PETABYTE

 [ 결제화면 접속 페이지 ]

 [ 결제 안내 페이지 ]
 

침투 방식

• E-Mail 첨부파일(.wsf, .js, .hta, .zip, .pdf 등) / 제목: Receipt, payment, document, service 등의 형태

메일을 송장 및 결제내역으로 교묘하게 위장하고 사내메일로 유포되어 첨부파일을 확인할 수 있도록 함

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, ppt, pptx, pdf, txt, png, jpg, jpeg,

psd, wav, mpg, avi, wmv, zip 외 350여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 aesir로 변경

• 파일명 변경 (GKJMMM9I-Z75P-UHGS-6337-09CCC46EDD34.aesir)

• 파일을 암호화한 폴더내에 결제안내파일 생성 (_INSTRUCTION.*)

• 바탕화면을 생성된 파일 내용으로 변경

• 사용자가 인지하지 못하는 네트워크 경로를 찾아 데이터를 암호화​​

연혁

• 2016년 2월 Locky​​​(.locky)

• 2016년 6월 Locky​​​(.zepto)​

• 2016년 9월 Locky​​​(.odin)​​

• 2016년 10월 Locky​​​(.shit)​​​

• 2016년 10월 Locky​​​(.thor)​​

• 2016년 11월 Locky​​​(.aesir)​​​

복원방법

•​ 해커에게 비용 지불 복원 미확인(권장사항 아님)  

                            [ 결제화면 접속 페이지 ]

                              [ 결제 안내 페이지 ]
 

침투 방식

• E-Mail 첨부파일(.wsf, .js, .hta, .zip, .pdf 등) / 제목: Receipt, payment, document, service 등의 형태

메일을 송장 및 결제내역으로 교묘하게 위장하고 사내메일로 유포되어 첨부파일을 확인할 수 있도록 함

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, ppt, pptx, pdf, txt, png, jpg, jpeg,

psd, wav, mpg, avi, wmv, zip 외 350여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 zzzzz로 변경

• 파일명 변경 (GKJMMM9I-Z75P-UHGS-6337-09CCC46EDD34.zzzzz)

• 파일을 암호화한 폴더내에 결제안내파일 생성 (_INSTRUCTION.*)

• 바탕화면을 생성된 파일 내용으로 변경

• 사용자가 인지하지 못하는 네트워크 경로를 찾아 데이터를 암호화​​

연혁

• 2016년 2월 Locky​​​(.locky)

• 2016년 6월 Locky​​​(.zepto)​

• 2016년 9월 Locky​​​(.odin)​​

• 2016년 10월 Locky​​​(.shit)​​​

• 2016년 10월 Locky​​​(.thor)​​

• 2016년 11월 Locky​​​(.aesir)​​​

• 2016년 11월 Locky​​​(.zzzzz)​​​​

복원방법

•​ 해커에게 비용 지불 복원 미확인(권장사항 아님)  

CERBER(.random)

                               [ 결제화면 접속 페이지 ]

                                [ 결제 안내 페이지 ]

 

침투 방식

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문(Exploit 이용)

(첨부된 파일 패턴은 js, zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 450여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 4자리 영문과 숫자 조합으로 변경

• 암호화된 파일명을 10자리 영문+숫자+특수문자로 변경(​Mt3xZyO1_z.88a3)

• 파일을 암호화한 폴더내에 1~2개의 파일을 생성 (README.*)

• 사용자가 인지하지 못하는 네트워크 경로를 찾아 데이터를 암호화​​

• PC에서 목소리로 암호화 사실을 전달​(Attention! Attention! Attention!​ Your documents, 

photos, databases and other important files have been encrypted!) ​

연혁

• 2016년 3월 CERBER

• 2016년 8월 CERBER​2

• 2016년 9월 CERBER​3

• 2016년 9월 CERBER​3(.random)

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님) 

                           [ 결제화면 접속 페이지 ]

                              [ 결제 안내 페이지 ]
 

침투 방식

• E-Mail 첨부파일(.wsf, .js, .hta, .zip, .pdf 등) / 제목: Receipt, payment, document, service 등의 형태

메일을 송장 및 결제내역으로 교묘하게 위장하고 사내메일로 유포되어 첨부파일을 확인할 수 있도록 함

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, ppt, pptx, pdf, txt, png, jpg, jpeg,

psd, wav, mpg, avi, wmv, zip 외 350여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 shit > thor로 변경

• 파일명 변경 (GKJMMM9I-Z75P-UHGS-6337-09CCC46EDD34.shit 혹은 .thor)​

• 파일을 암호화한 폴더내에 결제안내파일 생성 (_WHAT_is.*)

• 바탕화면을 생성된 파일 내용으로 변경

• 사용자가 인지하지 못하는 네트워크 경로를 찾아 데이터를 암호화​​

연혁

• 2016년 2월 Locky​​​(.locky)

• 2016년 6월 Locky​​​(.zepto)​

• 2016년 9월 Locky​​​(.odin)​​

• 2016년 10월 Locky​​​(.shit)​​​

• 2016년 10월 Locky​​​(.thor)​​

복원방법

•​ 해커에게 비용 지불 복원 미확인(권장사항 아님)  

                [ 2.0버전 결제화면 접속 페이지 ]                        [ 3.0버전 결제화면 접속 페이지 ]​

                      [ 2.0버전 결제화면 ]​                                                  [ 3.0버전 결제화면 ]​​

 침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 crypt로 변경

• 파일을 암호화한 폴더내에 2~3개의 파일을 생성 (!Recovery_[ID].*, [ID].*)​

• 바탕화면을 랜섬웨어 ​결제 안내 화면으로 변경

• 실행파일(.exe)이 아닌 dll 파일 형식으로 유포

• ​사용자 정보를 탈취(브라우저, 메일 클라이언트, 쿠키 데이터, FTP계정 등) 

2.0버전/3.0버전의 차이점

• 결제 화면 UI 변경 및 개선(500KB 이하 파일 1개 복원 테스트 가능)

•​ 다국어 지원(기존 11개 → 변경 후 25개, 한국 포함)

•​ 업데이트 이후 Kaspersky lab 복호화프로그램으로 복원 불가능

•​ 업데이트 이후 해커에게 비용을 지불하여도 복원 불가능​

연혁

• 2016년 4월 CryptXXX

• 2016년 5월 CryptXXX2.0​

• 2016년 5월 CryptXXX3.0​​

복원방법

•​ 해커에게 비용 지불 복원 불가능(권장사항 아님)   

•​ Kaspersky lab 보안회사가 개발한 복호화 프로그램으로 복원 불가능(5/20)   

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 crypt로 변경

• 파일을 암호화한 폴더내에 2~3개의 파일을 생성 (de_crypt_readme.*, !Recovery_[ID].*)​

• 바탕화면을 랜섬웨어 ​결제 안내 화면으로 변경

• 실행파일(.exe)이 아닌 dll 파일 형식으로 유포

• ​사용자 정보를 탈취(브라우저, 메일 클라이언트, 쿠키 데이터, FTP계정 등) 

연혁

• 2016년 4월 CryptXXX

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)   

•​ Kaspersky lab 보안회사가 개발한 복호화 프로그램으로 복원가능

​[복호화 프로그램 개발 이후 랜섬웨어가 업데이트되어 업데이트 전 버전만 복원가능,

공용(public)폴더- 업데이트 전(감염) / 업데이트 후(감염X)] 

→ CryptXXX 복호화 방법 바로가기

내용 출처 : 하우리 보안이슈 분석

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

※ 위 사항들은 기존 랜섬웨어 침투 방식이며, 해당 랜섬웨어는 정보 수집이 미비하여 미확인

피해 범위

• PC에 연결된 자주 사용되는 파일(zip, rar, xlsx, xlsb, xlsm, doc, docx, docm, pdf, txt, 

jpg, jpeg, sql 외 10여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징 

• 파일의 확장자를 R5A로 변경

• 암호화한 파일명을 숫자로 변경(1.R5A, 2.R5A..)​​

• 암호화 후 공용(public)폴더 내 암호화 실행파일, 암호화한 파일목록 등을 생성

연혁

• 2016년 1월 7ev3n

• 2016년 4월 7ev3n-HONE$T​

복원방법

•​ 해커에게 비용 지불 복원 미확인(권장사항 아님)   

내용 출처 : http://www.bleepingcomputer.com/news/security/the-7ev3n-honest-ransomware-encrypts-and-renames-your-files-to-r5a/

안녕하십니까, 한국정보보호산업협회입니다.

한국인터넷진흥원(KISA) 사칭 이메일이 유포되고 있어 안내드립니다.

[출처 : KISA이메일 사칭화면]

KISA를 사칭한 스피어피싱 이메일이 유포되고 있습니다.

피해확산 방지를 위해 아래 이메일을 수신시 열람하지 마시고, 즉시 삭제하여 주실 것을 요청드립니다.

감사합니다.

-----------------------------------------------------------------------

[스피어피싱 이메일 정보]

• 발신자 : jeongseon0571@daum.net,

• 이메일 제목 : [한국인터넷진흥원] 정보보안 용어모음

• 첨부파일명 : internet Security Words.hwp

 침투 방식

• JS.Nemucod(자바스크립트 트로이목마)다운로더를 통해 배포​

• E-Mail 첨부파일(.js) / ex) 첨부파일명: 0000282410.zip

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, ppt, pptx, jpg, psd, dwg, 

mpg, avi, mp4 외 70여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 crypted로 변경

• 파일을 암호화한 폴더내에 1개의 파일을 생성 (DECRYPT.*)

• 생성한 파일 내 웹사이트 주소는 요구 비용 지불 후 접속 가능 

연혁

• 2016년 3월 Crypted

복원방법

•​ 해커에게 비용 지불 복원 미확인(권장사항 아님)  

복구관련문의 긴급통화 010-9911-1008

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 250여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 cerber로 변경

• 암호화된 파일명을 10자리 영문+숫자+특수문자로 변경(​_ys-sX6wE0.cerber)

• 파일을 암호화한 폴더내에 3개의 파일을 생성 (# DECRYPT MY FILES #.*)

• 연결되어 있지 않은 네트워크 상태에도 공유 데이터를 암호화(Locky 랜섬웨어와 동일)

• PC에서 여성 목소리로 암호화 사실을 전달​(Attention! Attention! Attention!​ Your documents, 

photos, databases and other important files have been encrypted!) ​

연혁

• 2016년 3월 Cerber

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님) 

복구관련문의 긴급통화 010-9911-1008

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 변조하지 않음(최초 CryptoWall3.0 랜섬웨어)

• 파일을 암호화한 폴더내에 3개의 파일을 생성 (RECOVER[영문 5자리].*)

• 확장자 변조가 없어 파일의 감염여부를 파악하기 어려움

연혁

• 2013년 CryptoLocker

• 2014년 TeslaCrypt & AlphaCrypt

• 2015년 4월 TeslaCrypt & AlphaCrypt 

• 2015년 8월 TeslaCrypt 변종(.aaa)

​• 2015년 9월 TeslaCrypt 변종​(.abc)

• 2015년 10월 TeslaCrypt 변종​(.ccc)

• 2015년 11월 TeslaCrypt 변종​(.vvv)​

• 2016년 1월 TeslaCrypt 변종​(.xxx, .ttt, .micro)​​

• 2016년 2월 TeslaCrypt 변종​(.mp3)​​​

• 2016년 3월 TeslaCrypt 변종​(확장자 변조 무)​​​​

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님) 

 복구관련문의 긴급통화 010-9911-1008

침투 방식

• E-Mail 첨부파일(.doc, .js, .pdf, zip 등) / ex) 제목: ATTN: Invoice J-98223146(Invoice, payment, document 등)

메일을 송장 및 결제내역으로 교묘하게 위장하여 첨부파일을 확인할 수 있도록 함

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, ppt, pptx, pdf, txt, png, jpg, jpeg,

psd, wav, mp4, mpg, avi, wmv, zip 외 100여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 locky로 변경

• 파일을 암호화한 폴더내에 1개의 파일을 생성 (_Locky_recover_instructions.*, _HELP_instructions.*)

• 바탕화면을 생성된 파일 내용으로 변경

• CryptoWall4.0과 같이 암호화된 파일명 변경 (F67091F1D24A922B1A7FC27E19A9D9BC.locky)​

• 연결되어 있지 않은 네트워크 상태에도 공유 데이터를 암호화

연혁

• 2016년 2월 Locky​​​

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

내용출처 : http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

 *​ CryptoWall3.0과 같은 UI를 사용하고 있지만 TeslaCrypt 기반인 것으로 확인 됨.

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 mp3로 변경

• 파일을 암호화한 폴더내에 3개의 파일을 생성 (Recovery.*, _H_e_l_p_RECOVER_INSTRUCTIONS.*)

• 유일하게 기존 확장자명으로 변조되며, mp3 파일은 감염시키지 않음

연혁

• 2013년 CryptoLocker

• 2014년 TeslaCrypt & AlphaCrypt

• 2015년 4월 TeslaCrypt & AlphaCrypt 

• 2015년 8월 TeslaCrypt 변종(.aaa)

​• 2015년 9월 TeslaCrypt 변종​(.abc)

• 2015년 10월 TeslaCrypt 변종​(.ccc)

• 2015년 11월 TeslaCrypt 변종​(.vvv)​

• 2016년 1월 TeslaCrypt 변종​(.xxx, .ttt, .micro)​​

• 2016년 2월 TeslaCrypt 변종​(.mp3)​​​

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

*​ CryptoWall3.0과 같은 UI를 사용하고 있지만 TeslaCrypt 기반인 것으로 확인 됨.

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3,

mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 xxx, ttt, micro로 변경

• 파일을 암호화한 폴더내에 2~3개의 파일을 생성

  (how_recover_file.* / help_recover_instructions.*)

연혁

• 2013년 CryptoLocker

• 2014년 TeslaCrypt & AlphaCrypt

• 2015년 4월 TeslaCrypt & AlphaCrypt 

• 2015년 8월 TeslaCrypt 변종(.aaa)

​• 2015년 9월 TeslaCrypt 변종​(.abc)

• 2015년 10월 TeslaCrypt 변종​(.ccc)

• 2015년 11월 TeslaCrypt 변종​(.vvv)​

• 2016년 1월 TeslaCrypt 변종​(.xxx, .ttt, .micro)​​

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

침투 방식

• BitLocker 취약점

•​ 사용자 계정을 악성코드로 탈취하여 PC or Server에 원격 (Terminal) 접근하여

   Windows 작업 스케줄러에 랜섬웨어 감염파일을 등록하여 동작

<!--[if !supportEmptyParas]--> <!--[endif]-->

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3,

   mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

<!--[if !supportEmptyParas]--> <!--[endif]-->

특징

• 모든 데이터를 D 혹은 다른 드라이브로 옮긴 후 BitLocker로 암호화

• 바탕화면에 PLEASE READ.txt파일생성

<!--[if !supportEmptyParas]--> <!--[endif]--> 

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3,

mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 파일명과 확장자를 랜덤한 영문과 숫자의 조합으로 변경

• 파일을 암호화한 폴더내에 3개의 파일을 생성 (HELP_YOUR_FILES.* / INSTRUCTIONS.*)

• 파일명을 변경시킨 최초 랜섬웨어

연혁

• 2014년 3월 CryptoDefense

​• 2014년 6월 CryptoWall

• 2014년 10월 CryptoWall2.0

• 2015년 1월 CryptoWall3.0

• 2015년 11월 CryptoWall4.0

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

* Temp 폴더의 파일을 암호화 하지 않음​

*​ CryptoWall3.0과 같은 UI를 사용하고 있지만 TeslaCrypt 기반인 것으로 확인 됨.

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3,

mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 aaa >​ abc >​ ccc >​ vvv로 변경

• 파일을 암호화한 폴더내에 2~3개의 파일을 생성

  (howto_restore_file_랜덤한 5자리 영문.*/howto_recover_file_랜덤한 5자리 영문.*)​

연혁

• 2013년 CryptoLocker

• 2014년 TeslaCrypt & AlphaCrypt

• 2015년 4월 TeslaCrypt & AlphaCrypt 

• 2015년 8월 TeslaCrypt 변종(.aaa)

​• 2015년 9월 TeslaCrypt 변종​(.abc)

• 2015년 10월 TeslaCrypt 변종​(.ccc)

• 2015년 11월 TeslaCrypt 변종​(.vvv)​

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

•​ 개발된 복원프로그램으로 무상 복원 가능​ : www.rancert.com/bbs/bbs.php?bbs_id=rest​

* Temp 폴더의 파일을 암호화 하지 않음​ 

• NK_IN YOUR FILES.txt

Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures, files and documents

<!--[if !supportEmptyParas]--> <!--[endif]-->

• VO_IN Documents.txt

Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures, files and documents

침투 방식

• 사용자 계정을 악성코드로 탈취하여 PC or Server에 원격 (Terminal) 접근하여

Windows 작업 스케줄러에 랜섬웨어 감염파일을 등록하여 동작

피해 범위

• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav,

mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일명 앞에 NK_, VO_ 문구가 생성

• 파일을 암호화한 폴더내에 1개의 파일을 생성

(NK_IN YOUR FILES.*/VO_IN Documents.*)

• Windows 작업 스케줄러에 프로그램 등록(1.bat, sysdll.exe)

감염파일 위치 >> C:Users%LoginAccount%AppDataRoamingSystemTempFolder

차이점

• 특별한 랜섬웨어 명칭(CryptoWall, Crypt0L0cker 등)이 없음

• 기존 PC공격에서 서버DB 공격으로 진화

• 기존 서버 기반에서 E-mail 기반 프로그램으로 변화

• 기존 랜섬웨어와 다르게 OS 실행시 동작하게 설정되어 있어 장비가 부팅되면 계속 동작

- Windows 작업 스케줄러에 등록된 감염파일(1.bat, sysdll.exe)을 삭제해줘야 함

침해예방

> 감염 중 확인시

• 랜섬웨어 동작을 위해 등록된 Windows 작업 스케줄러 제거

• 해커가 생성한 계정이 있는지 확인하여 제거

• PC or Server가 이유 없이 5~10분 이상 속도가 느려질 경우 시스템 강제종료

• Disk 분리 후 다른 장비에 옮겨 감염되지 않은 데이터를 복사 후 Disk 포맷 권장

> 원격데스크톱 서비스 사용시

• 기본 Port를 변경하여 운영

• 지정된 IP 및 계정만 접근할 수 있게 설정

• 접근 계정 및 패스워드를 보안 정책에 맞추어 설정 운영

> FTP 서비스 및 기타 서비스 운영시

• 기본 포트사용 금지

• 일반 FTP 프로토콜 사용 금지

• 시스템 로그인 계정과 서비스 계정을 다르게 설정 운영

• 불필요한 Port는 모두 차단

• PC or Server 데이터는 정기적으로 안전한 저장소에 백업 보관

연혁

• 2015년 8월 NK_, VO_

복원방법

•​ 해커에게 비용 지불(현재는 비용을 지불하여도 복원 가능여부 확인 불가)

* Temp 폴더의 ​파일을 암호화 하지 않음

출처 : 한국랜섬웨어침해대응센터

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 (첨부된 파일 패턴은 exe 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

   (방화벽 장비 무용지물) 

피해 범위

• PC에 연결된 자주 사용되는 파일(Office 확장자, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv, hwp 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, Network Drive, 감염PC에서 접근가능한 공유폴더

특징

• 파일의 확장자 ecc > ezz > exx로 변경

• 파일을 암호화한 폴더내에 1개의 파일을 생성( HELP_RESTORE_FILES.*)

• 200MB 이상의 파일은 손상시키지 않음.

연혁

• 2013년 CryptoLocker

• 2014년 TeslaCrypt & AlphaCrypt

• 2015년 TeslaCrypt & AlphaCrypt

복원방법

• 복원툴이 계속 개발되고 있으나 PC의 키 파일을 지우게끔 업데이트 되어 복호화툴이 있더라도 복원불가

* Temp 폴더의 파일을 암호화 하지 않음

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일(src) 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 (첨부된 파일 패턴은 zip, scr등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

  (방화벽 장비 무용지물) 

피해 범위

• PC에 연결된 자주 사용되는 파일(*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe 제외한 모든 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 랜덤한 7자리 문자로 변경

• 파일을 암호화한 폴더내에 2개의 파일을 생성 (Decrypt All Files???????.*)

연혁

•​ 2015년 1월 CTB-Locker

복원방법

•​ 해커에게 비용 지불(현재는 비용을 지불하여도 복원 가능여부 확인 불가)

* Temp 폴더의 파일을 암호화 하지 않음

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문 (첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물) 

피해 범위

• PC에 연결된 자주 사용되는 파일(Office 확장자, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv, hwp 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자 encrypted로 변경

• 파일을 암호화한 폴더내에 2개의 파일을 생성 (DECRYPT_INSTRUCTIONS.* / HOW_TO_RESTORE_FILES.*)

• 시스템 보호 기능의 백업본 삭제 후 동작

연혁

•​ 2014년 10월 TorrentLocker

​•​ 2015년 4월 Crypt0L0cker 아시아지역을 주타켓으로 공격(시만텍 정보)

•​ 2015년 4월 클리앙 사건으로 웹사이트 방문만으로 랜섬웨어 감염

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

* Temp 폴더의 파일을 암호화 하지 않음

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

​• 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 (첨부된 파일 패턴은 zip, exe, cab, pdf 등)

​• 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

   (방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자 변조 없음.

• 파일을 암호화한 폴더내에 3~4개의 파일을 생성 (HELP_DECRYPT.*)

• 파일의 고유 서명값 위변조

연혁

• 2014년 3월 CryptoDefense

​• 2014년 6월 CryptoWall

• 2014년 10월 CryptoWall2.0

• 2015년 1월 CryptoWall3.0

복원방법

​•​ 해커에게 비용 지불(현재는 비용을 지불하여도 복원 여부 확인불가)

*Temp 폴더의 파일을 암호화 하지 않음

출처 : 한국랜섬웨어침해대응센터

CryptoWall 3.0

랜섬웨어는 감염 메일또는 웹페이지, P2P등으로 감염되며, 파일 또는 일반 오피스 문서파일에 위장하여 배포 됩니다.

CryptoWall 3.0의 경우 js확장자를 가진 자바스크립트 실행 또는 office파일 속에 심어진 실행 파일로 감염 될 수 있습니다.

작성 글은 수집된 랜섬웨어 js확장자를 통해 감염되는 과정을 설명 드립니다.

랜섬웨어가 동작할 때 아래와 같은 메시지가 나타나며, 동일한 증상이 PC에 발생할 경우 CryptoWall 3.0을 의심하고 바로 PC를 종료해야 피해를 최소화 할 수 있습니다.

감염 후 파일이 모두 암호화되면 3개의 창이 화면에 나타나며, 데이터가 있는 폴더를 확인하면  4개의 파일이 문서가 있는 폴더마다 생성된 것을 확인할 수 있습니다.

모든 폴더가 아래와 같이 감염이 된 경우 파일 복원은 매우 어려우며, Windows 시스템 보호기능을 정기적으로 백업 하신 경우 본사이트의 “ 침해시 대처 방법” 란을 확인하여 복원을 시도할 수 있습니다.

침해시 증상은 Office문서(hwp,doc,docx,xls,xlsx,ppt,pptx,pdf 외 다수),  이미지파일(jpg,psd,ai 외 다수) 압축파일, txt파일을 포함하여 70여가지 확장자를 암호화 합니다.

암호화된 파일은 notepad 로 열었을 때 파일 헤더 값이 변경되었음을 확인할 수 있습니다.

랜섬웨어 감염파일은 아래 위치에서 감염파일을 실행하여 PC를 감염시킵니다.

해당 파일들은 랜섬웨어 감염 후 생성되며, 실행은 랜덤한 숫자 bat파일이 생성되어 이미지에 있는 파일들을 실행 합니다.

랜섬웨어는 PC의 데이터를 1회 감염시킨 후 프로그램은 더 이상 동작하지 않습니다.

감염시 데이터 암호화는 PC에 연결된 모든 드라이브, 폴더의 데이터를 암호화 합니다.

 - Cloud 저장소 : Daum Cloud, N Driver, dropbox, google Drive 등

 - Local 저장소 : Local Drive, NetWork Dirve, 외장 HDD 등

감염 후 PC가 재 부팅되면 감염시 생성되는 JPG,TXT,웹창을 열고 아래와 같은 추가적인 화면을 보여줍니다. 인증코드를 입력하면 추가 설명 화면을 확인할 수 있습니다.

코드를 입력하고 접속시 비용 지불 페이지가 나타나고 기간내에 지불을 하지 않을 경우 비용이 2배가 됨을 표시합니다.

사용하는 PC내에서 몇 개의 파일이 암호화 되었는지 표시하여 주며 테스트로

512k이하 파일을 복원하게 해주며, 등록한 파일은 정상적으로 복원됩니다.

현재,  비용을 지불한다고 해서 전체파일을 복원해 준다는 보장이 없으므로 비용 지불은 권장하지 않습니다.

랜섬웨어 감염파일 복원방법에 대하여 아직은 복원방법이 없으나 랜섬웨어침해센터 내에서 복원 방법을 연구 중에 있습니다.

이상 침해 과정을 설명드렸습니다.

앞으로 랜섬웨어에 감염되지 않게 조심하시고, 정기적으로 개인의 데이터를 백업하여 데이터를 보호 하는 것을 권장합니다.

클라우드백업 바로가기 

이번에 발견된 랜섬웨어의 일종인 ‘크립토월(CryptoWall)’은 이메일, 웹링크를 통하여 전파되며, 지금도 국내 일부 사용자의 파일을 암호화한 후 금전을 요구하고 있다.

특징
해당 악성 코드는 감염시 특정 확장자 파일을 RSA-2048 알고리즘을 이용하여 암호화하고, 해당 폴더에 4가지 파일을 남깁니다. HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, HELP_DECRYPT 해당 파일에는 RSA-2048 알고리즘이 무엇인지, 복구 방법은 무엇인지, 파일을 정상화 하려면 어떻게 해야 하는지에 대해 설명해주며, 그 대가로 사용자에게 금전을 요구한다.

주의 사항
최근 사례로 해당 비트코인을 지불하여도 모든 파일을 복구할 수 있다는 보장도 없으므로, 문제가 발생하기 전에 수시로 백업을 받아 두는 것이 안전하다.

2015년 피해 사례

· 1월 서울 모기업 : 사용하던 PC내의 Drive에 있는 오피스 문서와 이미지 파일이 암호화 되고 복호화 하지 못하여 업무 수행에 큰 피해를 입음 (HWP제외)

· 2월 서울 모기업 : 사용하던 PC내의 Drive 및 파일서버 일부 오피스 문서와 개발 소스가 암호화 되고 복호화 하지 못하였으며, 1주일 전 백업 본 파일이 있어 1주일 작업분의 데이터를 유실(HWP제외)

· 인천 모기업  : 사용하던 PC내의 Drive에있는 파일이 암호화 되어 복호화 하지 못하여, 모든 업무 데이터 90% 유실. 이메일을 통하여 10%정도의 데이터 복원.

PC 보호 방법
정기적인 데이터 백업   : 안정성이 검증된 백업 SW정보 확인클라우드백업 바로가기
시스템 보호  :  

출처 : 한국랜섬웨어침해대응센터