일본을 통한 *vvv랜섬웨어가 최근 국내에서 퍼지면서
많은 이슈 및 문제를 양산하고 있습니다.
이와 관련 내용정리하여 내용 공유 드립니다.
vvv랜섬웨어의 특징
1. 감염루트 : 웹페이지를 보는 것만으로도 감염(이번 건의 경우 광고가 원인)
2. 감염시 카스퍼스키 이외 검출가능 백신 없음(토요일 오전4시 시점)
3. 웹페이지를 보고있을 때, 임의의 코드가 실행가능한 여러 웹어플리케이션 등으로 감염시도(플래시, 자바 등)
4. 감염 후 피해가 상당히 크고 전파속도가 상당히 빠름.
- 감염 후 1-2분 사이에 드라이브 전체 파일 중 밑의 확인된 확장자를 vvv로 바꾸며 암호화
- 접속된 외장하드, 공유폴더도 감염
- 엄청난 감염속도
5. 윈도우 복원포인트 강제삭제
6. BitDefender가 백신배포중이긴 한데, 속도중시형으로 만들어진 터라 검증 불충분인 상황
7. 지금까지의 바이러스와 멜웨어 등과는 동작원리가 틀리며, 일반적인 바이러스지식으로서는 대응불가
감염되는 순서
1. 웹페이지 관람.
2. 웹페이지에 포함된 광고를 통해 감염
3. 자바, 플래시 등을 통해 임의의 코드가 실행
4. 감염 후 1-2분내 확장자 vvv변환 / 암호화
5. 외장하드, 외장스토리지, 네트워크내 공유폴더도 감염
#. vvv랜섬웨어
- 확장자가 .vvv로 변경되는 경우는 이미 배포되고 있는 테슬라 크립트의 변종
#. 테슬라크립트 랜섬웨어
- 웹페이지에 취약점이 exploit 되어 발생
(플래시 플래이어의 해당 취약점이 보완되지 않은 경우 웹 페이지에 접근만 하여도 악성코드가 자동실행)
#. 감염되는 경우 PC의 각 폴더에 아래의 제목을 가진 파일들이 생성
- how_recover+***
- _how_recover_***
- howto_recove_file_*****
- HOWTO_RESTORE_FILES_*****
- HELP_RESTORE_FILE,HELP_TO_SAVE_FILES
- HELP_TO_DESCRYPT_YOUR_FILES
또한 사용자의 그림 및 음악, 각종 문서등의 파일이
*.aaa, *abc, *.ccc, *exx, *ezz, *vvv, *.xyz, *.zzz 등의 형식으로 암호화가 이루어짐
암호화가 이루어진 파일은 PC가 접근할 수 없으며, 경고문을 팝업시켜, 파일을 복호화
하려면 일정금액을 송금하라고 협박하는 링크가 담긴 웹 페이지로 유도
#. 이번에 논란이 된 테슬라 크립트의 경우
- 일본의 인터넷 웹 환경상, 아마 Flash를 통한 감영전파보단 P2P를 통한 감염전파가 훨씬 더 많을 것으로 보여짐
#. 랜섬웨어 예방법
- 항상 최신의 바이러스 백신 엔진을 유지
- 익스플로잇 방지 도구를 사용(Zero-Day Vulnerability방지)
국내에서 제공하는 도구는 알약 익스플로잇 실드&하우리APT Shield2.0
http://www.alyac.com/public_download/ (알약 익스플로잇 실드)
http://www.aptshield.co.kr/ (하우리APT Shield2.0)
- 항상 최신의 윈도우 보안 업데이트를 유지
- 항상 최신의 어도비 플래시 플레이어와 JAVA의 최신버전을 사용
-이메일 첨부파일 및 링크와 웹 서핑시 무의식적 다운로드 금지
-(권장)독립된 스토리지에 주기적인 데이터백업
파일 암호화 랜섬웨어(Ransomware) 관련 자주 묻는 질문 정리
Q. 랜섬웨어에 감염되었습니다. 가장 먼저 조치해야 할 것?
A. 감염 사실을 인지했다면 곧바로 컴퓨터 종료 또는 재부팅 후 안전 모드(네트워킹 사용) 환경으로 부팅하여 악성코드 본체 제거 후 암호화가 진행되지 않은 중요한 데이터가 있다면 백업 후 악성코드에 감염되기 전의 복원 시점이 있다면 복원 또는 표준 환경으로 부팅.
또한, 감염된 컴퓨터에 네트워크로 공유 된 폴더 및 동기화 된 클라우드 폴더 또한 내부 데이터가 암호화 될 수 있으므로 신속하게 연결을 해제. (악성코드 본체 제거 후 재부팅 하시면 더이상 암호화가 진행되지 않음.)
Q. 랜섬웨어는 어떻게 제거해야 하나?
A. 중요한 파일이 없는 경우에는 포맷 후 운영체제를 재설치하는 것을 권장.
Q. 랜섬웨어가 암호화 한 파일을 다른 곳에 옮기면 악성코드가 함께 감염이 되나?
A. 아님. 정상 파일이 암호화 된 파일은 말 그대로 암호화만 진행된 것이며 전혀 악성 행위를 하지 않는다. 랜섬웨어 본체가 삭제되어 안전해진 상태에서는 암호화 된 파일이나 암호화가 진행되지 않은 정상 파일이나 다른 곳에 옮기셔도 문제가 발생하지 않음.
Q. 랜섬웨어에 감염되면 함께 사용하고 있는 다른 컴퓨터나 휴대 기기 등에 악성코드가 전파되나?
A. 아니요. 자체 복제(전파) 기능은 없음.
Q. 파일 암호화 유형의 랜섬웨어에 감염되면 중요한 파일이나 개인 정보 등이 유출되나?
A. 다행스럽게도 현재까지는 중요한 파일이나 개인 정보 등을 유출시키는 유형은 발견되지 않았음. 물론, 앞으로 다른 악성 행위가 결합된 유형이 제작될 수는 있으므로 악성코드에 감염되지 않도록 최대한 노력해야 함.
Q. 랜섬웨어에 의해 암호화 된 파일은 복호화가 가능한가?
A. 일부 랜섬웨어는 복호화 도구가 존재하여 복호화가 가능하지만 현재 주로 감염되고 있는 Crypt0L0cker, CryptoWall, TeslaCrypt 경우는 악성 행위자에게 비트 코인을 송금하여 복호화 하는 방법 뿐이 없음. 피해를 입지 않으시려면 별도 저장 장치로의 백업이 최선. (송금을 포기하신 상태에서는 직접 설정하신 복원 지점이 존재할 경우 복원을 시도해보시거나 삭제된 또는 흔적이 남은 파일에 대한 복구를 파일 복원 프로그램을 통해 복원하는 작업(또는 복원 전문 업체에 의뢰)을 진행해보실 수는 있음.
Q. 악성 행위자에게 비트 코인을 송금하여 복호화 프로그램을 받아 진행하면 파일이 모두 복호화 되나?
A. 이는 변수가 존재해서 확실하게 답해드릴 수는 없으나 일단, 복호화 성공률은 평균 70% 복구율은 90% 이상 됨. 복호화를 진행할 때에는 암호화 된 저장 장치를 모두 연결 후 진행해야 하지만, 이 부분에 대해서는 악성 행위자에게 금전을 보낸 것으로 인하여 새로운 랜섬웨어 제작 및 제 3의 피해자가 양성될 수 있다는 것과 금전을 잃을 각오를 확인한 후 진행해야 하며 송금 받은 후 먹튀하거나 복호화가 불완전하게 진행되는 경우도 있으니 신중 및 주의하시기 해야함. (한꺼번에 랜섬웨어가 다중 감염되었다면 이는 답이 없음.)
Q. 혹시 전문 복구 업체 또는 전문가의 경우 복호화가 가능하지 않을까?
A. 아님. 이미 암호화 된 파일은 아무리 전문 업체 또는 전문가라도 복호화 키가 없으면 절대 복호화 불가. 업체에서 광고하는 랜섬웨어 파일 복원 서비스는 복원 영역에 존재하거나 삭제된 또는 흔적이 남은 파일에 대한 복구 또는 대리하여 악성 행위자에게 비트 코인을 송금해서 복호화 프로그램을 받아 복호화를 진행하는 방식.
Q. 클라우드 서비스에 백업한 파일도 암호화 되었다. 어떻게 조치해야 하나?
A. 먼저 감염된 PC와 클라우드 서버와의 동기화를 해제 후, 클라우드 서비스에서 자체 제공되는 <이전 버전(Version History)> 기능을 사용하여 암호화 되기 전 시점의 파일로 복원
Q. 랜섬웨어 치료 및 제거 후 포맷 또는 운영체제 재설치를 하지 않고 사용해도 되나?
A. 사용가능. 하지만 운영체제가 사용하는 기본 이미지, 문서, 음악 파일 등이 손상(암호화)되었을 수 있으므로 개인적으로는 운영체제 재설치를 권장,. 계속 사용할 것인지 아닌지는 사용자의 선택입니다.
Q. 랜섬웨어 감염을 예방하려면 어떻게 해야하나?
A. 일단, 완벽한 예방법은 없지만 감염 확률을 최소화 하려면 운영체제 및 모든 프로그램(Java, Flash Player 등은 필수)을 최신으로 유지하시고 보안 제품(백신) 사용(실시간 감시 기능 활성화는 기본) 및 출처를 알 수 없는 파일은 내려받아 실행하지 마시고 수상한 또는 변조가 확인된 사이트는 방문하지 않음.
(보조적으로 랜섬웨어 대피소 기능이 탑재된 앱체크(AppCheck) 보조 보안 제품을 사용 추천)
본 내용은 여러 까페 및 블로그의 내용을 취합&정리한 내용입니다.
문제가 될 경우 삭제 할 수 있도록 하겠습니다.
[AD] 캐릭터 AI 대화 사이트 가상 연애 - 로판 AI
- |
