맬웨어에 해당하는글 48




포켓몬고의 인기는 가히 경이로운 수준이다. 포켓몬고는 미국 앱스토어 무료앱 1위를 차지하고있으며 안드로이드 기준으로 유명 소개팅앱 Tinder보다 2배 많이 설치됐다. 일부 조사에 따르면 포켓몬고 일일 사용자수는 트위터와 비슷한 수준이라고 한다. 포켓몬고의 선풍적인 인기는 사이버범죄에도 영향을 끼쳤으며 얼마 지나지 않아 다양한 범죄수법이 개발됐다.



1. 포켓몬고 개발사 Niantic은 앱 자체는 무료 제공하지만 사용자가 PokeCoin이라는 가상통화를 구매하도록 하여 수익을 올린다. PokeCoin은 희귀 포켓몬을 부화시킬 수 있는 알이나 포켓몬을 유혹할 수 있는 아이템 등을 구매하는 데 쓰인다. 사이버범죄자들은 PokeCoin을 제공하는 설문조사를 만들어냈다. 사용자가 설문조사 사이트를 클릭하면 포켓몬고 사용자이름과 원하는 코인의 금액을 입력하고 인증절차를 거치게 되는데 이 과정이 완료되도 PokeCoin은 제공되지 않으며 대신 범죄자 측에서 수익을 올릴 수 있는 불량 프로그램에 가입되게 된다.


2. 포켓몬고는 아직 몇몇 국가에서만 제공되기 때문에 수많은 사람들이 인터넷을 통한 다운로드를 시도하고 있으며 이로 인해 사이버범죄자의 표적이 되고 있다. 인터넷에서 다운받은 가짜 포켓몬고 앱은 실제 앱과 똑같이 생겼지만 사실은 범죄자 측에서 사용자 휴대전화에 접근할 수 있도록 하는 맬웨어다.


3. 가짜 이메일을 포켓몬고 사용자에게 전송하여 24시간 내에 13달러짜리 포켓몬고 유료버전에 등록하지 않으면 계정이 정지된다는 허위정보를 제공하여 돈을 뜯어낸다. 이메일 내용은 다음과 같다. 포켓몬고에 대한 폭발적인 반응으로 인해 서버 증설이 필요하여 향후 계정에 대한 무료서비스를 지속할 수 없게 됐습니다. 24시간 내 유료버전으로 업그레이드하지 않을 경우 계정이 정지됩니다. 한편 이메일에 첨부된 링크는 사용자의 이메일 비밀번호와 신용카드 계좌정보를 탈취하도록 설계된 제3자 서버로 연결된다.



포켓몬고 사기방지요령

• 포켓몬고를 인터넷에서 다운받지 말 것

• 포켓몬고 계정에 대해 강력한 비밀번호 사용

• 스마트폰 펌웨어 최신여부 확인

• 포켓몬/Pokemon이라는 단어가 들어간 이메일은 열지 말 것




VIPRE Security News, Don’t Let Pokémon Scammers Say ‘Gotcha’ at Your Expense, 8. 2. 2016.

https://blog.vipreantivirus.com/security-news-room/dont-let-pokemon-scammers-say-gotcha-expense/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 4. 13:33

ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다.










ThreatAnalyzer 분석


위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다.




WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다.


변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일 가능성이 높음을 의미한다.


분석결과 두 장의 스크린샷이 잡혔다.



한편 MODIFED FILES 항목을 펼친 결과는 다음과 같다.




감염된 파일에는 .zepto라는 확장자가 붙게 된다. 위 스크린샷과 파일변경내용으로 볼 때 본 샘플은 Zepto 랜섬웨어의 변종이라고 할 수 있다.



WSF 스크립트 행동양상


C:\Windows\System32\WScript.exe (3388)를 선택하면 WSF 자체의 행동결과를 확인할 수 있다.

-



WSF는 우선 두 개의 파일(UL43Fok40ii, UL43Fok40ii.exe)을 생성하고 mercumaya.net에 대한 HTTP 접속을 개시했다.


아래는 UL43Fok40ii 바이너리 표시다.



아래는 UL43Fok40ii.exe로 PE 파일형식으로 돼 있다.



이들 두 파일을 비교해 보면 각각 용량이 208008바이트와 208004바이트로 그 차이가 4바이트에 불과한데 이를 통해 .exe 확장자가 없는 파일은 복호화를 거쳐 PE 실행파일로 만들어졌다는 추측이 가능하다.


이후 WSF스크립트가 전달인자(arguement) 321을 통해 PE 실행파일을 구동했다.





호스트 주소에 com.my라는 접미어가 들어간다는 사실로 볼 때 서버 위치는 말레이시아로 추정된다.


HTTP 헤더를 봐도 컨텐츠 용량이 208008바이트임을 볼 수 있으며 이는 앞서 본 암호화된 파일의 용량과 동일하다.

WScript.exe가 실행하 WSF 파일은 Windows PE 파일을 다운받아 복호화한 다음 실행시켰다.



다운로드 PE 실행파일


이제 UL43Fok40ii.exe에 대해 살펴본다. 아래 그림에서 판단할 수 있는정보는 다음과 같다.

•  우크라이나에 위치한 일부 정보 게시

•  수백 개의 파일에 접근

•  기본브라우저 실행(본 분석의 경우 크롬)

•  cmd.exe가 포함된 파일 삭제

•  공유폴더 접속

•  파일이 암호화된 모든 폴더에 대해 _HELP_instructions.html 안내문을 생성

•  쓰레드 10개 생성





우크라이나 사이트에 게시된 데이터는 암호화돼있는데 파일 암호화에 필요한  id와 키를 포함하고 있다 추정된다.



ThreatAnayzer 분석결과를 통해 1차(raw) 데이터는 16진법 표시로 볼 수 있다. 1차 데이터를 부분적으로 변환한 결과는 다음과 같다.



아울러 여러 파일의 이름이 변경됐다. 파일이 암호화되는 과정에서 GUID filename을 통해 암호화된 파일 명칭의 접미부분에 .zepto를 붙게 된다.



파일검색을 보면 드라이브 루트 디렉토리로 들어가기에 앞서 연락처 파일를 먼저 노리게 된다.



아래는_HELP_instructions.bmp 파일의 컨텐츠를 보여주는 스크린샷이다.



본 맬웨어 샘플은 구동 중인 실행파일을 Temp 폴더의 파일로 옮기려 한다.



기본브라우저로 설정된 크롬을 통해 바탕화면에 생성된 _HELP_instructions.html이 열린다.

또한 Temp 폴더의 맬웨어 사본이 삭제되는데 이는 사후정리 과정의 하나로 생각된다.


_HELP_instructions.html을 브라우저에서 열면 아래와 같이 나타난다.



Chrome.exe 하부의 프로세스요청트리는 Zepto 악성코드와는 별개로 브라우저에 의해서만 개시됐을 가능성이 높다.




랜섬웨어 방지


오늘날  Zepto와 같은 랜섬웨어의 배후세력은 기업과 정부기관을 침투하기 위해 다양한 방법을 공격적으로 모색하고 있으며 본 사례는 랜섬웨어에 흔히 쓰이는 자바스크립트나 오피스 매크로에서 벗어나 WSF 첨부물을 필터링하지 않는 이메일 게이트웨이 통과를 시도했던 경우에 해당한다.


랜섬웨어와 같은 정교한 위협의 피해를 막기 위해서는 VIPRE Endpoint Security와 같은 지능형 엔드포인트 보안솔루션, ThreatAnalyzer와 같은 맬웨어행동분석툴, ThreatSecure와 같은 사이버공격 방어솔루션 등의 솔루션이 필요하며 중요 데이터를 주기적으로 백업해야 한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스> 


<참고: VIPRE 엔드포인트 보안솔루션> 





ThreatTrack Security Labs, Zepto Ransomware Packed into WSF Spam, 7. 25. 2016.

https://blog.threattrack.com/ransomware-packed-into-wsf-spam/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 27. 14:39



게시일: 2016-07-05 l 작성자: Trend Micro

2016년 상반기는 ‘랜섬웨어의 대활약’ 이라고 요약할 수 있습니다. 온라인 뱅킹 해킹도구 등과 같은 기타 사이버 범죄와 달리, 랜섬웨어는 고급 기술을 보유하고 있지 않아도 쉽게 돈을 벌 수 있는 멀웨어입니다. 따라서 2014년과 2015년 확인된 랜섬웨어가 총 49개였던 것과 비교하여 2016년 6월 말 현재, 이미 50개 이상의 새로운 랜섬웨어 그룹이 확인되고 있습니다.

랜섬웨어의 암호화 기술 뒤에 숨겨진 전략을 살펴보는 것 이외에, 침입 전략을 살펴보는 것 또한 중요합니다. 랜섬웨어의 전형적인 침입 전략은 (1) 스팸메일, (2) 변조된 웹사이트 또는 익스플로잇 킷이 포함된 악성 웹사이트 입니다. 위 두 가지 방법은 간단하지만 매우 효과적입니다.

트렌드마이크로에서는 대다수의 랜섬웨어가 네트워크 진입로에서 웹사이트 및 이메일 필터링을 통해 차단될 수 있다는 것을 분석하였습니다. 실제 2016년 1월부터 5월까지 당사에서는 6,600만 이상의 랜섬웨어 관련 스팸메일 및 악성 웹사이트를 차단했습니다. 따라서, 본 게시글에서는 랜섬웨어의 침입 전략과 그 대응법에 대해 확인해보고자 합니다.


침입 전략 1 : 스팸메일

스팸메일을 통한 랜섬웨어 유포 전략과 스팸 필터링 우회 기술에 대해 살펴보고자 합니다. 일반적으로 랜섬웨어 유포에 이용되는 스팸메일은 매크로(macro), 자바스크립트(Javascript) 등의 실행형 첨부파일이 포함되어 있으며, 이러한 첨부파일은 랜섬웨어 본체를 다운로드 하는 역할을 합니다.

예를 들어, 랜섬웨어 CRYLOCK / CRILOCK / CRITOLOCK (CryptoLocker) 는 이메일에 악성 파일을 첨부하며(대부분의 경우 ‘UPATRE’의 변종), 실행 시 ZBOT(ZeuS)를 다운로드하는 역할을 합니다. 이 멀웨어는 사용자의 PC에 CryptoLocker를 다운로드하여 실행합니다.

하지만, 공격은 여기서 멈추지 않습니다. 일부 랜섬웨어는 매크로 공격 방식을 추가하여, 샌드박스 기술을 우회합니다. 사용자가 악성 문서파일에 내포된 매크로 실행을 선택하도록 유도하기 위해, 사용자를 속이기 위한 사회 공학기법이 중요한 역할을 합니다.

Locky 랜섬웨어는 악성 매크로 첨부파일을 이용하는 대표적인 예입니다. 매크로에 존재하는 폼 개체(Form Object)를 이용하여 악성코드를 은폐합니다. 해당 랜섬웨어는 2015년 2월에 미국 캘리포니아 할리우드 장로 병원(Hollywood Presbyterian Medical Center) 를 공격한 바 있습니다. 2016년 5월 말부터 6월 초 모습을 감춘 Locky 랜섬웨어는 최근 활동을 재개하고 있는 것으로 확인되었습니다.

그림1. Locky 랜섬웨어를 유포하는 스팸메일


또한 당사에서는 XORBAT, ZIPPY, CRYPTESLA (TeslaCrypt) 4.0버전, CRYPTWALL (CryptoWall) 3.0버전, LOCKY 변종 등을 자동으로 다운로드 하는 자바스크립트 첨부파일 사례도 확인하였습니다. 사이버 범죄자는 Locky,CERBER와 같은 랜섬웨어를 확산하기 위해 VBScript와 같은 스크립팅 언어도 이용하고 있습니다. 스크립트 언어를 첨부 파일로 사용할 경우, 탐지가 불가능하게 되는 경우가 있기 때문입니다.

그림 2. CryptoWall 3.0 자바스크립트 파일


이메일 제목

랜섬웨어를 유포하는 이메일의 제목은 굉장히 평범합니다. 당사에서 확인한 이메일 제목은 ‘이력서’, ‘청구서’, ‘배송 정보’, ‘계정 동결’ 등이었으며, 해당 메일은 공식 기관의 이메일을 표방하여 제작되었습니다.

그림 3. TorrentLocker 유포 메일

그림 4. TorrentLocker 스팸메일의 예

호주와 유럽에서 유행한 CRYPTLOCK (TorrentLocker)의 스팸메일 활동은 주목할 만 합니다. 전형적인 영어 제목이 아닌, 특정 국가의 언어와 기관 이름을 사용합니다. 예를 들어, 호주를 대상으로 하는 경우 호주연방경찰과 호주우편공사 등 현지 기관의 메일로 위장합니다.

이러한 랜섬웨어의 스팸메일 캠페인에서 주목할 것은, 무작위로 전송하는 것이 아닌 특정 언어의 이메일을 해당 지역 사용자에게만 발송한다는 것입니다. 예를 들어, 이탈리아어로 된 스팸메일은 이탈리아의 사용자에게만 전송되었습니다.


메일 발송 타이밍

사이버 범죄자는 조직이나 기업에 스팸메일을 보낼 때 효과적인 타이밍을 노립니다. 예를 들어, CryptoWall은 사용자의 사서함에 오전 5시~9시(동부표준시) 사이에 도착하며, TorrentLocker는 대상 국가의 업무시간에 맞추어 주중 오후 1시~오후 7시경 발송됩니다. 또한, 한번에 다량의 스팸메일을 보내는 것이 아닌, 시간 별 발송량을 조절하여 최대의 효과를 노립니다. 따라서, 기존 스팸메일 탐지 방법으로 검출되지 않는 것입니다.


침입 전략 #2: 악성 웹사이트

랜섬웨어는 악성 URL 또는 변조된 웹사이트에 숨어 활동하기도 합니다. 웹 서버를 공격하여 사용자를 악성 웹사이트로 유도하는 경우도 있습니다. 웹사이트 변조는 웹 차단 기술을 우회하는 효과적인 방법입니다.

일례로, 2015년 12월 사이버 범죄자는 영국의 주요 신문사인 The Independent 의 블로그를 변조하여 TeslaCrypt 2.0을 확산시켰습니다. 문제의 블로그에 접속한 모든 사용자들은 여러 웹페이지를 거쳐 앵글러 익스플로잇 킷(Angler Exploit Kit)를 호스팅하는 사이트로 연결되었습니다. 만일 사용자의 PC가 특정 어도비 플래시 플레이어 취약점(CVE-2015-7645)을 가지고 있는 경우, 곧바로 랜섬웨어가 감염되었습니다.

웹사이트를 해킹하는 것 이외에도 사이버 범죄자들은 악성 파일을 호스트하기 위해 다양한 정식 서비스를 이용합니다. PETYA 랜섬웨어는 클라우드 스토리지 서비스인 Dropbox를 이용하여 랜섬웨어를 유포하였습니다. 구직 메일로 위장한 스팸메일을 전송하여, 첨부된 문서를 클릭하면 Dropbox에 저장된 악성 프로그램이 다운로드되어 랜섬웨어가 감염되는 것입니다.


웹 차단 우회 방법

TorrentLocker는 랜딩 페이지와 드라이브 바이 다운로드에 의한 악성 파일 다운로드와 같은 탐지 및 차단을 우회하기 위해 CAPTCHA 코드의 인증 시스템을 사용하였습니다. 이 외에도 DNS 레코드에 대한 TTL(Time to Live)를 단기간으로 설정하여, 도메인이 약 1시간 정도의 짧은 시간 동안에 활성화되기 때문에, 관련 URL 차단과 추적이 어렵습니다.


익스플로잇 킷에 의한 확산

악성 광고를 통한 익스플로잇 킷에 의한 랜섬웨어 확산도 발견되고 있습니다. 취약점 업데이트가 미비한 PC가 악성 광고를 통해 악성 웹사이트를 접속한 경우 랜섬웨어 또는 기타 악성 프로그램에 감염될 수 있습니다.

하단의 표는 다양한 익스플로잇 킷에 의해 확산되는 랜섬웨어 그룹의 목록입니다.

익스플로잇 키트확산되는 랜섬웨어 (2015)확산되는 랜섬웨어 (2016)
Angler Exploit KitCryptoWall, TeslaCrypt, CryptoLockerCryptoWall, TeslaCrypt, CryptoLocker, CryptXXX
Neutrino Exploit KitCryptoWall, TeslaCryptCryptoWall, TeslaCrypt, Cerber, CryptXXX
Magnitude Exploit KitCryptoWallCryptoWall, Cerber
Rig Exploit KitCryptoWall, TeslaCryptRansom_GOOPIC
Nuclear Exploit KitCryptoWall, TeslaCrypt, CTB-Locker, TroldeshTeslaCrypt, Locky
Sundown Exploit KitCryptoShocker
Hunter Exploit KitLocky
Fiesta Exploit KitTeslaCrypt

 

앵글러 익스플로잇 킷은 TeslaCrypt를 유포하기 위해 사용되었지만, TeslaCrypt 개발자가 2015년 4월 활동을 중지한 뒤에는 CryptXXX의 확산에 이용되었습니다.

사이버 범죄자들은 또 다른 익스플로잇 킷인 뉴트리노(Neutrino EK), 리그(Rig EK)등을 이용하고 있습니다. CryptXXX를 유포하는 뉴트리노와 Locky를 유포하는 뉴클리어(Nuclear EK)가 각각 확산 중에 있습니다.

운영 체제를 최신 상태로 유지하는 것은 익스플로잇 킷 및 부정 광고를 통한 악성 프로그램 다운로드 방지를 위한 보호 조치입니다. 웹 검증 및 취약점 대책을 이용하여 악성 URL을 차단하는 것은 효과적인 보안 조치입니다.


트렌드마이크로의 대책

랜섬웨어에 의한 피해를 방지하지 위해 네트워크 진입로를 보호하는 것은 매우 중요합니다. 랜섬웨어가 엔드포인트까지 침투할 경우, 파일 또는 시스템 복구가 어렵습니다. 네트워크로 연결된 PC 또는 서버까지 감염이 확산될 경우, 복구는 더욱 어려워집니다. 이러한 랜섬웨어의 특성을 고려하였을 때, 기존 보안 대책으로는 충분하지 않습니다. 기업을 위한 다층 보안 설계를 권장합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다. 개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.

원문: Why Ransomware Works: Arrival Tactics




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


랜섬웨어가 ‘먹히는’ 이유 제2탄: 침투 전략

https://www.trendmicro.co.kr/kr/blog/ransomware-arrival-methods/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 27. 13:46



랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

게시일: 2016-06-17 l 작성자: Trend Micro

기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까요? 최근 여러 기관에서 랜섬웨어 공격에 대비하여 비트코인을 사들이고 있다는 연구가 있었습니다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책입니다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있습니다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없습니다.


지속적인 랜섬웨어의 공격

랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 것이 중요합니다. 물론, 사회공학적 기법과 상용 등급 암호화는 랜섬웨어 공격의 중요한 요소입니다. 하지만 최근 유행하는 랜섬웨어들은 다른 멀웨어의 수법을 차용하여, 복호화를 어렵게 만들고 있습니다.

예를 들어보겠습니다. A 회사에서 ‘파일과 중요 데이터가 모두 암호화 되었으니, 되찾고 싶다면 돈을 지불하라’는 메시지를 수신했습니다. IT 운영자는 즉시 감염된 시스템의 네트워크를 차단하고 분리했습니다. 그 후, 감염된 컴퓨터를 치료하여 파일 복구를 시도합니다. 하지만 이 때 여러 문제점이 발생합니다.

일례로 랜섬웨어가 일반적으로 사용하는 기법 중 하나는 섀도우 복사본을 삭제하는 것입니다. 하단의 커맨드 중 하나를 사용하여 이를 실행합니다.

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

섀도우 복사본을 삭제함으로써, 사용자가 파일을 복구할 수 없도록 백업 파일을 삭제하게 되는 것입니다.CRYPWALLLockyCERBERCRYPTESLA와 같은 변종 랜섬웨어에서 이와 같은 기능을 사용하고 있습니다. 부팅 변경, 감염 확산, 백신 우회 등과 같은 기법도 널리 활용되고 있습니다.


부팅 변경

마스터 부트 레코드(MBR)의 재작성 또는 삭제로 인해 시스템 부팅이 불가능해집니다. 이를 우회하기 위해 안전모드 부팅을 시도하는 것도 무용지물입니다. PETYA 는 이러한 공격 수법을 가진 대표적인 랜섬웨어입니다.


감염 확산

랜섬웨어에 의해 감염된 1개의 시스템 복구도 어렵지만, 이동식 드라이브와 네트워크를 통해 감염이 확산된다면 또 다른 중요 데이터가 암호화 될 위험에 놓이게 됩니다. 해당 공격 수법을 사용하는 랜섬웨어는Zcryptor(ZCRYPT crypto-ransomware)는 이동식 드라이브와 네트워크의 공유폴더까지 확산하여 감염시킵니다.


백신 우회

워치독 프로세스(Watchdog process)는 멀웨어의 새로운 인스턴스를 부활시키기 위해 svchost.exe로 명명된 regsvr32.exe 또는 rundll32.exe을 복사합니다. 하나의 프로세스가 암호화를 실행하면, 나머지 하나의 프로세스는 워치독으로 활동합니다. 랜섬웨어가 탐지를 우회하기 위해 고용하는 또 다른 기술은, 해당 환경이 VMWare 환경인지 확인하는 것입니다.

그림 1. CryptXXX 감염 프로세스 트리, 워치독 프로세스 포함

VIRLOCK 은 다형성 암호 기법을 가진 랜섬웨어로서, 감염이 실행될 때마다 코드를 변경해 보안 소프트웨어에서 탐지가 매우 어렵습니다. 하단 그림에서와 같이 감염 파일에 무작위 가비지 코드와 API 콜을 삽입하기도 합니다.

그림 2. VIRLOCK의 탐지 우회 기술 코드 정보


또 다른 공격 수법

랜섬웨어의 지속적인 공격에서 주목할 만한 기술은 네트워크 드라이브의 데이터를 암호화하고, 이와 더불어 SMB(Server Message Block)를 공유하여 발견되는 모든 파일을 암호화 하는 것입니다. 2015년 등장한 CryptoFortress는 위와 같은 수법을 사용합니다. CRYPWALL 3버전과 4버전 또한 마찬가지로, 연결된 모든 드라이브로 확산하여 데이터를 암호화 합니다.

또 다른 변종인 PowerWare와 POSHCODER는 윈도우 PowerShell 기능을 악용합니다. CryptoLocker 공격에서는 C&C 서버 연결을 위한 DGA(Domain Generation Algorithm)도 처음 발견되었습니다. CryptXXX의 경우, 피해자의 정보를 탈취하여 지하시장에서 판매합니다.

랜섬웨어 공격자가 취약점을 이용하여 위협을 확산시킬 경우, 감염 피해 복구는 더욱 어려워집니다. SAMSAM은 Jexboss 익스플로잇을 악용하여 네트워크를 통해 취약한 서버에 침투하여 랜섬웨어 공격을 실행하였습니다.


다층 보안 설계

파일 암호화로부터 초래되는 불편함, 파일 복구 시도의 실패, 잠재적인 추가 피해로 인해 몇몇 기관들에서는 랜섬을 지불하는 것을 택하고 있습니다. 하지만 이것은 매우 위험한 결정이라고 할 수 있습니다. 한 번 랜섬을 지불할 경우, 돈을 지불하는 피해자로 인식되어 더 많은 랜섬웨어 공격의 대상이 될 수 있습니다.

랜섬웨어를 이해하는 것은 기업의 IT환경을 보호하기 위한 중요한 시작입니다. 파일을 백업하는 것은 보안의 가장 기초이지만, 그것만으로 끝나는 것이 아닙니다. 백업을 찾아내어 삭제하는 변종들이 계속 새롭게 등장하고 있기 때문입니다. 기업에서는 다층 보안 설계를 구축해야 합니다.

트렌드마이크로는 대기업, 중소기업 및 개인 사용자가 크립토 랜섬웨어의 피해를 최소화할 수 있는 대응책을 제공합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.


원문: Why Ransomware Works: Tactics and Routines Beyond Encryption




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

https://www.trendmicro.co.kr/kr/blog/why-ransomware-works-tactics-beyond-encryption/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 26. 15:15



게시일: 2016-06-15 l 작성자: Echo Duan (Mobile Threat Response Engineer)

하나의 플랫폼으로 여러 스마트 디바이스를 사용할 수 있는 것은 삶에 편리성을 가져다 줍니다. 하지만 이 경우, 멀웨어가 1대의 디바이스에 침투하면, 동일한 플랫폼을 공유하는 다른 디바이스도 감염되기 쉽습니다. 최근 유행하는 “FLocker” 랜섬웨어가 이와 같은 경우입니다. 해당 랜섬웨어는 안드로이드 운영체제의 모바일 디바이스를 공격하는 화면잠금형 랜섬웨어이지만, 안드로이드 스마트TV도 감염시킬 수 있습니다.



그림 1. TV 랜섬웨어 화면


2015년 5월, FLocker 랜섬웨어(ANDROIDOS_FLOCKER.A로 명명, Frantic Locker의 줄임말)가 처음 발견된 시기부터 트렌드마이크로 클라우드 보안센터에서는 약 7,000여종의 FLocker 변종이 수집되었습니다. 해당 랜섬웨어의 개발자는 탐지를 우회하고 암호화 기능을 향상하기 위해 지속적으로 멀웨어를 재작성하고 있는 것으로 보여집니다. 지난 몇 달 동안 새로운 FLocker 변종의 출현이 급증과 급감을 반복하였으며, 최근 2016년 4월에 약 1,200개의 변종이 확인되었습니다.


가장 최근 버전의 FLocker는 폴리스 트로이목사(Police Trojan)로서 미국 사이버경찰(US Cyber Police) 또는 다른 법률 기관으로 위장하여, 피해자가 범하지 않은 혐의를 제기합니다. 화면잠금이 완료되면 미화 200달러 상당의 아이튠즈 기프트카드를 벌금으로 지불할 것을 요구하는 화면을 띄우게 됩니다. 트렌드마이크로의 분석에 따르면 모바일 기기를 감염시키는 변종과 스마트TV를 감염시키는 변종에는 큰 차이점이 없습니다. 하단은 당사의 FLocker 루틴에 대한 분석입니다.


FLocker는 정적분석을 우회하기 위해 [asset] 폴더 내부의 raw 파일에 코드를 숨깁니다. 해당 코드는 정상적인 파일로 보이는 “form.html” 파일을 생성합니다.

그림 2. FLocker 정적분석 우회 기능


이렇게 함으로써, “classes.dex” 코드에서 악성행위가 발견되지 않기 때문에 정적분석을 우회할 수 있게 됩니다. “form.html”은 멀웨어가 동작할 때 암호 해제되어 악성코드를 실행합니다.

그림 3. Classes.dex코드(위)와 from.html 코드 암호 해제(아래)


FLocker가 처음 실행될 때 감염된 디바이스가 다음의 동부 유럽 국가에 위치해 있는지 확인합니다: 카자흐스탄, 아제르바이잔, 불가리아, 조지아, 헝가리, 우크라이나, 러시아, 아르메니아, 벨라루스. 만약 디바이스가 앞서 언급된 국가 중 하나에 위치해 있는 것으로 확인될 경우, 멀웨어가 자동으로 비활성화 됩니다.

FLocker는 디바이스에 침투한 후 30분 동안 아무 활동을 하지 않으며, 30분이 지난 후에 디바이스 관리자 권한을 즉시 요청하는 백그라운드 서비스를 실행합니다. 당사는 이러한 행위를 동적 샌드박스 탐지를 우회하기 위한 기술로 파악하고 있습니다. 만약 사용자가 관리자 권한 부여를 거부할 경우, 시스템 업데이트처럼 위조하여 화면을 멈춥니다.

그림 4. 일부 국가에서 공격이 실행되지 않는 FLocker


FLocker는 백그라운드에서 C&C서버로 연결되어 명령을 내려받습니다. 이 때 C&C에서 misspelled.apk라는 새로운 페이로드를 전달하고, 자바스크립트 인터페이스의 랜섬 HTML(“form.html”)이 활성화 됩니다. 해당 HTML 페이지는 APK 설치를 시작할 수 있는 기능이 있으며, 자바스크립트 인터페이스를 활용하여 감염된 피해자의 디바이스로 사진을 촬영하여 랜섬 페이지에 표출시킵니다.

랜섬 웹페이지는 감염된 디바이스에 맞추어 해상도를 변경하는 것으로 확인되었습니다.

그림 5. FLocker 랜섬 페이지 캡처 화면


화면은 잠금되었지만, 멀웨어는 C&C 서버와 통신하며 디바이스 정보, 전화번호, 연락처, 현위치 등과 같은 정보를 탈취합니다. 이러한 데이터는 하드코딩 AES 키로 암호화 되어 base 64로 인코딩됩니다.

그림 6. C&C 서버로 전달되는 정보


이러한 랜섬웨어는 스팸 문자메시지 또는 악성 링크를 통해 전달됩니다. 따라서 인터넷을 탐색하거나 알 수 없는 출처로부터 메시지 또는 이메일을 받았을 때 각별한 주의가 필요합니다.


트렌드마이크로의 대응

안드로이드TV가 감염된 경우 될 경우, 제조사에 연락하여 해결 방법을 문의할 것을 권고합니다. 멀웨어를 제거하기 위한 다른 방법은, 사용자가 ADB 디버깅을 활성화 하는 것입니다. PC에 디바이스를 연결하여 ADB 쉘을 활성화한 뒤 “PM clear %pkg%”를 실행할 수 있습니다. 이 경우 랜섬웨어 프로세스를 중단하고 화면잠금이 해제될 수 있습니다. 사용자는 또한 애플리케이션에 부여된 관리자 권한을 비활성화하고 앱을 삭제할 수 있습니다.

트렌드마이크로는 모바일 디바이스를 보호하기 위해, 스마트 디바이스에 보안 소프트웨어를 설치할 것을 권고합니다. 트렌드마이크로 모바일 시큐리티는 악성 앱 및 기타 경로를 통해 디바이스에 침투하는 랜섬웨어와 같은 모바일 위협으로부터 사용자를 보호합니다. 해당 앱은 Google Play에서 다운로드 받으실 수 있습니다.


원문: FLocker Mobile Ransomware Crosses to Smart TV




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


FLocker 랜섬웨어, 스마트TV를 노리다

https://www.trendmicro.co.kr/kr/blog/flocker-ransomware-crosses-smart-tv/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 25. 13:53



근래 Cerber 랜섬웨어가 오피스365를 노린다고 하여 큰 주목을 받았는데 그 실상은 흔히 알려진 내용과는 약간 다르다. Cerber 랜섬웨어가 오피스365를 공격했다는 내용이 최초로 등장한 출처는 보안업체 Avanan의 웹사이트에 Steven Toole이 게재한 글이며 그 내용을 보면 "제로데이 랜섬웨어 바이러스의 대규모 공격에 오피스365 기업사용자들이 노출됐다"고 기술하고 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


그런데 사실 여기에서 언급된 "대규모 공격"이란 Avana 고객 중 오피스365 사용자를 대상으로 한 공격으로 가리키며 오피스365와는 직접 관련이 없는 Avanan 메시지보안플랫폼을 통해 탐지됐다. Cerber가 등장한 이후 몇 시간 지나지 않아 마이크로소프트, 구글, 시만텍, 아바스트, 맥아피 등 수많은 보안업체들이 이 랜섬웨어를 포착했으며 실제로 이 랜섬웨어로 인해 피해를 입은 사용자가 얼마 없다는 점을 생각한다면 이번 Avanan 공격사례가 대규모였다고이유는 없으며 오피스365 사용자만을 특별히 노린 경우도 아니다. 예를 들어 마이크로소프트의 경우 오피스365를 사용하는 고객이 수십만에 달하지만 Avanan의 클라우드보안플랫폼을 사용하는 고객이 몇 명인지는 알 수 없다. Avanan 측에서는 전체 고객의 57%라는 수치를 제시했으나 전체 고객 수를 알지 못하는 이상 이는 의미가 없는 수치다.


참고로 Cerber 랜섬웨어가 노리는 파일유형은 다음과 같다.

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .advertisements, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb,3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv



랜섬웨어 대응대책


GFI LanGuard과 같은 보안솔루션으로 시스템 패치와 업데이트를 자동화하여 취약점 발생가능성을 줄인다.


<참고: GFI LanGuard 네트워크보안솔루션>


•  엔드포인트 그리고 데이터가 거쳐가는 중간시스템에서 안타바이러스 소프트웨어를 구동한다.


•  GFI MailEssential과 같이 여러 안티바이러스 엔진을 동시에 구동하는 이메일보안 솔루션을 사용하거나 다양한 업체의 솔루션을 병렬적으로 사용하여 보안대책을 다층화한다.


<참고: GFI MailEssential 이메일보안솔루션>


• 오피스365 사용자의 경우 Advanced Threat Protection 서비스를 구독할 수 있으며 다른 제품군을 사용한다면 이와 유사한 기능을 사용하거나 제품군 자체의 변경을 고려한다. SPF, DKIM, DMARC 등의 필터링을 적용하고 이를 통과하지 못하는 경우는 차단하며 파트너 또한 이러한 정책을 채택하도록 한다.


•  중요데이터는 백업시키고 맬웨어 감염가능성을 차단하기 위해 해당 백업은 엔드포인트로부터 격리시킨다.




Casper Manes, Ransomware FUD strikes again, this time against Office 365, 7. 19. 2016.

http://www.gfi.com/blog/ransomware-fud-strikes-again-this-time-against-office-365/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 22. 15:03



게시일: 2016-06-20 l 작성자: Ryan Flores (Threat Research Manager)

범죄의 목적으로 기업 최고경영자(CEO) 또는 대표이사, 사장 등 고위 간부을 사칭한 이메일 범죄의 증가는 놀라운 일이 아닙니다. 고위 간부의 요청사항을 거절하기 쉽지 않기 때문입니다. 부자연스러운 문법 표현, 복권 당첨, 타국가 왕족의 편지와 같은 비현실적인 이메일을 범죄에 활용하는 시대는 지나갔습니다. 오늘날 범죄에 이용하는 이메일은 업무 이메일 해킹으로 이루어지는 ‘허위 송금 이메일(Business Email Compromise, BEC)’ 입니다. 기업의 간부로 교묘하게 위장하여 타겟 기업의 최고 재무책임자(CFO) 등 재무 관계 책임과 업무를 담당하는 직원을 대상으로 하고 있습니다.

BEC 공격 캠페인은 중소중견 및 대기업 등 기업의 규모와 무관하게 모든 기업이 피해를 입을 수 있는 위험한 사이버 범죄 중 하나로 손 꼽히고 있습니다. 우선, 보안 소프트웨어 등으로 감지되지 않는 사회공학적 수법을 구사하기 때문이며, 또한 재무 부문을 특정 타겟으로 하여 상급 직권에 따를 수 밖에 없는 상황을 악용하기 때문입니다. 이는 바로, 기업의 맹점을 찌르는 공격 수법이라고 할 수 있습니다.

트렌드마이크로는 지난 2년 동안 발생한 BEC 공격 및 피해 사례에 대한 조사를 실시했습니다. 당사의 조사 결과, BEC 공격에는 일정한 패턴을 확인했으며, 추후 기업에서 실시해야 할 보안 대책을 파악할 수 있습니다.

  • BEC 공격의 40%는 CFO를 타겟으로 한다.
  • BEC 공격의 31%가 CEO를 사칭한다.
  • BEC 공격에서 가장 많이 사용되는 이메일 제목은 “Transfer(송금)”, “Request(요청)”, “Urgent(긴급)” 등의 간단하고 직접적인 표현이다.

다양한 수법

기업 간부로 위장하여 송금을 지시하는 “CEO 사기” 수법 이외에도, 다양한 송금 사기 수법이 활용되고 있습니다. 게다가, 저렴한 비용으로 가능합니다. BEC 공격 캔페인에 사용되는 멀웨어는 온라인에서 50 달러에 구매 가능하며, 무료로 사용할 수 있는 멀웨어도 존재합니다. 또 다른 경우, 단순한 이메일 스푸핑을 넘어서는 수법도 있습니다. 사이버 범죄자는 정상적인 이메일 계정을 해킹하여 계정 소유자를 사칭하여 허위 계좌로 송금을 요청합니다. 피싱 또는 키로거(keylogger)를 사용하여 직원 계정 정보를 탈취한 후 이를 이용하여 송금을 요청합니다. 경우에 따라, 계약 성립 전화 등을 꾸며내기도 합니다. 특히, 해외와 거래하는 업체들은 송금내역 수정 등의 수법을 활용한 BEC의 주요 타겟이 되고 있습니다.


직원 대처의 중요성

BEC의 수법은 여러 조사에 의해 대부분 알려져 있습니다. 하지만 미연방수사국(FBI)에 다르면 최근 조사 결과, 2013년 10월부터 2016년 5월까지 피해액이 약 31억 달러에 이릅니다. 이러한 피해 규모를 고려해 보았을 때, BEC 공격 캠페인의 수법을 정확히 파악하여 이에 대처할 수 있도록 직원을 교육하는 것이 중요합니다.

BEC 공격은 교묘하고 은밀하게 이루어지기 때문에 기본적인 주의사항 또는 보안 대책만으로 충분하지 않습니다. BEC 공격 캠페인은, 기업과 조직의 자산을 보호하기 위해 직원의 역할이 얼마나 중요한지 보여줍니다. 직원 개인의 보안 의식 증진은 거액의 송금을 요구하는 BEC 공격 수법에 대응할 수 있는 중요한 방어 요소라고 할 수 있습니다.


트렌드마이크로의 대책

트렌드마이크로는 중소중견 및 대기업이 사회공학적 기법을 이용한 공격인 BEC의 수법에 대응하기 위한 방어책을 보유하고 있습니다. 엔드포인트 보안인 Worry-Free 비즈니스 시큐리티와 오피스스캔은 이상 파일 또는 스팸메일을 감지하고 악성 URL 차단을 통해 위협으로부터 보호합니다. Deep Discovery는 관련 악성 프로그램을 감지하고 시스템의 감염 및 정보 탈취를 방지합니다. 또한, Deep Discovery Email Inspector는 악성 첨부파일과 악성 URL을 차단하여 기업을 보호합니다.

관련 링크


원문: Company CFOs Targeted The Most By BEC Schemes




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


기업 CFO를 노리는 허위 송금 이메일, BEC

https://www.trendmicro.co.kr/kr/blog/company-cfos-targeted-bec-schemes/index.html



참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 21. 13:50



최근 발견된 랜섬웨어는 Troj/Ransom-DJC 일반적인 여타 랜섬웨어와는 확연히 다른 차이점이 있다. 위 그림과 같이 랜섬웨어에 의해 금전지불 웹페이지가 열렸을 때 돈을 내지 않고 제출(submit)을 클릭하면  웹페이지 왼쪽 하단의 메시지가 다음과 같이 변한다.




이 때 랜섬웨어가 작동한 이후 시스템에 보관된 중요 문서파일이 실제로 사라졌음을 볼 수 있다. 이는 파일을 암호화시키는 데서 그치지 않고 하나씩 삭제하기까지 하여 피해자에게서 기어이 돈을 받아내려는 수법이라고 볼 수 있다. 이 랜섬웨어가 요구하는 금액이 약 달러에 0.2BTC, 130 달러에 불과하여 랜섬웨어 금전요구의 일반적인 시세인 300~500달러에 훨씬 못 미친다는 점도 흥미롭다.




이제 이 신종 랜섬웨어를 극도로 태만하다는 의미를 가진 "boneidleware"이라고 부른다 .이 랜섬웨어는 파일을 암호화하지 않고 삭제시켜 버린다. 그렇기 때문에 돈을 지급하는 건 아무런 의미가 없다. 2012년 하반기 CryptoLocker 랜섬웨어가 등장한 이래 랜섬웨어는 적어도 돈을 지불하면 파일을 복구해준다는 일종의 불문율이 있었지만 boneidleware 이러한 틀마저 무시해 버린다. 이하에는 boneidleware에 국한되지 않는 랜섬웨어 전번에 대한 방지요령을 요약 소개한다.


• 자바스크립트 첨부물(확장자: .js)은 메모장(Notepad)으로 연다.

• 파일확장자 기만을 피하기 위해 파일확장자가 보이도록 설정한다.

• VBA 맬웨어를 방지하기 위해 인터넷에서 받은 문서파일에 대한 오피스 매크로 기능을 해제한다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>




Paul Ducklin, Ransomware that demands money and gives you back nothing!, 7. 13. 2016.

https://nakedsecurity.sophos.com/2016/07/13/ransomware-that-demands-money-and-gives-you-back-nothing/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 18. 15:16

위로가기