악성코드에 해당하는글 46

사이버보안 업계에서는 누군가 대규모 맬웨어공격을 성공시킬 때마다 그 배후자에 대해 분노와 경외감을 동시에 느끼는 것이 일반적이다. 랜섬웨어가 바로 그러한 경우다. 랜섬웨어는 2009년 초부터 서서히 번지기 시작했지만 랜섬웨어의 의미를 재정립하고 그 위협을 새로운 수준으로 끌어올린 건 바로 CryptoWall이다. 초기 랜섬웨어는 정상파일로 가장한 감염파일이 파일공유사이트를 통해 배포되는 식으로 전파됐다. 랜섬웨어가 다운로드되면 사용자 기기에서 실행되어 사용자 데이터를 암호화하거나 기기 자체를 잠가 버리게 된다. 여기에서는 CryptoWall이 전통적인 방어대책인 안티바이러스를 어떻게 회피했는지에 대해 살펴보고자 한다.

 

1단계: 사전작업

 

오늘날 모든 기업에서 가장 널리 사용되는 수단은 바로 커뮤니케이션이다. CryptoWall 제작자들은 공격진입지점으로 활용하기 위해 인터넷에서

(주로 마케팅사이트를 통해 알려지는) 공개된 회사 이메일주소를 수집해 왔다. 그리고 이들 이메일주소에 대해 피싱이메일이 전송됐다. 이들 피싱이메일은 수신자 측에서 중요 이메일이기 때문에 제대로 열람해야 한다고 착각하도록 위장됐다. 이들 이메일은 대체로 CryptoWall 랜섬웨어에 대한 직접다운로드 링크 또는 첨부물을 포함하고 있으며 물론 수신자는 이를 알지 못한다. 사용자가 이 링크나 첨부물을 클릭하는 즉시 암호화 과정이 개시된다. 아래는 booking.com 이메일로 위장된 랜섬웨어 첨부 이메일의 예시다.

 

Booking.com 이메일 예시

 

2단계: Cryptowall 4.0 최신버전 해부

 

Cryptowall 4.0

Md5 해시값: e73806e3f41f61e7c7a364625cd58f65

 

CryptoWall은 다음과 같은 시스템정보를 수집한다.

∘ ComputerName

∘ UserName

∘ SystemDrive serial number

∘ CPU INFO (using PROCESSOR_IDENTIFIER)

∘ Number of CPUs (using PROCESSOR_Level)

∘ Revision Number of CPU (using PROCESSOR_REVISION)

∘ OS Major version

∘ OS Minor version

∘ IsWow64

∘ Keyboard Layout

 

로딩된 모듈에는 윈도 Crypto API(CRYPTSP), 윈도7 Windows 7 Enhanced Cryptographic Provider(RSAENH)에 관련된 DLL이 있다. 이를 통해 CryptoWall이 암호화에 관련된 활동을 개시하리라는 사실을 짐작할 수 있다.



CryptoWall은 위 시스템정보를 활용하여 다음과 같은 API 시퀀스를 통해 피해자 PCmd5 해시를 생성한다.

∘ CryptAcquireContext

∘ CryptCreateHash ; Algorithm ID = CALG_MD5 0x00008003, hash key: nonkeyed algorithm (0)

∘ CryptHashData

∘ CryptGetHashParam

 

그 예시는 아래와 같다.




 

CryptoWall은 아래와 같은 API를 사용하여 새로운 프로세스인 Explorer.exe에 코드를 주입하게 된다.

∘ ZwCreateSection

∘ ZwMapViewOfSection

∘ ZwAllocateVirtualMemory

∘ ZwWriteVirtualMemory

∘ ZwProtectVirtualMemory

∘ ZwQueueApcThread

∘ ZwResumeThread

 

CryptoWall%APPDATA% 폴더의 원본파일에 대한 사본을 생성하고 AutoStart 레지스트리 입력을 생성하게 된다. 주입된 코드는 시스템 보호를 해제하는 역할을 하며 또한 시스템의 숨은 사본을 삭제하고 새로운 프로세스인 svchost.exe에 코드를 주입한다.

 

숨은 사본을 제거하여 파일복구서비스 불능화

 

- AV Limitation: - Emulation TimeOut

 

시스템복구 불능화

 

암호화과정은 svchost.exe에서 이어진다. 이 프로세스에서는 CnC(command and control, 명령통제) 서버와 통신하기 위해 필요한 명령을 구현한다. 또한 이상의 시스템정보를 수집하고 피해자 PCmd5 해시를 생성하여 이를 통해 CnC 서버와 통신하게 된다.

 

일부 CnC 서버:

 

CnC 서버

 

네트워크 커뮤니케이션은 HTTP를 사용하되 암호화된다. I2P URL을 통해 다음 I2P 프록시 중 하나에 접속을 시도하게 된다. 이 접속이 성공하면 POST 요청과 암호화된 스트링 요청을 전송하게 된다.


 

CryptoWall은 다음과 같은 정보를 설정파일 내부에 보관한다.

∘ Received public key binary data

∘ TXT

∘ HTML

∘ PNG

 

위 정보 중 마지막 3개 파일은 파일암호화 프로세스 이후 피해자 시스템의 각 폴더에 쓰여진다.

∘ Normal file behavior

∘ Payload after multiple layers of encryption

 

3단계 - 자동차에 열쇠를 놓고 나온 상황

 

자동차 안에 열쇠가 놓인 채로 문이 잠긴다면 무척 난감하다. 열쇠를 코앞에 두고도 방법이 없어서 따로 기사를 불러야만 하거나 도구를 기가 막히게 쓸 수 있어야만 한다. 랜섬웨어가 딱 이렇다. 사용자의 소중한 정보와 데이터가 인질로 잡혀 공개될 위기에 있는 와중에 이를 막기 위한 방법이 없기 때문이다.

 

HELP_YOUR_FILES.HTML

 

CryptoWall은 암호화를 끝내고 나서 사용자에게 상황을 설명하고 복호화수단 구매방법을 안내하는 메시지를 전송한다.

 

CryptoWall에 대해 보다 상세한 정보는 아래 링크 참조.

https://blog.threattrack.com/cryptowall-4-targets-bookings-com-customers/

 

 

4단계 랜섬웨어 대비솔루션 모색

 

다행인 점은 바로 CryptoWall 감염의 징후가 발견된다면 이를 막을 수 있는 기회가 적지 않다는 것이다. 우선 이메일의 경우 기존 보안대책을 회피하는 맬웨어를 포착하도록 설계된 지능형 이메일보안솔루션은 랜섬웨어를 유포시키는 랜섬웨어나 취약점악용을 탐지할 수 있는 훌륭한 방책이다. 이를 통해 CryptoWall에 의한 데이터 탈취 및 암호화를 방지할 수 있다. 그리고 네트워크 방어를 강화할 수도 있다. 발견된 위협을 식별하고 이를 네트워크 이상활동과 연관시키는 지능형 보안솔루션은 데이터를 지킬 수 있는 중요한 자산이다. ThreatTrack이 개발한 ThreatSecure Network는 엔드 간 네트워크 가시성을 제공하며 실시간탐지를 통해 랜섬웨어 배포 그리고 이에 대한 CnC 서버와 관련된 악성 IP 주소를 거치는 트래픽을 잡아낼 수 있다.


<참고: ThreatTrack 보안솔루션>




ThreatTrack Security Labs, The Day the Earth Stood Still for CryptoWall, 5. 25. 2016.

https://blog.threattrack.com/the-day-the-earth-stood-still-for-cryptowall/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 1. 14:13

로키(Locky) 랜섬웨어는 오늘날 가장 널리 퍼진 스팸 맬웨어다. 로키 맬웨어의 활동은 2015년부터 개시됐으나 본격적인 전파는 20161월 이후였으며 그 이후로 사그러들지 않고 있다. 로키 랜섬웨어 이메일은 대체로 zip 압축파일이 첨부되며 이 파일의 압축을 풀면 문서나 자바스크립트가 나오게 된다. ThreatTrack 측에서 수집한 로키 랜섬웨어는 실행파일을 다운로드 및 실행할 수 있는 자바스크립트를 포함하고 있었다. 여기에서는 이 실행파일을 중심으로 로키 랜섬웨어를 분석하고 최신 버전을 살펴보고자 한다.


맬웨어제작자가 전송한 스팸메일

 

기본 감염과정 및 파일해시

1582A0B6A04854C39F8392B061C52A7A zip 첨부물

59D2E5827F0EFFE7569B2DAE633AFD1F zip에서 추출된 자바스크립트

F79C950FA3EFC3BB29A4F15AE05448F2 자바스크립트로 다운받은 로키 실행파일

 



기본 감염과정 및 파일해시

 

감염징후

 

어떤 기기가 로키에 감염됐는지의 여부는 어렵지 않게 발견할 수 있다. 아래 그림은 로키에 감염된 윈도XP 기기의 데스크탑 바탕화면을 나타낸다.

 

로키에 감염된 컴퓨터의 바탕화면

 

로키에 감염된 파일은 .locky라는 확장자가 들어가게 되며 감염된 사용자의 개인ID가 파일명 앞에 붙게 된다. 본 실험에서는 MD5 해시값인 8B74B4AA40D51F4A가 붙는다. 또한 _HELP_instructions.txt라는 텍스트파일에는 위 바탕화면에 표시된 내용과 동일한 메시지가 들어 있다.

 

로키 암호화파일

 

로키는 HKCU\Software에 암호화된 사용자고유 레지스트리키를 생성한다. 레지스트리값에 대한 상세내용은 아래에 설명한다. 본 실험에서 생성된 키는

8W21gQe9WZ3tc.

 

암호화된 사용자 개인키

 

합의금지급 안내

 

사용자는 TOR 브라우저를 설치하여 아래 합의금지급 웹페이지에 접속하라는 안내를 받게 된다. 이 때 비트코인 지갑이 있어야 하며 지정된 비트코인 주소로 1.5비트코인을 전송해야 한다.

 

로키 랜섬웨어 합의금지급 페이지

 

자바스크립트 59D2E5827F0EFFE7569B2DAE633AFD1F 소개

 

본 자바스크립트를 텍스트편집프로그램으로 열면 아래와 같이 표시된다.

 

자바스크립트

 

본 자바스크립트는 GET을 통해 http://goldish[dot]dk/o2pds로부터 명령을 다운받고 이를 %Temp%에서 실행시킨다. 이 실행파일은 %Temp% 폴더에 들어 있지 않으면 정상 작동하지 않는다.

 

실행파일 F79C950FA3EFC3BB29A4F15AE05448F2 상세분석

 

Upatre, Dridex, Crypto와 마찬가지로 로키 실행파일 역시 지표(시그내쳐) 탐지를 회피하기 위해 어느 정도 암호화돼 있다.

 

복호화 최종단계에서는 RTLDecompressBuffer API를 통해 실행파일의 압축을 풀게 된다. 이 방식은 Upatre 그리고 Necurs 룻킷 다운로더에서도 사용된 바 있다.

 

RTLDecompressBuffer API


압축이 풀린 로키 실행파일의 MD5 해시값은 F35D01F835FC637E0D9E66CD7E571C06이다.

 

실행파일은 우선 아래와 같은 CnC 서버 IP주소를 복호화한다.

 

중앙통제(CnC) 서버 IP주소

 

실행파일은 API GetWindowsDirectoryA를 통해 윈도 디렉토리를 받는다. 이는 API GetVolumeNameForVolumeMountPointA의 기준으로 사용된다. 이 함수는 감염대상 기기의 윈도폴더에 연관된 volume GUID 경로를 받게 된다.

 

윈도 디렉토리

 

GUID는 로키 랜섬웨어가 사용자의 고유ID를 확보하기 위한 기반 역할을 한다.

 

우선 로키 실행파일이 API CryptHashData에 대해 GUID를 활용한다.


API CryptHashData

 

로키 실행파일은 기기에 대한 고유ID(8B74B4AA40D51F4A)를 확보하기 위해 API CryptGetHashParam를 활용하여 GUID 관련 고유ID를 얻게 된다. hex 덤프를 보면 첫 8바이트를 확인할 수 있다.

 

API CryptGetHashParam

 

이렇게 확보된 고유ID는 본 실험에서 사용된 로키 버전의 신규 레지스트리키와 관련된다. 이제 ID는 체크섬을 통해

로키 실행파일이 설치한 스트링루틴으로 변환되어 레지스트리키로 사용될 스트링을 확보하게 된다. 본 실험에서 신규 레지스트리값이 이전 버전에서 쓰였던 Locky가 아닌 8W21gQe9WZ3tc인 이유가 바로 여기에 있다.

 

신규 레지스트리키

 

CnC 통신

로키 실행파일은 http://<IP/Domain>/submit.phpPOST 요청을 전송하며 이 때 쓰이는 명령과 파라미터는 다음과 같다.

 

Commands --- Parameters (Remove the <>)

&act=getkey&affid= --- id=<>,&lang=<>,&corp=<>,&serv=<>,&os=<>,&sp=<>,&x64=<>

&act=gettext&lang= --- id=<>

&act=stats&path= --- id=<>,&encrypted=<>,&failed=<>,&length=<>

 

&act=getkey&affid= 명령에 대한 파라미터 예시(암호화 생략)

id=8B74B4AA40D51F4A&act=getkey&affid=1&lang=en&corp=0&serv=0&os=Windows+XP&sp=3&x64=0

 

이들 명령은 API HttpSendRequestA를 통해 암호화된 상태로 CnC 서버에 전송된다. 실행파일은 또한 API InternetReadFile을 통해 암호화된 응답을 수신한다.

 

CnC 서버 명령창


로키 실행파일은 CnCgetkey 명령을 보내고 나서 공개 RSA키를 통해 암호화된 메시지와 getkey 명령을 복호화하게 된다. 아래 그림을 통해 암호화 과정 일부를 볼 수 있다. 공개 RSA키는 ASC에 들어간다.

 

복호화과정

 

사용자기기에 공개키 저장

 

로키 실행파일은 RSA 공개키를 암호화하고 해당 체크섬은 스트링으로 변환되며 이는 레지스트리키가 생성된 과정과 동일하다. 이는 HKCU\Software에 있는 레지스트리키에 바이너리값으로 저장된다. 값의 이름은 270CwQa9XuPIc7이다.

 

RSA 공개키 암호화

 

사용자에 대한 메시지

 

그리고 CnC&act=gettext&lang= 명령이 전송된다. 로키 랜섬웨어는 이를 통해 데스크탑 배경화면 그림과 동일한 내용의 메시지를 받게 된다.

 

로키 랜섬웨어 메시지

 

드라이브, 네트워크리소스, 암호화대상 파일 수집

 

네트워크 공유 및 리소스

로키 실행파일은

WNetOpenEnumW, WNetEnumResourcesW, WNetAddConnection2,

WNetCloseEnum API를 통해 아래와 같은 3종의 리소스를 파싱했다.

#define RESOURCE_CONNECTED 1

#define RESOURCE_GLOBALNET 2

#define RESOURCE_REMEMBERED 3

 

각종 리소스유형에 대한 NetResource 파싱과정의 용도는 아래와 같다.

 

NetResource 파싱 과정


아래 그림은 분석대상 기기에서 공유폴더기능을 켤 때 실행파일이 해당 공유폴더에 접속하여 나중에 공유폴더에 있는 파일까지 암호화할 수 있도록 준비하는 모습을 보여준다.

 

공유폴더 파일 암호화

 

실행파일은 다음으로 GetLogicalDrives 그리고 GetDriveTypeW API를 통해 암호화대상 드라이브를 수집한다. 본 실험에서는 C:\ 드라이브가 수집됐다.

 

C드라이브 암호화

 

마지막으로 위에서 수집한 드라이브와 리소스를 토대로 폴더별로 파일을 암호화할 쓰레드가 생성된다.

 

로키 랜섬웨어 프로세스 최종단계

 

데이터복구 차단 위한 숨은 사본 삭제

 

로키 실행파일은 다음으로 아래 명령을 실행하여 모든 숨은 사본을 삭제한다.

vssadmin.exe Delete Shadows /All /Quiet

 

Crypto 등 다른 랜섬웨어 또한 동일한 명령을 사용했다.

 

파일암호화 프로세스 - 쓰레드 생성

 

본 과정의 첫 단계는 기기의 파일 및 디렉토리를 파싱하는 것이다. 로키 실행파일은 암호화대상 파일에 대한 참고로서 메모리공간을 할당한다.

 

허용목록 확인

로키는 감염대상 기기의 디렉토리를 파싱하면서 각 파일의 파일명을 이하의 허용목록 스트링과 대조하게 된다. 아래와 같은 스트링을 포함한 파일이름은 암호화되지 않게 된다.

@_HELP_instructions.bmp, _HELP_instructions.txt, _Locky_recover_instructions.bmp, _Locky_recover_instructions.txt, tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

 

차단목록 확인

로키 실행파일은 또한 암호홛상 파일의 확장자를 확인한다. 아래와 같은 확장자를 가진 파일은 암호화된다.

.001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .ARC, .CSV, .DOC, .DOT, .MYD, .MYI, .NEF, .PAQ, .PPT, .RTF, .SQLITE3, .SQLITEDB, .XLS, .aes, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .docb, .docm, .docx, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .ms11 (Security copy), .n64, .odb, .odg, .odp, .ods, .odt, .onetoc2, .otg, .otp, .ots, .ott, .p12, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .pptm, .pptx, .psd, .pst, .qcow2, .rar, .raw, .rb, .sch, .sh, .sldm, .sldx, .slk, .sql, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip, wallet.dat (filename specific)

 

파일암호화 프로세스 API 및 함수 수준 개관

 

로키 랜섬웨어가 AES RSA 암호화를 사용한다는 자체 주장은 일단 맞다. 암호화과정에서 CryptGenRandom 그리고 CryptEncrypt Crypto API가 사용된다. 또한 이 프로세스에서 aesenc 그리고 aeskeygenassisst를 사용하는 함수가 발견되기도 했다.

 

API 개관

 

암호화된 로크 파일의 최종 0x344바이트 해부

 

 

아래 그림을 보면 최종 0x344바이특 파일 말단에 쓰여진다. 4바이트는 실행파일에 의해 하드코딩된다. 본 실험에서는 이 부분이 로키 랜섬웨어 제작자가 사용자파일을 암호화한 실행파일의 버전을 확인하는 일종의 식별부호라고 추측했다.

 

하드코딩된 0x8956FE93

 

파일 위에 쓰기

 

다음 0x10바이트는 물론 사용자의 고유ID. 다음 0x100바이트는 CryptEncrypt API의 결과물이다. 마지막 0x230바이트는 위에서 언급한 AESENC 함수로부터 생성됐다.

 

감염 최종단계

로키 실행파일은 파일을 암호화한 모든 폴더 위치에 _HELP_instructions.txt 파일을 생성하게 된다. 또한 합의금지급 안내를 담은 비트맵 이미지파일을 생성하고 저장하여 이를 사용자 바탕화면으로 지정시킨다. 아울러 stats라는 액션을 CnC 서버로 전송하며 그 내용은 다음과 같다.

 

id=8B74B4AA40D51F4A&act=stats&path=c%3A&encrypted=1&failed=0&length=5912

Path = the infected Drive “C:\”

Encrypted = True

Failed = false

Length = number of files

 

마지막으로 최종 암호화 레지스트리값이 생성된다. 이는 과거 버전 로키의 Completed=Yes와 같다. 이를 통해 암호화된 레지스트리값에 대한 상세정보 3건이 완성된다.

 

암호화 최종단계

 

본 실험의 실행파일은 또한 도메인생성 알고리즘도 가지고 있었는데 이는 로키 랜섬웨어가 발견된 이래 계속 있었다고 알려져 있다. 실팽파일은 최초에 복호화된 IP 주소로부터 응답을 받지 못할 경우 이 알고리즘을 사용하게 된다.

 

대처방안

 

ThreatSecure 제품을 사용하면 로키 랜섬웨어 실행파일의 다운로드를 차단할 수 있다. 아래 이미지는 ThreatSecure NetworkGET 과정을 통해 악성코드 다운로드를 탐지하는 장면을 보여준다.

 

ThreatSecure 구동

 

사용자는 이메일 첨부물을 열기에 앞서 ThratTrack의 동적 맬웨어분석 샌드박스솔루션인 ThreatAnalyzer를 사용하여 해당 파일의 악성여부를 조사할 수 있다. ThreatAnalyzeranalysis.xml이라는 이름의 파일에 조사결과를 기록한다. 이 결과를 통해 ThreatAnalyzer가 해당 실행파일이 랜섬웨어의 행동양상을 보였음을 알 수 있다.

 

.locky에 보관 및 암호화된 파일

 

ThreatAnalyzer 샌드박스를 통해 파일이 암호화됐음을 탐지할 수 있으며 Help Instructions 텍스트파일 또한 생성됐음을 확인할 수 있다.


도움말 텍스트파일

 

CnC 서버 IP주소로의 POST 명령 통신에 대한 네트워크 캡쳐

 

로키 실행파일이 외부로 나가는 접속을 개시했음을 확인할 수 있다.

 

CnC 서버 통신 네트워크 캡쳐

 

백업을 모두 삭제하는 Vssadmin.exe 실행프로세스 캡쳐

 

Vssadmin.exe 실행프로세스 캡쳐

 

HKCU\software에서 암호화 레지스트리값을 4Y0743Ngl로 설정

 

로키는 파일 암호화에 앞서 기기의 네트워크리소스를 측정하며 이 역시 암호화된다. ThreatAnalyzer는 이 행동 역시 포착했다.

 

로키 네트워크리소스 계산

 

이상을 통해 본 실험에서 쓰인 것과 같은 지능형 위협방지 솔루션이 랜섬웨어 감염 방지에 도움이 될 수 있다. 지능형솔루션을 통해 신종위협이 실제로 위해를 가하기 전에 이를 차단할 수 있다. 특히 ThreatAnalyzer의 샌드박스 기능은 사용자가 실수로 첨부물을 열였을 경우에 침입 및 잠재적 악성행동에 대한 징후를 기록할 수 있으며 이를 통해 나날이 증가하는 주요 랜섬웨어공격에 대한 방어를 한층 강화할 수 있다.

 

<참고: ThreatTrack 보안솔루션>




ThreatTrack Security Labs, Understanding the Latest Version of Locky Ransomware, 5. 18. 2016.

https://blog.threattrack.com/understanding-latest-version-locky-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 1. 13:53

랜섬웨어 위협이 나날이 커지고 있다. Cryptowall, TeslasCrypt, Locky 등 랜섬웨어 변종들은 막대한 피해를 유발했다. 그리고 최신 변종인 Petya는 더욱 교묘한 활동양상을 보인다.

 

Petya는 파일 암호화에 그치지 않고 시스템 자체를 먹통으로 만들어 피해자가 합의금을 지불할 수밖에 없도록 하며 파일시스템의 MFT(master file table)을 암호화하여 운영체제 불러오기 자체를 막아 버린다. MFTNTFS 파일시스템에서 핵심적인 파일로 NTFS 논리볼륨의 모든 파일기록과 디렉토리를 담고 있다. 각 기록에는 운영체제의 정상적 부팅을 위해 필요한 모든 요소가 들어 있다.

 

Petya는 다른 맬웨어처럼 구직원서에 드롭박스 링크가 포함된 스피어피싱 이메일을 통해 배포된다. 이 링크는 자동 추출되는 커버레터가 있다고 속임수를 쓰지만 실제로는 자동 추출되어 악성행동을 개시하는 실행파일이 들어 있다.


 Petya 다운로드파일


Petya 감염행동양상

 

Petya 랜섬웨어의 감염은 두 단계로 진행된다. 1단계에서는 MBR 감염과 암호화키 생성이 이루어져며 이 때 합의금 지불을 요구하는 메시지에 사용되는 복호화 코드도 생성된다. 2단계에서는 MFT가 암호화된다.

 

암호화 1단계  


 

감염 1단계 행동양상

 

MBR 감염은 DeviceIOControl API 지원으로 \\.\PhysicalDrive0 직접조작을 통해 진행된다. 먼저 기기 드라이버에 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 제어코드를 전송하여 루트드라이브 \\.\c의 물리적 위치를 알아낸다. 그리고 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 제어코드를 통해 \\.\PhysicalDrive0 확장디스크파티션 정보를 전송하게 된다.



 

악성코드는 XOR op코드 및 0x37을 통해 원본 MBR을 암호화시킨 다음 나중에 이용하기 위해 보관하게 된다. 또한 0x37이 들어 있는 34개의 디스크영역이 생성된다. 이후 PetyaMFT 감염코드가 실행된다. 56번 영역에는 암호화된 원본 MBR이 들어간다.

 



감염된 디스크



암호화된 원본 MBR

 

MBR 감염 이후에는 NTRaiseHardError 트리거링을 통해 의도적으로 시스템을 중단시킨다. 이는 BSOD 트리거링으로 이어져 시스템이 재시작되며 결국 감염된 MBR을 통해 부팅이 진행되는 결과가 된다.

 


BSOD 트리거링



BSOD

 

디스크의 덤프이미지를 조사한 결과 가짜 CHKDSK가 나타났으며 합의금 요구 메시지와 더불어 ASCII로 해골 모양이 표시됐다.



덤프 디스크 이미지

 

감염 2단계

 

2단계 감염코드는 16비트 아키텍쳐로 작성됐으며 BIOS 중단(interrupt) 신호를 이용한다. 감염코드는 시스템 부팅시 Petya 악성코드를 34번 영역에 있는 메모리로 불러온다. 우선 섹터의 첫 바이트가 0x0인지 조사함으로써 시스템이 이미 감염됐는지 판별한다. 아직 감염되지 않은 상태라면 가짜 CHKDSK가 표시된다.

 


가짜 CHKDSK

 

아래 메시지가 보인다면 이미 MFT 테이블이 salsa20 알고리즘을 통해 암호화됐음을 의미한다.




피해자는 부팅시 보는 화면



랜섬 메시지 및 안내

 

Petya 랜섬웨어 웹페이지

 

피해자가 개인 복호화키를 얻을 수 있는 웹페이지는 봇에 대한 방어를 갖추고 있으며 Petya 랜섬웨어 프로젝트가 개시된 시기에 대한 정보와 파일복구시 유의사항 그릭 FAQ 페이지를 포함하고 있다. 해당 페이지는 기이하게도 사용하게 편리하며 합의금 액수가 두 배로 인상되기 전까지 남은 시간을 보여주기도 한다.

 


랜섬 페이지 captcha



Petya 홈페이지

 

또한 Petya에 대해 경고하는 여러 안티바이러스 업체의 블로그와 뉴스기사 등 다양한 뉴스 피드도 들어 있다.

 



아울러 비트코인 구매방법 등 합의금을 지불하는 과장에 대한 단계별 안내도 나와 있다. 피해자가 돈을 지불하는 과정에서 문제가 생길 경우에 대비한 웹지원 창구까지 마련돼 있다. Petya의 요구금액이 다른 랜섬웨어에 비해 저렴한 편이란 사실도 주목할 만하다.



 

합의금지불 4단계에서는 Petya 측에서 입금을 받았는지 확인할 때까지 다음 버튼이 비활성화 상태가 된다.

 

이하는 ThreatTrackThreatSecure Network 대시보드에서 Petya를 차단한 모습이다. ThreatSecure와 같은 툴을 통해 이러한 공격을 실시간으로 감지 및 방해할 수 있다.

 


ThreatSecure Network에 의한 Petya 랜섬웨어 적발

 

<참고>유료안티바이러스 http://storefarm.naver.com/softmate

<참고>ThreatTrack 보안소프트웨어 http://softmate1.blog.me/220310999709


 



ThreatTrack Security Labs, A Glimpse at Petya Ransomware, 5. 3. 2016.

https://blog.threattrack.com/petya-ransomware/

 

번역: madfox




참고링크 


<랜섬웨어 차단 가능한 AVG 유료안티바이러스>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 5. 19. 16:15



 

요즘 랜섬웨어에 대한 관심이 뜨겁다. 수많은 미국 병원들이 랜섬웨어 공격을 받아 데이터를 상실하고 업무에 큰 방해를 받게 되어 언론에 보도되고 있는 상황이다. Hollywood Presbyterian Medical CenterCEO는 인터뷰를 통해 "시스템을 복구하기 위해 가장 빠르고 효율적인 방법은 바로 공격자의 요구대로 돈을 내는 것이었다."고 실토하기도 했다(비트코인으로 17천 달러).

랜섬웨어는 보통 이메일이나 웹사이트를 통해 퍼지는 악성코드로 강력한 암호화키(: 2048비트 RSA)를 통해 대량의 데이터를 암호화해 버린다. 그러고 나면 해당 데이터를 복호화하는 대가로 돈을 요구하게 된다. 여기에서는 랜섬웨어 공격을 방지하기 위한 10가지 요령을 소개한다.

 

1. 주기적으로 백업

데이터의 주기적 백업은 암호화된 파일을 복구할 수 있느 가장 빠른 방법이다. 백업도 감염되는 사태를 막기 위해서는 백업을 안전한 오프라인 공간(또는 클라우드솔루션)에 분리 보관해야 하며 읽기 전용으로만 설정해야 한다. 주기적으로 데이터무결성을 확인하여 백업데이터가 안전한지 확실히 할 필요도 있다.

주의: 백업대책의 복구과정을 실제로 시범한 적이 없다면 그 백업대책은 아무런 의미가 없다. 복구 불가능한 백업은 할 이유는 없기 때문이다.

 

2. 이메일보안솔루션을 통해 이메일첨부물 검사 및 차단

이메일첨부물을 검사하거나 특정 이메일첨부물 유형이 메일수신함에 도달하기 전에 차단하는 이메일보안솔루션은 랜섬웨어 피해를 방지할 수 있는 훌륭한 방법이다. 여기에 더해 '실시간보호''실행시 검사'와 같은 기능을 갖춘 안티바이러스를 통해 백그라운드 의심활동을 모니터링할 수 있으며 사용자가 악성파일을 클릭하는 즉시 대응조치가 이루어질 수 있다.

 

3. 특정 사용자프로필 폴더에서 실행되는 실행파일(exe) 차단

엔드포인트에서 윈도 소프트웨어 제한정책(Software Restriction Policy)이나 침임방지 소프트웨어를 사용할 경우 다음 위치에서 실행파일이 실행되지 않도록 해야 한다. 이들 폴더 및 하위폴더는 랜섬웨어가 악성프로세스를 호스팅하는 위치로 알려져 있다.

%userpro

%appdata%

%localappdata%

%ProgramData%

%Temp%

이 때 규칙은 "전체 차단, 일부 허용(block all, allow some)"으로 설정하여 기본 행동은 특정 어플리케이션을 허용하지 않는 이상 모든 실행파일을 차단하도록 해야 한다.

: ThirdTier의 랜섬웨어방지킷(Ransomware Prevention Kit)은 다양한 그룹정책과 정보 등 리소스를 제공하며 이를 통해 랜섬웨어 위협을 줄이고 위에 소개한 규칙을 적용할 수 있다.

 

4. 주기적으로 꾸준히 패치 설치

랜섬웨어의 가장 흔한 감염경로는 바로 소프트웨어 취약점이다. 운영체제, 브라우저, 사무어플리케이션(: MS오피스), 방화벽, 네트워크기기의 패치를 최신으로 유지하여 랜섬웨어 위험을 줄일 수 있다.

 

5. 의심 외부트래픽 모니터링 및 차단

침입탐지&방지시스템(Intrusion Detection and Prevention System, IDPS)은 의심 외부트래픽을 모니터링하고 사용자에게 경고하거나 일정한 조치(: 연결차단 또는 방화벽 재설정)를 실행할 수 있다. 이 정보를 위협정보 공유그룹과 연계시킨다면 보안인프라를 강화하여 네트워크에서 랜섬웨어의 통신활동을 곤란하게 할 수 있다(랜섬웨어와 공격자측의 통신 차단).

 

6. 권한부여 최소화

어떤 랜섬웨어가 관리자 보안권한을 통해 실행된다면 더욱 큰 피해를 야기하고 보다 광범위하게 퍼질 수 있다(: 네트워크드라이브, 공유폴더, USB기기에 보관된 데이터 암호화 가능). 사용자가 작업에 필요한 정도로만 최소한의 권한을 가지고 로그인하도록 권한부여를 최소화함으로써 랜섬웨어의 공격피해를 감소시키고 전파위험도 줄일 수 있다. 어떤 랜섬웨어는 권한수준을 상승시키려 시도하기도 하지만 대부분의 경우 실행된 당시의 보안권한을 따르게 된다. 권한을 최소화시키면 사용자가 관리자권한으로 명령을 실행하거나 어플리케이션을 설치/삭제하고자 할 경우 계정정보를 직접 입력해야만 그 작업에 필요한 시간 동안만 해당 권한수준을 획득할 수 있게 된다.

 

7. "알려진 파일유형 확장자 숨김" 해제

랜섬웨어가 정체를 숨기는 방법으로 정상적인 파일유형으로 위장하는 수법이 있다. 예를 들어 PDF 문서로 위장하는 파일의 경우 "Invoice.pdf.exe"라는 파일이름을 가질 수 있다. 이 경우 "알려진 파일유형 확장자 숨김"이 적용된다면 이 파일의 이름은 "Invoice.pdf"로 보이게 된다. 이러한 확장자 숨김 옵션을 해제하면 의심파일을 보다 용이하게 포착할 수 있다.

 

8. MS오피스 어플리케이션 보안설정 강화

Locky라는 이름의 최신 랜섬웨어 변종은 악성매크로를 통해 공격수단을 다운로드받아 실행하게 된다. 그룹정책을 통해 매크로 사용을 차단하거나 "전자서명된 매크로 제외한 모든 매크로 차단(Disable all macros except digitally signed macros)" 옵션을 설정할 수 있다. 이와 유사하게 액티브X와 외부컨텐츠(External Content) 설정을 "사용자선택(Prompt)"이나 "차단(Disabled)"으로 설정할 수 있다(사용자 환경의 업무상 필요에 따라).

 

9. 사용자 보안교육

랜섬웨어 방지대책의 최종단계에는 바로 사용자가 있다. 부주의한 사용자가 맬웨어를 다운로드하고 실행하는(이메일첨부물 열기, 악성링크 클릭 등) 과정이 없다면 랜섬웨어는 결코 큰 효과를 보기 어렵다. 사용자에게 모범적 행동요령 그리고 위협을 어떻게 포착할지에 대해 교육한다면 소셜엔지니어링 공격에 당할 가능성을 줄일 수 있다. 특히 강조해야 할 부분은 다음과 같다.

알지 못하는 송신자가 보낸 이메일첨부물을 열지 말 것

알지 못하는 송신자가 보낸 이메일의 링크를 클릭하지 말 것

이메일 본문의 도메인 철자오류 확인(: microsoft.com이 아닌 rncom로 표기)

이메일 제목 및/또는 본문의 철자오류 및 형식오류 확인

의심스러운 파일이나 이메일이 있으면 IT 지원창구나 정보보안팀에게 연락

 

10. 인터넷다운로드 전량검사

웹모니터링 및 스캔 솔루션을 사용하여 인터넷다운로드를 전량 검사해야 한다. 이를 통해 알려진 악성사이트에 대한 사용자 접속을 방지할 수 있으며 특정 파일유형을 검사 또는 차단할 수 있다. 피싱이메일이 실제로 침투하거나 사용자가 악성링크를 클릭하게 돼도 GFI WebMonitor와 같은 웹모니터링 및 스캔 솔루션이 있다면 악성사이트 접속이나 파일다운로드를 차단할 수 있다.

 

위 내용이 너무 많다면...

다소 진부한 말일 수 있으나 랜섬웨어 방지에 대해 다층적인 접근방식을 취할 때 감염을 피할 가능성을 극대화할 수 있다. 이러한 다층접근방식을 구체적으로 풀어 랜섬웨어 방지요령을 요약할 때 이에 따른 권고사항은 다음과 같다.

1. 확실한 백업 및 복구 계획이 마련되어 있어야 한다. 이를 통해 랜섬웨어 감염이 발생한다 해도 암호화되지 않은 최신사본을 통해 사고를 극복할 수 있다.

2. 랜섬웨어의 가장 보편적인 공격경로인 이메일과 인터넷다운로드에 대한 보안을 강화함으로써 랜섬웨어 노출을 최소화(GFI MailEssentials이나 GFI WebMonitor와 같은 솔루션을 통해 이메일 및 인터넷다운로드 보안 강화 가능)

3. 네트워크에 침투한 랜섬웨어에 대한 가시성을 높이는 방향으로 설정과 정책을 적용하여 의심스러운 파일이나 활동을 탐지하고 맬웨어가 성공적으로 실행될 가능성을 줄인다.

4. 무엇보다도 사용자들이 의심되는 상황을 감지하고 그런 상황에서 어떻게 행동할지에 대해 교육하는 것이 가장 중요하다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Andrew Tabona, 10 ways to prevent ransomware from damaging your business, 4. 28. 2016.

http://www.gfi.com/blog/10-ways-to-prevent-ransomware-from-damaging-your-business/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 5. 9. 14:45



필자는 최근 돈 버는 해킹을 통해 해커들이 어떻게 수익을 만들어 내는지 다룬 바 있다. 그 주된 수법 중 하나로 갈취가 있으며 악당들이 고객데이터를 유포하는 등의 피해를 막기 위해 대형 은행들이 엄청난 비용을 치르는 사례는 어제 오늘 일이 아니다.

 

랜섬웨어는 이러한 수법을 실행하는 신종 기술이며 이에 대한 가장 최근의 사례로 Breaking Bad를 들 수 있다. 랜섬웨어의 악성코드는 피해자의 데이터를 암호화해 버리며 해커는 피해자가 돈을 낼 경우에만 해당 데이터의 암호화를 풀어 준다. Breaking Bad의 이름은 인기 TV시리즈의 제목을 따 왔으며 호주에서 피해자에게 1천 달러(호주달러)를 요구하는 식으로 활동사례가 목격됐다. 다른 맬웨어처럼 Breaking Bad 역시 계속하여 퍼지고 변형된다.

 

Breaking Bad 랜섬웨어는 사진, 문서, 동영상을 암호화하여 일반대중을 표적으로 삼는다. 사진의 경우 상당수가 피해자에게 소중한 가치를 가지며 디지털 자료이기 때문에 물리적 사본이 없는 경우가 대부분이어서 피해자인 말단사용자 입장에서는 비싼 비용을 감수해서라도 데이터를 보호하고자 하게 된다.


랜섬웨어의 갈취위협은 다음과 같은 모습이다.

 



Breaking Bad는 처음이 아니다

 

물론 Breaking Bad가 최초의 랜섬웨어는 아니다. 랜섬웨어의 예전 사례로 2014년 악명을 떨쳤던 Cryptolocker가 있는데 데이터를 암호화할 뿐 아니라 신용카드번호를 탈취 및 사용할 수도 있었다. Cryptolocker는 컴퓨터에 침투하여 데이터를 암호화한 후 비트코인으로 650달러에 달하는 금액이 지불되고 나서야 암호화를 풀어 준다. Cryptolocker 25만대에 달하는 기기에 침투했다고 한다.


 

위협을 막는 방법

 

이러한 유형의 갈취 위협은 나날이 늘어나고 있는데 대체로 잠재적 피해자가 어떻게 행동하는지에 따라 그 위험성이 크게 달라진다.

 

IT분야에는 두 가지 부류의 사람들이 있다. 컴퓨터 전문가라도 경험이 적다면 이러한 악성 어플리케이션에 의한 갈취 또는 절도로 인해 회사에 수백만 달러의 피해가 발생할 수 있음을 아는 데 그치고 어떤 조치가 필요한지는 알지 못한다. 제대로 된 보안전문가들은 공격을 차단하거나 약화시킬 수 있는 방법을 알고 있지만 일반소비자의 경우 대비가 취약한 경우가 많다.

 

하지만 누구든 랜섬웨어의 피해자가 될 이유는 없으며 철저한 보안수칙 실천과 강력한 보안소프트웨어의 조합을 통해 랜섬웨어의 위협을 차단할 수 있다. 안티바이러스를 비롯한 모든 소프트웨어가 빠짐없이 패치되어 최신으로 유지되도록 해야 한다. 또한 안티바이러스가 수시로 업데이트되어 새로운 위협을 잡아낼 수 있어야 하며 하나의 안티바이러스 엔진에만 의존하지 않는 것도 중요하다.

 

회사를 보호하려면 GFI 메일에센셜과 같은 보안툴이 필요하다. GFI 메일에센셜은 최대 5기의 주요 안티바이러스 엔진을 장착하여 최고의 방어를 제공한다. 빗디펜더와(BitDefender) 바이퍼(VIPRE) 안티바이러스가 기본 제공되며 카스퍼스키(Kaspersky), 맥카피(McAfee), 아바이라(Avira) 엔진을 추가하여 방어를 더욱 강화할 수 있다.

 

아울러 GFI 메일에센셜은 이메일서버로 들어오는 모든 내용을 모니터링할 수 있으며 악성 첨부물이 사용자에게 도달하기 전에 차단할 수 있다. GFI 메일에센셜을 가지고 Breaking Bad와 같은 맬웨어를 담은 스팸을 99.9% 차단할 수 있다.

 

기타 팁:

신뢰할 수 없는 출처에서 온 첨부물은 열지 않도록 교육

데이터를 백업하여 암호화에 걸린 경우에도 사본이 있도록 대비

.exe 파일 다운로드 차단

안티맬웨어 솔루션 업데이트 최신으로 유지, 여러 검사엔진 사용

 

GFI 메일에센셜을 통해 Breaking Bad 랜섬웨어와 같은 위협을 방지하고 IT전문가의 업무부담을 경감할 수 있다. 다음 링크를 통해30일 무료시험판을 다운로드하여 써 보기 바란다.

http://www.gfi.kr 



COMMENT : 0 TRACKBACK : 0

날짜

2015. 10. 15. 21:17

안녕하세요?  요즘들어 가끔씩 서버용 백신 문의를 받습니다.

전 당연히 VIPRE 서버 백신을 추천하는데 가격을 보고 왜 이렇게 싼지? 문제는 정말 없는지 물어봅니다.

기능, 성능, 호환성, 편리성, 인지도, 수상경력... 이런것은 너무 뛰어난데.. 문제는 가격이 너무 싸다는 것이죠.

 

그래서 고객분들이 많이 물어보는 경우가 많습니다.  하지만 국내만 해외랑 비교해서 더 비싸게 판매하는것은

아니라고 생각합니다.

 

바이퍼 안티바이러스 비지니스는 일반 컴퓨터를 대상으로 제작 되었고 윈도우서버 2000부터 2012 최신버전까지

다 지원을 합니다. 그리고 맥 컴퓨터도 지원합니다.

 

따라서 일반컴퓨터와 서버용 컴퓨터 구분을 하지 않기 때문에 저렴한 가격으로 책정되어 판매하고 있습니다.

사용법과 인터페이스도 일반인을 상대로 했기 때문에 매우 편리하고 쉽게 되어 있습니다.

 

제일 좋은 방법은 직접 다운받아서 사용해 보시면 그 편리성을 쉽게 알 수 있습니다.

 

www.gfi.kr 홈페이지에서 다운로드 링크를 누르면 기본적인 정보를 묻습니다. 귀찮을 수 있으니 그냥 다운로드 페이지를

바로 링크 했습니다.

 

VIPRE 다운로드 페이지 : http://www.gfi.kr/front/php/newpage.php?code=11

 

그럼 간략하게 VIPRE Antivius Business 제품을 소개하겟습니다.

 

좀더 깔끔하게 자세한 사항을 보고 싶으시면 홈페이지 : http://www.gfi.kr/front/php/newpage.php?code=23 로 가시며 됩니다.

 

 

 

VIPRE Antivirus Server VIPRE Antivirus Business 제품의 서버용 버전으로 모든 기능은 VIPRE Antivirus Business와 동일합니다.
국내 및 해외의 백신프로그램 대부분은 서버용 버전을 따로 두어서 일반버전보다
수십 배 비싸게 판매하고 있습니다. 하지만 VIPRE Business 버전은 일반 컴퓨터 뿐만 아니라서 윈도우 2003, 2008, 2012등 모든 윈도우 서버를 지원하고 있습니다.
따라서 더 이상 50~100만원씩 하는 서버용 백신을 구입할 필요가 없습니다.

VIPRE Antivirus Sever라고 따로 이름을 붙인 것은 국내의 서버 사용자들에게 GFI Antivirus Business가 윈도우 서버를 지원 한다는 것을 쉽게 이해시키고 또한 서버 백신이 24,000원 밖에 하지 않음을 강조하기 위해서 따로 만들었습니다.

24,000원 짜리 서버백신이지만 그 기능과 세계 랭킹은 국내의 어떠한 백신보다 뛰어난 성능과 높은 랭킹기록을 가지고 있습니다. 


구입은 VIPRE Antivirus Business 제품과 동일하게 5유저 이상만 구매가 가능하지만 서버가 1대뿐이더라도 5유저를 구입해서 해당 라이선스를 이용하여 해당 서버에 설치하고 일반 컴퓨터에 4대까지 해당 라이선스를 사용하여 VIPRE 백신을 설치할 수 있습니다. 물론 최고의 효과를 얻는 것은 5대의 서버에 설치하는 것입니다. 물리적을 떨어져 있는 5대의 서버에도 구입한 라이선스로 각각 설치도 가능합니다.


 

특징

  • Antivirus for Window Servers: 윈도우 서버를 위한 강력한 백신 프로그램.
  • Low CPU and memory usage: CPU와 메모리를 거의 차지하지 않아 컴퓨터 성능에 영향을 주지 않음.
  • Mobile Device Management: 스마트폰, 스마트패드등 각종 모바일 기기의 연결 및 바이러스 차단 및 관리
  • Removable device scanning: USB를 이용한 각종 이동식 장치로 인한 바이러스 차단 및 탐지
  • Email Security: 메일을 통한 바이러스 차단 및 탐지


가격표

 

소프트웨어 및 하드웨어 지원 사양

 

 


=== 소프트웨어 및 하드웨어 지원 사양 ====


VIPRE Antivirus Business - System Requirements


Review the system requirements for VIPRE’s small-footprint, anti-malware software.


 


Management Console and VIPRE Site Service


Operating systems


  • Windows Server 2012 (including R2)

  • Windows Small Business Server 2011, 2008 and 2003

  • Windows Server 2008 SP2 and 2008 R2 (excluding Server 2008 Core)

  • Windows Server 2003 SP1+ (32- & 64-bit)

  • Windows 8 (32- & 64-bit)

  • Windows 7 (32- & 64-bit)

  • Windows Vista SP2 (32- & 64-bit)

  • Windows XP Professional SP3 (32- & 64-bit)

    Note: Embedded operating systems are not supported

     

    Hardware


  • Pentium III 400 MHz or higher

  • 300 MB free disk space

  • 512 MB memory

  • 1024 x 768 monitor resolution

    Miscellaneous


  • MDAC 2.6 SP2 or later

  • Internet Explorer 6 or later

  • Microsoft .NET Framework 3.5 (if not already installed, .NET will automatically install during installation)

    VIPRE Agent (Windows)

    Operating systems


  • Windows 8 (32- & 64-bit)

  • Windows 7 (32- & 64-bit)

  • Windows Vista, Vista SP1+(32- & 64-bit)

  • Windows XP Professional SP2+ (32- & 64-bit)

  • Windows Server 2012 (including R2)

  • Windows Small Business Server 2011, 2008 and 2003

  • Windows Server 2008 and 2008 R2 (excluding Server 2008 Core)

  • Windows Server 2003 SP1+ (32- & 64-bit)

  • Windows 2000 Server with SP4 RU1 or later (supports legacy 5.0 agents for upgrade only)

  • Windows 2000 Professional with SP4 RU1 or later (supports legacy 5.0 agents for upgrade only)

  • Windows Embedded for Point of Service (WEPOS) platforms

    Hardware


  • 300 MB free disk space

  • 512 MB memory

    Miscellaneous


  • Internet Explorer 6 or later

    Supported email applications


  • Outlook 2000+

  • Outlook Express 5.0+

  • Windows Mail on Vista

  • SMTP/POP3 (Thunderbird, IncrediMail, Eudora, etc.)

  • SSL supported in Outlook and Outlook Express only

    VIPRE Agent (Mac)

    Operating systems


  • OSX 10.6 (Snow Leopard)

  • OSX 10.7 (Lion)

  • OSX 10.8 (Mountain Lion)

  • OSX 10.9 (Mavericks)

    VIPRE Business Mobile Security

    Operating systems


  • Android 2.2 and above

  • iOS 5.1.1 and above


다음은 타 백신과의 비교 화면 입니다. 

 

 

세계적인 수상 및 인증 경력 입니다.

 

 

 

좀 더 자세한 내용은 홈페이지를 참조하시고 문의 사항이 있으면 전화 : 02-866-5709 로 하시면 됩니다.

제일 좋은 방법은 직접 다운받아 설치해서 시험버전을 사용해 보시는 겁니다.

 

감사합니다.

 

 

 

 

 

 

 

 

 

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2015. 9. 5. 18:49

위로가기