Locky에 해당하는글 7

Zepto는 최신 랜섬웨어 변종으로 유명한 로키(Locky) 랜섬웨어와 상당히 유사하며 특히 Zepto 랜섬웨어에 대한 합의금 지불 페이지로 들어가면 아래와 같은 메시지를 볼 수 있다. Zepto와 로키의 차이는 암호화시킨 파일의 확장자가 .locky가 아닌 .zepto가 된다는 데 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


 


Zepto 감염과정

 

Zepto는 이메일에 zip 압축파일 또는 docm 문서파일로 첨부돼 피해자 컴퓨터에 도달한다.


 


zip 압축파일을 열면 .js(자바스크립트) 확장자를 가진 파일을 열게 된다. 문서처럼 보이는 파일의 형식이 자바스크립트라는 점이 다소 이상할 수 있지만 윈도 운영체제는 기본적으로 .js 확장자를 숨기고 해당 파일을 텍스트파일처럼 보이게 한다. 이 파일을 열먼 스크립트 프로그램이 실행되어 .exe 형식 랜섬웨어가 다운되고 실행된다. 한편 docm 파일을 열면 마이크로소프트 워드가 기본 실행된다.


 

한편 docm은 매크로문서(document with macros)의 약자를 딴 파일형식으로 VBA(Visual Basic for Applications, 어플리케이션 비주얼베이직)로 작성된 내부 스크립트를 포함하고 있다. VBA는 자바스크립트와 많은 부분에서 유사한 프로그래밍 언어며 맬웨어 배호 등 다양한 목적으로 활용될 수 있다. 오늘날 마이크로소프트 워드에서는 매크로가 기본적으로 실행되지 않지만 Zepto 랜섬웨어의 경우 옵션을 통한 보안설정 변경을 유도하기 위해 아래와 같이 매크로를 허용하여 보안을 향상해야 한다는 식의 메시지를 띄운다. 이 때 매크로를 허용하게 되면 자바스크립트 파일을 여는 경우와 마찬가지로 VBA 스크립트 실행을 통해 .exe 랜섬웨어가 다운로드된다최근 사례에서는 아래와 같이 빈 문서에 VBA 매크로가 숨겨진 경우도 발견됐다.


 

Zepto는 로키와 비슷하게 우선 공격자가 운영하는 웹서버와 통신하여 암호화키를 다운받는다. 암호화된 데이터파일은 조작되고 이름 또한 변경돼 다음과 같이 보이게 된다.

 

FA3D5195-3FE9-1DBC-E35E-89380D21F515.zepto

FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto

FA3D5195-3FE9-1DBC-1683-7BF4FD77911D.zepto

FA3D5195-3FE9-1DBC-30B9-E2FF891CDB11.zepto

 

각 파일 이름의 전단 부분은 모든 파일에 대해 동일하며 피해자가 돈을 지불할 때 공격자 측에서 그 피해자를 식별하는 역할을 판다.

 

파일 암호화가 완료되면 Zepto는 지불방법(how to pay) 메시지를 띄워 돈을 지불하면 파일을 복구할 수 있음을 알린다. 이 메시지는 데스크탑 배경화면, 윈도 포토뷰어(Photo Viewer)로 열리는 이미지, 파일이 암호화된 디렉토리에 생성되는 HTML 페이지의 형태로 나타난다. 지불방법 메시지에 나오는 개인식별 ID는 암호화된 파일 이름 전단과 동일하다.


 


감염 대처요령

자바스크립트 첨부물을 파일탐색기(Explorer).js 파일을 메모장으로 열도록 한다.

조작된 파일확장자를 식별하려면 파일탐색기를 통해 파일확장자가 보이도록 한다.

VBA 랜섬웨어 방지하려면 오피스가 인터넷에서 다운받은 문서에서 매크로를 실행하지 않도록 설정

랜섬웨어 방지 참고자료(PDF 문서):

https://www.sophos.com/en-us/medialibrary/Gated%20Assets/white%20papers/sophosransomwareprotectionwpna.pdf?la=en

랜섬웨어 방지 참고자료(팟캐스트):

https://nakedsecurity.sophos.com/2014/11/25/sophos-techknow-dealing-with-ransomware/


 

 

Paul Ducklin, Is Zepto ransomware the new Locky?, 7. 5. 2016.

https://nakedsecurity.sophos.com/2016/07/05/is-zepto-ransomware-the-new-locky/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.08 13:20



오늘날 랜섬웨어는 로키(Locky), SamSam, JIGSAW, CryptoLocker 등 그 종류도 다양하며 특히 회사 입장에서는 감염될 경우 최악의 결과를 불러올 수 있다. 랜섬웨어는 파일, 웹브라우저, 어플리케이션, 심지어는 운영체제 전체에 대한 접근을 차단하여 기업운영을 인질삼아 돈을 뜯어낸다.

 

AVG 솔루션은 다중보안방식을 채택하여 여러 단계의 조사와 테스트를 통해 랜섬웨어를 비롯한 다양한 맬웨어를 식별하고 제거할 수 있다. AVG 다중보안방식은 여러 종류의 조사 및 탐지 기술을 통해 파일의 악성 여부를 판별한다. 이 기술은 AVG 안티바이러스 비즈니스에디션(Antivirus Business Edition) 및 인터넷시큐리티 비즈니스에디션(Internet Security Business Edition) 제품군에 적용됐다. AVG 다중보안 프로세스의 상세내용은 다음과 같다.

대상파일을 맬웨어 데이터베이스에 등록된 맬웨어와 비교 메타데이터 및 파일내용 분석

에뮬레이터(가상환경)에서 대상파일 테스트

대상파일 실행 과정에서 인공지능 알고리즘 등 다양한 기술 통해 행동 분석

AVG 어플리케이션 및 클라우드를 통해 백그라운드에서 실시간으로 행동분석이 진행되어 대상파일의 악성여부 판단

대상파일이 맬웨어로 판명된 경우 격리되고 AVG 크라우드정보망(Crowd Intelligence) 통해 전체 AVG 소프트웨어 업데이트


<참고: AVG 안티바이러스 Locky 랜섬웨어 차단사례>


AVG는 또한 보안소프트웨어를 외부 테스트기관에 주기적으로 제출한다. 이들 테스트기관에서의 검증결과는 AVG 보안기술과 다중보안의 효용성을 뒷받침해준다. AVG 비즈니스 제품군은 최근 AV-Test 테스트에서 6점 만점에 6점으로 최고 점수를 획득했다. 아울러 최근 AV Comparative 실제환경보호성능 테스트 결과 99.8%의 탐지율을 기록했다.

 

오늘날 사이버공격의 모든 양상을 예상하고 방지하기는 쉬운 일이 아니지만 끊임없이 진화하는 위협에 맞서기 위해서는 다중보안이 최적의 방식이라고 할 수 있겠다.

 

AVG 비즈니스에디션 솔루션에 대한 상세정보는 다음 링크 참고.


<참고: 랜섬웨어 차단 AVG 안티바이러스 비즈니스에디션>

 

 

 

Fred Gerritse, Multi-layered Security Approach Battles Ransomware, 5. 3. 2016.

http://now.avg.com/multi-layered-security-approach-battles-ransomware/

 

번역: madfox



 

참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016.06.16 13:23

로키(Locky) 랜섬웨어는 오늘날 가장 널리 퍼진 스팸 맬웨어다. 로키 맬웨어의 활동은 2015년부터 개시됐으나 본격적인 전파는 20161월 이후였으며 그 이후로 사그러들지 않고 있다. 로키 랜섬웨어 이메일은 대체로 zip 압축파일이 첨부되며 이 파일의 압축을 풀면 문서나 자바스크립트가 나오게 된다. ThreatTrack 측에서 수집한 로키 랜섬웨어는 실행파일을 다운로드 및 실행할 수 있는 자바스크립트를 포함하고 있었다. 여기에서는 이 실행파일을 중심으로 로키 랜섬웨어를 분석하고 최신 버전을 살펴보고자 한다.


맬웨어제작자가 전송한 스팸메일

 

기본 감염과정 및 파일해시

1582A0B6A04854C39F8392B061C52A7A zip 첨부물

59D2E5827F0EFFE7569B2DAE633AFD1F zip에서 추출된 자바스크립트

F79C950FA3EFC3BB29A4F15AE05448F2 자바스크립트로 다운받은 로키 실행파일

 



기본 감염과정 및 파일해시

 

감염징후

 

어떤 기기가 로키에 감염됐는지의 여부는 어렵지 않게 발견할 수 있다. 아래 그림은 로키에 감염된 윈도XP 기기의 데스크탑 바탕화면을 나타낸다.

 

로키에 감염된 컴퓨터의 바탕화면

 

로키에 감염된 파일은 .locky라는 확장자가 들어가게 되며 감염된 사용자의 개인ID가 파일명 앞에 붙게 된다. 본 실험에서는 MD5 해시값인 8B74B4AA40D51F4A가 붙는다. 또한 _HELP_instructions.txt라는 텍스트파일에는 위 바탕화면에 표시된 내용과 동일한 메시지가 들어 있다.

 

로키 암호화파일

 

로키는 HKCU\Software에 암호화된 사용자고유 레지스트리키를 생성한다. 레지스트리값에 대한 상세내용은 아래에 설명한다. 본 실험에서 생성된 키는

8W21gQe9WZ3tc.

 

암호화된 사용자 개인키

 

합의금지급 안내

 

사용자는 TOR 브라우저를 설치하여 아래 합의금지급 웹페이지에 접속하라는 안내를 받게 된다. 이 때 비트코인 지갑이 있어야 하며 지정된 비트코인 주소로 1.5비트코인을 전송해야 한다.

 

로키 랜섬웨어 합의금지급 페이지

 

자바스크립트 59D2E5827F0EFFE7569B2DAE633AFD1F 소개

 

본 자바스크립트를 텍스트편집프로그램으로 열면 아래와 같이 표시된다.

 

자바스크립트

 

본 자바스크립트는 GET을 통해 http://goldish[dot]dk/o2pds로부터 명령을 다운받고 이를 %Temp%에서 실행시킨다. 이 실행파일은 %Temp% 폴더에 들어 있지 않으면 정상 작동하지 않는다.

 

실행파일 F79C950FA3EFC3BB29A4F15AE05448F2 상세분석

 

Upatre, Dridex, Crypto와 마찬가지로 로키 실행파일 역시 지표(시그내쳐) 탐지를 회피하기 위해 어느 정도 암호화돼 있다.

 

복호화 최종단계에서는 RTLDecompressBuffer API를 통해 실행파일의 압축을 풀게 된다. 이 방식은 Upatre 그리고 Necurs 룻킷 다운로더에서도 사용된 바 있다.

 

RTLDecompressBuffer API


압축이 풀린 로키 실행파일의 MD5 해시값은 F35D01F835FC637E0D9E66CD7E571C06이다.

 

실행파일은 우선 아래와 같은 CnC 서버 IP주소를 복호화한다.

 

중앙통제(CnC) 서버 IP주소

 

실행파일은 API GetWindowsDirectoryA를 통해 윈도 디렉토리를 받는다. 이는 API GetVolumeNameForVolumeMountPointA의 기준으로 사용된다. 이 함수는 감염대상 기기의 윈도폴더에 연관된 volume GUID 경로를 받게 된다.

 

윈도 디렉토리

 

GUID는 로키 랜섬웨어가 사용자의 고유ID를 확보하기 위한 기반 역할을 한다.

 

우선 로키 실행파일이 API CryptHashData에 대해 GUID를 활용한다.


API CryptHashData

 

로키 실행파일은 기기에 대한 고유ID(8B74B4AA40D51F4A)를 확보하기 위해 API CryptGetHashParam를 활용하여 GUID 관련 고유ID를 얻게 된다. hex 덤프를 보면 첫 8바이트를 확인할 수 있다.

 

API CryptGetHashParam

 

이렇게 확보된 고유ID는 본 실험에서 사용된 로키 버전의 신규 레지스트리키와 관련된다. 이제 ID는 체크섬을 통해

로키 실행파일이 설치한 스트링루틴으로 변환되어 레지스트리키로 사용될 스트링을 확보하게 된다. 본 실험에서 신규 레지스트리값이 이전 버전에서 쓰였던 Locky가 아닌 8W21gQe9WZ3tc인 이유가 바로 여기에 있다.

 

신규 레지스트리키

 

CnC 통신

로키 실행파일은 http://<IP/Domain>/submit.phpPOST 요청을 전송하며 이 때 쓰이는 명령과 파라미터는 다음과 같다.

 

Commands --- Parameters (Remove the <>)

&act=getkey&affid= --- id=<>,&lang=<>,&corp=<>,&serv=<>,&os=<>,&sp=<>,&x64=<>

&act=gettext&lang= --- id=<>

&act=stats&path= --- id=<>,&encrypted=<>,&failed=<>,&length=<>

 

&act=getkey&affid= 명령에 대한 파라미터 예시(암호화 생략)

id=8B74B4AA40D51F4A&act=getkey&affid=1&lang=en&corp=0&serv=0&os=Windows+XP&sp=3&x64=0

 

이들 명령은 API HttpSendRequestA를 통해 암호화된 상태로 CnC 서버에 전송된다. 실행파일은 또한 API InternetReadFile을 통해 암호화된 응답을 수신한다.

 

CnC 서버 명령창


로키 실행파일은 CnCgetkey 명령을 보내고 나서 공개 RSA키를 통해 암호화된 메시지와 getkey 명령을 복호화하게 된다. 아래 그림을 통해 암호화 과정 일부를 볼 수 있다. 공개 RSA키는 ASC에 들어간다.

 

복호화과정

 

사용자기기에 공개키 저장

 

로키 실행파일은 RSA 공개키를 암호화하고 해당 체크섬은 스트링으로 변환되며 이는 레지스트리키가 생성된 과정과 동일하다. 이는 HKCU\Software에 있는 레지스트리키에 바이너리값으로 저장된다. 값의 이름은 270CwQa9XuPIc7이다.

 

RSA 공개키 암호화

 

사용자에 대한 메시지

 

그리고 CnC&act=gettext&lang= 명령이 전송된다. 로키 랜섬웨어는 이를 통해 데스크탑 배경화면 그림과 동일한 내용의 메시지를 받게 된다.

 

로키 랜섬웨어 메시지

 

드라이브, 네트워크리소스, 암호화대상 파일 수집

 

네트워크 공유 및 리소스

로키 실행파일은

WNetOpenEnumW, WNetEnumResourcesW, WNetAddConnection2,

WNetCloseEnum API를 통해 아래와 같은 3종의 리소스를 파싱했다.

#define RESOURCE_CONNECTED 1

#define RESOURCE_GLOBALNET 2

#define RESOURCE_REMEMBERED 3

 

각종 리소스유형에 대한 NetResource 파싱과정의 용도는 아래와 같다.

 

NetResource 파싱 과정


아래 그림은 분석대상 기기에서 공유폴더기능을 켤 때 실행파일이 해당 공유폴더에 접속하여 나중에 공유폴더에 있는 파일까지 암호화할 수 있도록 준비하는 모습을 보여준다.

 

공유폴더 파일 암호화

 

실행파일은 다음으로 GetLogicalDrives 그리고 GetDriveTypeW API를 통해 암호화대상 드라이브를 수집한다. 본 실험에서는 C:\ 드라이브가 수집됐다.

 

C드라이브 암호화

 

마지막으로 위에서 수집한 드라이브와 리소스를 토대로 폴더별로 파일을 암호화할 쓰레드가 생성된다.

 

로키 랜섬웨어 프로세스 최종단계

 

데이터복구 차단 위한 숨은 사본 삭제

 

로키 실행파일은 다음으로 아래 명령을 실행하여 모든 숨은 사본을 삭제한다.

vssadmin.exe Delete Shadows /All /Quiet

 

Crypto 등 다른 랜섬웨어 또한 동일한 명령을 사용했다.

 

파일암호화 프로세스 - 쓰레드 생성

 

본 과정의 첫 단계는 기기의 파일 및 디렉토리를 파싱하는 것이다. 로키 실행파일은 암호화대상 파일에 대한 참고로서 메모리공간을 할당한다.

 

허용목록 확인

로키는 감염대상 기기의 디렉토리를 파싱하면서 각 파일의 파일명을 이하의 허용목록 스트링과 대조하게 된다. 아래와 같은 스트링을 포함한 파일이름은 암호화되지 않게 된다.

@_HELP_instructions.bmp, _HELP_instructions.txt, _Locky_recover_instructions.bmp, _Locky_recover_instructions.txt, tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

 

차단목록 확인

로키 실행파일은 또한 암호홛상 파일의 확장자를 확인한다. 아래와 같은 확장자를 가진 파일은 암호화된다.

.001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .ARC, .CSV, .DOC, .DOT, .MYD, .MYI, .NEF, .PAQ, .PPT, .RTF, .SQLITE3, .SQLITEDB, .XLS, .aes, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .docb, .docm, .docx, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .ms11 (Security copy), .n64, .odb, .odg, .odp, .ods, .odt, .onetoc2, .otg, .otp, .ots, .ott, .p12, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .pptm, .pptx, .psd, .pst, .qcow2, .rar, .raw, .rb, .sch, .sh, .sldm, .sldx, .slk, .sql, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip, wallet.dat (filename specific)

 

파일암호화 프로세스 API 및 함수 수준 개관

 

로키 랜섬웨어가 AES RSA 암호화를 사용한다는 자체 주장은 일단 맞다. 암호화과정에서 CryptGenRandom 그리고 CryptEncrypt Crypto API가 사용된다. 또한 이 프로세스에서 aesenc 그리고 aeskeygenassisst를 사용하는 함수가 발견되기도 했다.

 

API 개관

 

암호화된 로크 파일의 최종 0x344바이트 해부

 

 

아래 그림을 보면 최종 0x344바이특 파일 말단에 쓰여진다. 4바이트는 실행파일에 의해 하드코딩된다. 본 실험에서는 이 부분이 로키 랜섬웨어 제작자가 사용자파일을 암호화한 실행파일의 버전을 확인하는 일종의 식별부호라고 추측했다.

 

하드코딩된 0x8956FE93

 

파일 위에 쓰기

 

다음 0x10바이트는 물론 사용자의 고유ID. 다음 0x100바이트는 CryptEncrypt API의 결과물이다. 마지막 0x230바이트는 위에서 언급한 AESENC 함수로부터 생성됐다.

 

감염 최종단계

로키 실행파일은 파일을 암호화한 모든 폴더 위치에 _HELP_instructions.txt 파일을 생성하게 된다. 또한 합의금지급 안내를 담은 비트맵 이미지파일을 생성하고 저장하여 이를 사용자 바탕화면으로 지정시킨다. 아울러 stats라는 액션을 CnC 서버로 전송하며 그 내용은 다음과 같다.

 

id=8B74B4AA40D51F4A&act=stats&path=c%3A&encrypted=1&failed=0&length=5912

Path = the infected Drive “C:\”

Encrypted = True

Failed = false

Length = number of files

 

마지막으로 최종 암호화 레지스트리값이 생성된다. 이는 과거 버전 로키의 Completed=Yes와 같다. 이를 통해 암호화된 레지스트리값에 대한 상세정보 3건이 완성된다.

 

암호화 최종단계

 

본 실험의 실행파일은 또한 도메인생성 알고리즘도 가지고 있었는데 이는 로키 랜섬웨어가 발견된 이래 계속 있었다고 알려져 있다. 실팽파일은 최초에 복호화된 IP 주소로부터 응답을 받지 못할 경우 이 알고리즘을 사용하게 된다.

 

대처방안

 

ThreatSecure 제품을 사용하면 로키 랜섬웨어 실행파일의 다운로드를 차단할 수 있다. 아래 이미지는 ThreatSecure NetworkGET 과정을 통해 악성코드 다운로드를 탐지하는 장면을 보여준다.

 

ThreatSecure 구동

 

사용자는 이메일 첨부물을 열기에 앞서 ThratTrack의 동적 맬웨어분석 샌드박스솔루션인 ThreatAnalyzer를 사용하여 해당 파일의 악성여부를 조사할 수 있다. ThreatAnalyzeranalysis.xml이라는 이름의 파일에 조사결과를 기록한다. 이 결과를 통해 ThreatAnalyzer가 해당 실행파일이 랜섬웨어의 행동양상을 보였음을 알 수 있다.

 

.locky에 보관 및 암호화된 파일

 

ThreatAnalyzer 샌드박스를 통해 파일이 암호화됐음을 탐지할 수 있으며 Help Instructions 텍스트파일 또한 생성됐음을 확인할 수 있다.


도움말 텍스트파일

 

CnC 서버 IP주소로의 POST 명령 통신에 대한 네트워크 캡쳐

 

로키 실행파일이 외부로 나가는 접속을 개시했음을 확인할 수 있다.

 

CnC 서버 통신 네트워크 캡쳐

 

백업을 모두 삭제하는 Vssadmin.exe 실행프로세스 캡쳐

 

Vssadmin.exe 실행프로세스 캡쳐

 

HKCU\software에서 암호화 레지스트리값을 4Y0743Ngl로 설정

 

로키는 파일 암호화에 앞서 기기의 네트워크리소스를 측정하며 이 역시 암호화된다. ThreatAnalyzer는 이 행동 역시 포착했다.

 

로키 네트워크리소스 계산

 

이상을 통해 본 실험에서 쓰인 것과 같은 지능형 위협방지 솔루션이 랜섬웨어 감염 방지에 도움이 될 수 있다. 지능형솔루션을 통해 신종위협이 실제로 위해를 가하기 전에 이를 차단할 수 있다. 특히 ThreatAnalyzer의 샌드박스 기능은 사용자가 실수로 첨부물을 열였을 경우에 침입 및 잠재적 악성행동에 대한 징후를 기록할 수 있으며 이를 통해 나날이 증가하는 주요 랜섬웨어공격에 대한 방어를 한층 강화할 수 있다.

 

<참고: ThreatTrack 보안솔루션>




ThreatTrack Security Labs, Understanding the Latest Version of Locky Ransomware, 5. 18. 2016.

https://blog.threattrack.com/understanding-latest-version-locky-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.01 13:53



 

요즘 랜섬웨어에 대한 관심이 뜨겁다. 수많은 미국 병원들이 랜섬웨어 공격을 받아 데이터를 상실하고 업무에 큰 방해를 받게 되어 언론에 보도되고 있는 상황이다. Hollywood Presbyterian Medical CenterCEO는 인터뷰를 통해 "시스템을 복구하기 위해 가장 빠르고 효율적인 방법은 바로 공격자의 요구대로 돈을 내는 것이었다."고 실토하기도 했다(비트코인으로 17천 달러).

랜섬웨어는 보통 이메일이나 웹사이트를 통해 퍼지는 악성코드로 강력한 암호화키(: 2048비트 RSA)를 통해 대량의 데이터를 암호화해 버린다. 그러고 나면 해당 데이터를 복호화하는 대가로 돈을 요구하게 된다. 여기에서는 랜섬웨어 공격을 방지하기 위한 10가지 요령을 소개한다.

 

1. 주기적으로 백업

데이터의 주기적 백업은 암호화된 파일을 복구할 수 있느 가장 빠른 방법이다. 백업도 감염되는 사태를 막기 위해서는 백업을 안전한 오프라인 공간(또는 클라우드솔루션)에 분리 보관해야 하며 읽기 전용으로만 설정해야 한다. 주기적으로 데이터무결성을 확인하여 백업데이터가 안전한지 확실히 할 필요도 있다.

주의: 백업대책의 복구과정을 실제로 시범한 적이 없다면 그 백업대책은 아무런 의미가 없다. 복구 불가능한 백업은 할 이유는 없기 때문이다.

 

2. 이메일보안솔루션을 통해 이메일첨부물 검사 및 차단

이메일첨부물을 검사하거나 특정 이메일첨부물 유형이 메일수신함에 도달하기 전에 차단하는 이메일보안솔루션은 랜섬웨어 피해를 방지할 수 있는 훌륭한 방법이다. 여기에 더해 '실시간보호''실행시 검사'와 같은 기능을 갖춘 안티바이러스를 통해 백그라운드 의심활동을 모니터링할 수 있으며 사용자가 악성파일을 클릭하는 즉시 대응조치가 이루어질 수 있다.

 

3. 특정 사용자프로필 폴더에서 실행되는 실행파일(exe) 차단

엔드포인트에서 윈도 소프트웨어 제한정책(Software Restriction Policy)이나 침임방지 소프트웨어를 사용할 경우 다음 위치에서 실행파일이 실행되지 않도록 해야 한다. 이들 폴더 및 하위폴더는 랜섬웨어가 악성프로세스를 호스팅하는 위치로 알려져 있다.

%userpro

%appdata%

%localappdata%

%ProgramData%

%Temp%

이 때 규칙은 "전체 차단, 일부 허용(block all, allow some)"으로 설정하여 기본 행동은 특정 어플리케이션을 허용하지 않는 이상 모든 실행파일을 차단하도록 해야 한다.

: ThirdTier의 랜섬웨어방지킷(Ransomware Prevention Kit)은 다양한 그룹정책과 정보 등 리소스를 제공하며 이를 통해 랜섬웨어 위협을 줄이고 위에 소개한 규칙을 적용할 수 있다.

 

4. 주기적으로 꾸준히 패치 설치

랜섬웨어의 가장 흔한 감염경로는 바로 소프트웨어 취약점이다. 운영체제, 브라우저, 사무어플리케이션(: MS오피스), 방화벽, 네트워크기기의 패치를 최신으로 유지하여 랜섬웨어 위험을 줄일 수 있다.

 

5. 의심 외부트래픽 모니터링 및 차단

침입탐지&방지시스템(Intrusion Detection and Prevention System, IDPS)은 의심 외부트래픽을 모니터링하고 사용자에게 경고하거나 일정한 조치(: 연결차단 또는 방화벽 재설정)를 실행할 수 있다. 이 정보를 위협정보 공유그룹과 연계시킨다면 보안인프라를 강화하여 네트워크에서 랜섬웨어의 통신활동을 곤란하게 할 수 있다(랜섬웨어와 공격자측의 통신 차단).

 

6. 권한부여 최소화

어떤 랜섬웨어가 관리자 보안권한을 통해 실행된다면 더욱 큰 피해를 야기하고 보다 광범위하게 퍼질 수 있다(: 네트워크드라이브, 공유폴더, USB기기에 보관된 데이터 암호화 가능). 사용자가 작업에 필요한 정도로만 최소한의 권한을 가지고 로그인하도록 권한부여를 최소화함으로써 랜섬웨어의 공격피해를 감소시키고 전파위험도 줄일 수 있다. 어떤 랜섬웨어는 권한수준을 상승시키려 시도하기도 하지만 대부분의 경우 실행된 당시의 보안권한을 따르게 된다. 권한을 최소화시키면 사용자가 관리자권한으로 명령을 실행하거나 어플리케이션을 설치/삭제하고자 할 경우 계정정보를 직접 입력해야만 그 작업에 필요한 시간 동안만 해당 권한수준을 획득할 수 있게 된다.

 

7. "알려진 파일유형 확장자 숨김" 해제

랜섬웨어가 정체를 숨기는 방법으로 정상적인 파일유형으로 위장하는 수법이 있다. 예를 들어 PDF 문서로 위장하는 파일의 경우 "Invoice.pdf.exe"라는 파일이름을 가질 수 있다. 이 경우 "알려진 파일유형 확장자 숨김"이 적용된다면 이 파일의 이름은 "Invoice.pdf"로 보이게 된다. 이러한 확장자 숨김 옵션을 해제하면 의심파일을 보다 용이하게 포착할 수 있다.

 

8. MS오피스 어플리케이션 보안설정 강화

Locky라는 이름의 최신 랜섬웨어 변종은 악성매크로를 통해 공격수단을 다운로드받아 실행하게 된다. 그룹정책을 통해 매크로 사용을 차단하거나 "전자서명된 매크로 제외한 모든 매크로 차단(Disable all macros except digitally signed macros)" 옵션을 설정할 수 있다. 이와 유사하게 액티브X와 외부컨텐츠(External Content) 설정을 "사용자선택(Prompt)"이나 "차단(Disabled)"으로 설정할 수 있다(사용자 환경의 업무상 필요에 따라).

 

9. 사용자 보안교육

랜섬웨어 방지대책의 최종단계에는 바로 사용자가 있다. 부주의한 사용자가 맬웨어를 다운로드하고 실행하는(이메일첨부물 열기, 악성링크 클릭 등) 과정이 없다면 랜섬웨어는 결코 큰 효과를 보기 어렵다. 사용자에게 모범적 행동요령 그리고 위협을 어떻게 포착할지에 대해 교육한다면 소셜엔지니어링 공격에 당할 가능성을 줄일 수 있다. 특히 강조해야 할 부분은 다음과 같다.

알지 못하는 송신자가 보낸 이메일첨부물을 열지 말 것

알지 못하는 송신자가 보낸 이메일의 링크를 클릭하지 말 것

이메일 본문의 도메인 철자오류 확인(: microsoft.com이 아닌 rncom로 표기)

이메일 제목 및/또는 본문의 철자오류 및 형식오류 확인

의심스러운 파일이나 이메일이 있으면 IT 지원창구나 정보보안팀에게 연락

 

10. 인터넷다운로드 전량검사

웹모니터링 및 스캔 솔루션을 사용하여 인터넷다운로드를 전량 검사해야 한다. 이를 통해 알려진 악성사이트에 대한 사용자 접속을 방지할 수 있으며 특정 파일유형을 검사 또는 차단할 수 있다. 피싱이메일이 실제로 침투하거나 사용자가 악성링크를 클릭하게 돼도 GFI WebMonitor와 같은 웹모니터링 및 스캔 솔루션이 있다면 악성사이트 접속이나 파일다운로드를 차단할 수 있다.

 

위 내용이 너무 많다면...

다소 진부한 말일 수 있으나 랜섬웨어 방지에 대해 다층적인 접근방식을 취할 때 감염을 피할 가능성을 극대화할 수 있다. 이러한 다층접근방식을 구체적으로 풀어 랜섬웨어 방지요령을 요약할 때 이에 따른 권고사항은 다음과 같다.

1. 확실한 백업 및 복구 계획이 마련되어 있어야 한다. 이를 통해 랜섬웨어 감염이 발생한다 해도 암호화되지 않은 최신사본을 통해 사고를 극복할 수 있다.

2. 랜섬웨어의 가장 보편적인 공격경로인 이메일과 인터넷다운로드에 대한 보안을 강화함으로써 랜섬웨어 노출을 최소화(GFI MailEssentials이나 GFI WebMonitor와 같은 솔루션을 통해 이메일 및 인터넷다운로드 보안 강화 가능)

3. 네트워크에 침투한 랜섬웨어에 대한 가시성을 높이는 방향으로 설정과 정책을 적용하여 의심스러운 파일이나 활동을 탐지하고 맬웨어가 성공적으로 실행될 가능성을 줄인다.

4. 무엇보다도 사용자들이 의심되는 상황을 감지하고 그런 상황에서 어떻게 행동할지에 대해 교육하는 것이 가장 중요하다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Andrew Tabona, 10 ways to prevent ransomware from damaging your business, 4. 28. 2016.

http://www.gfi.com/blog/10-ways-to-prevent-ransomware-from-damaging-your-business/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.05.09 14:45

AVG 안티바이러스의 신원보호기능(Identity Protection, IDP) 기능이

랜섬웨어가 작동하는 동안 이를 포착하여 차단하는 장면을 보여주는 영상입니다. 

해당 랜섬웨어는 Locky라는 이름으로 국내외에 잘 알려져 있습니다.

AVG 안티바이러스의 랜섬웨어 차단성능을 보여주는 좋은 사례라 하겠습니다.


 



출처: AVG 사용자 커뮤니티 (네이버카페) 

http://serviceapi.nmv.naver.com/flash/convertIframeTag.nhn?vid=FBAB7DCE06876900CFA38FE22E6CD56BE5D6&outKey=V125c70b093884bf4fed957aa820458275cd7710b399e67551c4e57aa820458275cd7&width=544&height=306




참고링크 


<AVG 유료안티바이러스>


<유료안티바이러스 제품소개>

COMMENT : 1 TRACKBACK : 0

  • 이지클린 2019.04.30 11:58 신고

    애드웨어(광고창) 삭제 기능이 추가된 컴퓨터 무료 최적화 프로그램의 최강자 이지클린(EzClean)도 사용해보세요.


    네이버 자료실 :
    https://software.naver.com/software/summary.nhn?softwareId=GWS_003052&categoryId=B0600000

    이지클린 홈페이지 :
    http://www.ezclean.info

날짜

2016.05.04 17:34

 

짐작할 수 있듯 랜섬웨어에 대해 가장 많은 질문은 바로 "이제 어쩌지?". 무엇을 할 수 있었는지 그리고 했어야 하는지에 대한 온갖 지식은 랜섬웨어에 감염되고 나서야 밀려온다. "매크로 설정"을 사용하라는 설명을 무시했을 수도 있고 문제의 이메일을 애초에 그냥 지워 버렸을 수도 있으며 최근에 할인행사를 하던 USB 백업드라이브를 구매했어야 한다는 식이다.

 

그러나 모든 파일이 암호화되고 공격자 측에서 이 소중한 파일을 복호화하는 키를 제공하는 대가로 비트코인 300달러어치를 요구하고 있는 최악의 상황이 닥치면 어떻게 해야 할까. 이 때 오프라인 백업도 없고 보존하려는 파일은 죄다 사용 불가능한 상태로 하드디스크에 갇혀 있는 상황이라고 가정한다. 이 경우 돈을 내지 않고도 파일을 복구할 수 있는가. IT 문제가 다 그렇듯 이에 대한 대답은 "경우에 따라 다르다"가 된다.

 

피해복구방법: 지름길

 

랜섬웨어 공격자는 프로그래밍 과정에서 종종 실수를 하게 되는데 이 경우 무료복구가 가능한 지름길이 생기게 된다. 예를 들어 최초의 랜섬웨어 공격이 발생했던 1989/1990년 사례를 보면 공격자가 파나마의 정해진 주소로 378달러의 은행수표를 보내도록 요구한 적이 있다. 그런데 이 공격자는 모든 컴퓨터에 적용되는 암호화키를 사용하는 간편한 방법을 택했으며 그 결과 AIDS Information Trojan이라는 이름의 해당 맬웨어를 해제할 수 있는 무료툴이 금방 등장하게 됐다. 최근 리눅스기반 랜섬웨어의 사례도 이와 유사한데 이 사례에서는 프로그래머가 공격대상이 되는 여러 서버에 대해 모두 다른 암호화키를 사용했으며 이는 동일한 파일 사본도 다르게 암호화되는 결과로 이어졌다. 하지만 이들은 유사난수생성(pseudo-random number generator, PRNG)이라고 알려진 알고리즘을 통해 암호화키를 생성했는데 이 알고리즘은 최초 암호화대상의 타임스탬프(시점기록, timestamp)를 통해 작동하는 방식을 취했다. 이렇게 보면 복호화키 또한 공격대상 측에서 만들어내는 게 가능했다.

 

일반적인 오프라인 백업 없이도 분리 디스크나 클라우드를 통해 암호화된 데이터의 전부 또는 일부를 복구할 수 있는 길도 있다. 예를 들어 윈도의 경우 파일의 숨은 사본을 만들 수 있는데 이는 일종의 온라인 백업으로 파일의 과거 버전을 간편하게 관리할 수 있는 수단이기도 하다. 숨은 사본은 이름이 지정된 볼륨스냅샷서비스(Volume Snapshot Service, VSS) 파일로 저장된다. VSS 파일은 일부 랜섬웨어에 대해 빠른 복구대책이 될 수 있으나 요즘은 대부분의 랜섬웨어가 데이터 암호화를 실행하기 전에 시스템명령 조작을 통해 VSS 파일을 삭제하기 때문에 이렇게 복구가 가능해지는 경우는 거의 없다.

 

결국 랜섬웨어 공격이 발생했을 경우 해당 맬웨어를 식별할 수 있다면 일단 돈을 지불하지 않고도 복구를 할 수 있는 지름길이 있을지에 대해 알아볼 필요는 있다. 하지만 솔직히 말하자면 "요즘은 그런 간편한 해결은 거의 불가능하기 때문에 최악의 상황을 예상해야 할 것이다."

 

피해복구방법: 돌아가는 길

 

정상적인 프로그램이 기존 파일을 수정할 경우 우선은 해당 파일의 사본을 생성한 다음에 그 사본을 수정하고 나서 원래 파일을 삭제하는 과정을 거친다. 이 원리를 활용한다면 프로그램이 파일을 처리하는 중에 작동 중단될 경우 해당 파일을 복구하는 데 도움을 받을 수 있다.

 

만약 공격자가 이러한 과정을 거쳐 파일을 암호화한다면 공격대상 운영체제의 일반적인 파일삭제 기능을 사용한다는 가정 하에 기존 파일 중 일부를 삭제하지 않는 경우가 있을 수도 있다. 이는 대부분의 운영체제가 삭제된 파일에 곧바로 덮어쓰지 않기 때문이다. 운영체제 대부분은 덮어쓰기에 소요되는 시간을 줄이기 위해 삭제된 기존 파일이 차지하던 디스크공간을 "재사용 가능"으로 표시하며 따라서 일정기간 동안은 삭제된 기존 파일의 복구가 가능한 경우가 많다.

 

하지만 파일삭제 누락은 복불복의 성격이 강하다. 이 방법을 제대로 거치려면 데이터포렌식 전문가를 동원하여 돈과 시간을 들여야 하며 이 경우에도 실망스러운 결과만 남을 수도 있다. 사실 포렌식 전문가의 고용은 살인사건 수사와 같이 아주 중요한 경우에나 있을 법한 일이다. 그리고 랜섬웨어 공격이 발생하고 나면 공격자가 요구하는 금액보다 데이터복구비용이 더욱 많이 나올 수도 있음을 염두에 둬야 한다.

 

물론 랜섬웨어 공격자 역시 피해자가 돈을 안 내고 파일을 복구하는 결과를 원치 않으며 따라서 코딩에 그렇게 심혈을 기울이지는 않는다. 랜섬웨어는 대체로 기존 파일에 그대로 덮어쓰며 이를 통해 기존 데이터가 남아 있을 여지를 최대한 없앤다. 그러나 이론적으로 생각한다면 기존 파일에 덮어쓴다고 해도 실제로는 기존 데이터가 있던 디스크 영역에 덮어쓰지 않는 경우일 수도 있다. 몇몇 운영체제와 일부 디스크의 경우 이른바 wear levelling이라고 하여 디스크 작성영역을 임의로 변경한다. 플래시메모리를 사용하는 고체(solid state) 디스크는 전자 수준에서서의 마모로 인해 성능이 저하될 수 있으며 따라서 동일한 메모리 셀에만 계속 작성할 경우 기기 수명이 줄어들 수 있다. 이를 완화하는 대책이 바로 wear levelling이다. 따라서 디스크영역 수준이나 심지어 디스크 펌웨어 수준으로 파고들어가서 논리적으로는 덮어씌워졌으나 물리적으로는 보존된 상태의 데이터를 찾아내는 방법은 기술적으로 분명 가능한 일이다.

 

그러나 다시 말하지만 이 방법은 자존심을 죽이고 공격자에게 돈을 지불하는 방법보다 훨씬 불확실하고 아주 많은 비용을 지출할 수도 있음을 상기해야 한다.

 

암호화 해제

 

랜섬웨어 공격을 무력화시킬 마지막 방법으로 공격자가 사용한 암호화 자체를 해제하는 방법이 있다. 앞서 언급했듯 랜섬웨어 공격자는 프로그래밍 과정에서 종종 실수를 저지르거나 약한 암호화를 사용하거나 혹은 강한 암호화라도 잘못 사용함에 따라 암호분석학적인 틈(backdoor)을 남겨놓는 경우가 있다. 물론 이들이 정상적으로 암호화를 적용했다면 이를 해제하는 건 사실상 불가능하며 그 이유는 다음과 같다.

 

CryptoWall이나 Locky와 같은 대부분의 랜섬웨어는 다음과 같은 수법으로 작동한다.

공격자가 운영하는 서버에 접속하여 공격대상 컴퓨터에 고유한 RSA 공개키를 다운로드

각 파일에 대한 임의의 AES 키를 생성하고 해당 파일을 암호화

해당 AES 키를 RSA 공개키로 암호화하고 공격대상 파일과 암호화된 복호화키를 함께 저장

 

위 내용이 단번에 이해가 안 된다고 염려할 필요는 없다. 이 수법은 RSA 암호화 알고리즘이 두 개의 키를 가지고 작동한다는 데 착안하고 있다. 공개키로 데이터를 암호화하기 때문에 오로지 개인키만이 해당 데이터를 복호화할 수 있다. 바꿔 말하자면 만약 공격자가 클라우드에서 RSA 공개-개인키 쌍을 각 컴퓨터별로 생성하고 공개키만 배포하게 된다면 피해자 파일을 암호화한 AES 키를 복호화하기 위해 필요한 고유의 개인키는 오로지 공격자만이 보유하게 된다.

 

그렇다면 RSA 공개키로 곧바로 암호화를 하지 않고 어째서 굳이 AES 키를 다시 사용하는가. 이는 RSA 키의 작동속도가 느리기 때문에 AES처럼 훨씬 빠른 알고리즘을 사용하는 임의의 키와 같은 소량의 데이터를 암호화할 경우에 적합하기 때문이다. 한편 파일마다 다른 키를 사용하는 이유는 무엇인가. 이는 모든 파일의 암호화가 다를 경우 컨텐츠가 동일하다 해도 하나의 파일에 사용된 복호화 단서를 다른 파일에 적용할 수 없기 때문이다.

 

이 말인즉 돈을 내지 않고 피해파일을 모두 복구하는 일은 다음과 같다.

RSA 공개-개인키 알고리즘을 해체하여 각 파일에 대한 AES 키 복구

각 파일에 대한 AES 암호화 알고리즘을 일일이 해체

 

이렇게 어렵고 불확실한 과정을 거치기보다는 차라리 그냥 돈을 지불하는 방법이 속이 편할 수도 있다.

 

최종 선택지

 

여기까지의 내용만을 본다면 그냥 돈을 지불하는 게 낫다는 식으로 보일 수도 있다. 하지만 돈을 지불할 경우 이는 범죄자를 먹여살리는 셈이 되기 때문에 돈을 지불하지 않는 길을 권고한다. 사실 랜섬웨어 공격을 당하고 나서 모든 파일을 없애고 처음부터 다시 시작한다는 결정을 내린다면 이는 "힘내라"는 말과 함께 격려를 받을 만한 결단이다. 이 글의 요지는 암호화된 파일이 정말로 필요하고 백업과 같은 예비대책을 전혀 세우지 않은 상태라면 돈을 지불하는 외에 달리 선택지는 없다는 데 있다.. 물론 이 글에서는 여전히 돈을 지불하지 않는 길이 낫다는 논지를 유지하나 각자의 결정을 존중할 수밖에 없는 일이다(데이터의 존폐가 경각에 걸린 상황에서 자존심을 세우기란 어렵다). 그런 상황이 오지 않는 게 가장 바람직하지만 비교적 타협의 여지가 없다는 식으로 설명한다면 경각심 측면에서 도움이 될 수 있다는 판단에 따라 글의 흐름이 위와 같이 전개됐다. 결국 "예방이 치료보다 낫다"는 말이다.

 

랜섬웨어 예방요령

 

주기적으로 백업하고 최신 백업사본을 격리하여 보관. 파일이 갑자기 사라질 수 있는 원인으로는 랜섬웨어 외에도 화재, 홍수, 절도, 기기고장, 실수에 의한 삭제 등 수많은 요인이 있을 수 있기 때문이다. 백업사본을 암호화한다면 백업기기가 탈취되는 경우에도 염려할 필요가 없다.

이메일로 수신된 문서 첨부물에 대한 매크로 적용 해제. 수많은 맬웨어는 문서첨부물을 통해 침입하며 사용자로 하여금 매크로(내장된 문서스크립트)를 설정하도록 유도한다. 그냥 안 하면 된다. 마이크로소프트의 경우 이미 수년 전 보안조치로 매크로 자동실행 해제를 기본설정으로 적용했다.

마이크로소프트 오피스 뷰어 설치. 뷰어 어플리케이션을 사용하면 워드나 엑셀을 직접 사용하지 않고도 문서파일을 살펴볼 수 있다. 특히 뷰어는 매크로를 전혀 지원하지 않기 때문에 실수로 매크로를 작동시킬 염려도 없다.

요청하지 않은 첨부물 주의. 문서파일을 통해 맬웨어를 보내는 공격자는 사용자가 확신할 수 있기 전에는 파일을 열어서는 안 되는 동시에 확신을 하려면 그 파일을 열 수밖에 없다는 딜레마를 악용한다. 의심의 여지가 있다면 그 파일은 그냥 버려야 한다.

필요 이상의 로그인 권한을 부여하지 말 것. 가장 중요한 부분은 바로 관리자권한 로그인상태를 필요 이상으로 방치하지 말아야 한다는 점이며 관리자권한을 보유한 상태에서는 브라우징, 문서 열기를 비롯한 "통상적 작업" 활동을 피해야 한다.

신속히 그리고 자주 패치 확인. 문서 매크로를 통해 침투하지 않는 맬웨어는 대체로 오피스, 웹브라우저, 플래시 등 인기 어플리케이션의 보안허점을 악용한다. 패치가 빠르게 이루어질수록 공격자가 악용할 수 있는 허점도 줄어들게 된다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Paul Ducklin, Got Ransomware? What Are Your Options?, 3. 3. 2016.

https://nakedsecurity.sophos.com/2016/03/03/got-ransomware-what-are-your-options/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.04.26 14:46



 

사이버범죄자들에 대해 확실한 건 바로 이들이 끈질기다는 사실입니다. 이들은 어떤 수법을 발견하게 되면 그 수법이 완전히 막힐 때까지 끊임없이 활용하고 또 개량할 겁니다. 피해자의 파일을 해킹하고 해독 불가능하게 암호화시켜버리는 랜섬웨어는 상당히 성공적이었으며 개인사용자와 기업 모두에게 중대한 위협으로 떠올랐습니다. 예방대책이 없는 상태에서 랜섬웨어 공격을 당하게 되면 어떤 식으로든 그 대가를 치를 수밖에 없습니다.

 

최근 등장한 새로운 랜섬웨어를 보면 이 문제가 금방 해결되지는 않으리라 여겨집니다. Locky라는 랜섬웨어는 악성 이메일첨부물을 통해 윈도컴퓨터를 감염시키고 있습니다. 또한 안드로이드, 리눅스, 맥을 표적으로 하는 랜섬웨어도 나오고 있습니다.

 

랜섬웨어라는 현재진행형의 문제와 관련하여 소포스가 랜섬웨어 대비대책을 세울 수 있는 새로운 리소스를 마련했습니다. 이 리소스는 쉽게 따라갈 수 있는 가이드로 데이터 안전관리를 위한 보안설정, 인력교육, 파일백업 등 실천사항을 알려 줍니다.

 

본 가이드의 내용은 다음과 같습니다.

랜섬웨어의 공격원리

종래 보안대책이 있음에도 랜섬웨어 감염이 퍼지는 이유

랜섬웨어 대비를 위한 장단기 조치사항

랜섬웨어 대비를 위한 소포스솔루션 최적설정방법

 

본 기술백서를 통해 현재 그리고 장래의 랜섬웨어 위협을 어떻게 방지할 수 있는지 알 수 있습니다. 본 자료는 공개컨텐츠로 별도의 등록이 요구되지 않습니다.

 

소셜미디어를 통해 소포스를 팔로잉하고 소포스 블로그를 구독하면 진화하는 위협에 대한 최신정보를 제공받고 소포스 전문가들의 보안자문도 받을 수 있습니다. 또한 수상경력을 자랑하는 Naked Security 블로그를 방문하여 랜섬웨어위협 방지에 대해 다음과 같은 최신 연구결과와 인기 보안지침을 확인할 수 있습니다.


랜섬웨어 필수이해사항 

https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/


보안과 편의성: 스팸으로 퍼지는 랜섬웨어 

https://nakedsecurity.sophos.com/2016/03/14/security-vs-convenience-the-story-of-ransomware-spread-by-spam-email/


랜섬웨어 감염시 선택지는? 

https://nakedsecurity.sophos.com/2016/03/03/got-ransomware-what-are-your-options/

 

아울러 소포스 전문가인 Chester WisniewskiPaul Ducklin이 랜섬웨어 작동원리와 대비대책에 대해 설명하는 소포스 TechKnow 팟캐스트를 통해 랜섬웨어에 대한 속성교육을 받을 수 있습니다.

소포스 TechKnow 팟캐스트: 

https://soundcloud.com/sophossecurity/sophos-techknow-dealing-with-ransomware

 

 

 

John Zorabedian, How to stay protected against ransomware, 3. 18. 2016.

https://blogs.sophos.com/2016/03/18/how-to-stay-protected-against-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

'IT, 보안 소식&팁' 카테고리의 다른 글

애플, 윈도 퀵타임 지원 중단  (0) 2016.04.27
랜섬웨어 감염시 선택지는?  (0) 2016.04.26
랜섬웨어 방지요령  (0) 2016.04.26
랜섬웨어 재조명: 방지대책은?  (0) 2016.04.05
간편한 랜섬웨어 방지대책  (0) 2016.04.05
미국정부 vs 애플  (0) 2016.03.16

COMMENT : 0 TRACKBACK : 0

날짜

2016.04.26 14:43

위로가기