (4) | 2017.06.28 |
