NK_, VO_

 

• NK_IN YOUR FILES.txt

Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures, files and documents

<!--[if !supportEmptyParas]--> <!--[endif]-->

• VO_IN Documents.txt

Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures, files and documents

 

침투 방식

• 사용자 계정을 악성코드로 탈취하여 PC or Server에 원격 (Terminal) 접근하여

Windows 작업 스케줄러에 랜섬웨어 감염파일을 등록하여 동작

 

피해 범위

• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav,

mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

 

특징

• 파일명 앞에 NK_, VO_ 문구가 생성

• 파일을 암호화한 폴더내에 1개의 파일을 생성

(NK_IN YOUR FILES.*/VO_IN Documents.*)

• Windows 작업 스케줄러에 프로그램 등록(1.bat, sysdll.exe)

감염파일 위치 >> C:Users%LoginAccount%AppDataRoamingSystemTempFolder

차이점

• 특별한 랜섬웨어 명칭(CryptoWall, Crypt0L0cker 등)이 없음

• 기존 PC공격에서 서버DB 공격으로 진화

• 기존 서버 기반에서 E-mail 기반 프로그램으로 변화

• 기존 랜섬웨어와 다르게 OS 실행시 동작하게 설정되어 있어 장비가 부팅되면 계속 동작

- Windows 작업 스케줄러에 등록된 감염파일(1.bat, sysdll.exe)을 삭제해줘야 함

 

침해예방

> 감염 중 확인시

• 랜섬웨어 동작을 위해 등록된 Windows 작업 스케줄러 제거

• 해커가 생성한 계정이 있는지 확인하여 제거

• PC or Server가 이유 없이 5~10분 이상 속도가 느려질 경우 시스템 강제종료

• Disk 분리 후 다른 장비에 옮겨 감염되지 않은 데이터를 복사 후 Disk 포맷 권장

> 원격데스크톱 서비스 사용시

• 기본 Port를 변경하여 운영

• 지정된 IP 및 계정만 접근할 수 있게 설정

• 접근 계정 및 패스워드를 보안 정책에 맞추어 설정 운영

> FTP 서비스 및 기타 서비스 운영시

• 기본 포트사용 금지

• 일반 FTP 프로토콜 사용 금지

• 시스템 로그인 계정과 서비스 계정을 다르게 설정 운영

• 불필요한 Port는 모두 차단

• PC or Server 데이터는 정기적으로 안전한 저장소에 백업 보관

 

연혁

• 2015년 8월 NK_, VO_

 

복원방법

•​ 해커에게 비용 지불(현재는 비용을 지불하여도 복원 가능여부 확인 불가)

 

* Temp 폴더의 ​파일을 암호화 하지 않음

 

 

출처 : 한국랜섬웨어침해대응센터