PETABYTE

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문 (첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물) 

피해 범위

• PC에 연결된 자주 사용되는 파일(Office 확장자, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv, hwp 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자 encrypted로 변경

• 파일을 암호화한 폴더내에 2개의 파일을 생성 (DECRYPT_INSTRUCTIONS.* / HOW_TO_RESTORE_FILES.*)

• 시스템 보호 기능의 백업본 삭제 후 동작

연혁

•​ 2014년 10월 TorrentLocker

​•​ 2015년 4월 Crypt0L0cker 아시아지역을 주타켓으로 공격(시만텍 정보)

•​ 2015년 4월 클리앙 사건으로 웹사이트 방문만으로 랜섬웨어 감염

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

* Temp 폴더의 파일을 암호화 하지 않음

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

​• 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 (첨부된 파일 패턴은 zip, exe, cab, pdf 등)

​• 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

   (방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자 변조 없음.

• 파일을 암호화한 폴더내에 3~4개의 파일을 생성 (HELP_DECRYPT.*)

• 파일의 고유 서명값 위변조

연혁

• 2014년 3월 CryptoDefense

​• 2014년 6월 CryptoWall

• 2014년 10월 CryptoWall2.0

• 2015년 1월 CryptoWall3.0

복원방법

​•​ 해커에게 비용 지불(현재는 비용을 지불하여도 복원 여부 확인불가)

*Temp 폴더의 파일을 암호화 하지 않음

출처 : 한국랜섬웨어침해대응센터

CryptoWall 3.0

랜섬웨어는 감염 메일또는 웹페이지, P2P등으로 감염되며, 파일 또는 일반 오피스 문서파일에 위장하여 배포 됩니다.

CryptoWall 3.0의 경우 js확장자를 가진 자바스크립트 실행 또는 office파일 속에 심어진 실행 파일로 감염 될 수 있습니다.

작성 글은 수집된 랜섬웨어 js확장자를 통해 감염되는 과정을 설명 드립니다.

랜섬웨어가 동작할 때 아래와 같은 메시지가 나타나며, 동일한 증상이 PC에 발생할 경우 CryptoWall 3.0을 의심하고 바로 PC를 종료해야 피해를 최소화 할 수 있습니다.

감염 후 파일이 모두 암호화되면 3개의 창이 화면에 나타나며, 데이터가 있는 폴더를 확인하면  4개의 파일이 문서가 있는 폴더마다 생성된 것을 확인할 수 있습니다.

모든 폴더가 아래와 같이 감염이 된 경우 파일 복원은 매우 어려우며, Windows 시스템 보호기능을 정기적으로 백업 하신 경우 본사이트의 “ 침해시 대처 방법” 란을 확인하여 복원을 시도할 수 있습니다.

침해시 증상은 Office문서(hwp,doc,docx,xls,xlsx,ppt,pptx,pdf 외 다수),  이미지파일(jpg,psd,ai 외 다수) 압축파일, txt파일을 포함하여 70여가지 확장자를 암호화 합니다.

암호화된 파일은 notepad 로 열었을 때 파일 헤더 값이 변경되었음을 확인할 수 있습니다.

랜섬웨어 감염파일은 아래 위치에서 감염파일을 실행하여 PC를 감염시킵니다.

해당 파일들은 랜섬웨어 감염 후 생성되며, 실행은 랜덤한 숫자 bat파일이 생성되어 이미지에 있는 파일들을 실행 합니다.

랜섬웨어는 PC의 데이터를 1회 감염시킨 후 프로그램은 더 이상 동작하지 않습니다.

감염시 데이터 암호화는 PC에 연결된 모든 드라이브, 폴더의 데이터를 암호화 합니다.

 - Cloud 저장소 : Daum Cloud, N Driver, dropbox, google Drive 등

 - Local 저장소 : Local Drive, NetWork Dirve, 외장 HDD 등

감염 후 PC가 재 부팅되면 감염시 생성되는 JPG,TXT,웹창을 열고 아래와 같은 추가적인 화면을 보여줍니다. 인증코드를 입력하면 추가 설명 화면을 확인할 수 있습니다.

코드를 입력하고 접속시 비용 지불 페이지가 나타나고 기간내에 지불을 하지 않을 경우 비용이 2배가 됨을 표시합니다.

사용하는 PC내에서 몇 개의 파일이 암호화 되었는지 표시하여 주며 테스트로

512k이하 파일을 복원하게 해주며, 등록한 파일은 정상적으로 복원됩니다.

현재,  비용을 지불한다고 해서 전체파일을 복원해 준다는 보장이 없으므로 비용 지불은 권장하지 않습니다.

랜섬웨어 감염파일 복원방법에 대하여 아직은 복원방법이 없으나 랜섬웨어침해센터 내에서 복원 방법을 연구 중에 있습니다.

이상 침해 과정을 설명드렸습니다.

앞으로 랜섬웨어에 감염되지 않게 조심하시고, 정기적으로 개인의 데이터를 백업하여 데이터를 보호 하는 것을 권장합니다.

클라우드백업 바로가기 

이번에 발견된 랜섬웨어의 일종인 ‘크립토월(CryptoWall)’은 이메일, 웹링크를 통하여 전파되며, 지금도 국내 일부 사용자의 파일을 암호화한 후 금전을 요구하고 있다.

특징
해당 악성 코드는 감염시 특정 확장자 파일을 RSA-2048 알고리즘을 이용하여 암호화하고, 해당 폴더에 4가지 파일을 남깁니다. HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, HELP_DECRYPT 해당 파일에는 RSA-2048 알고리즘이 무엇인지, 복구 방법은 무엇인지, 파일을 정상화 하려면 어떻게 해야 하는지에 대해 설명해주며, 그 대가로 사용자에게 금전을 요구한다.

주의 사항
최근 사례로 해당 비트코인을 지불하여도 모든 파일을 복구할 수 있다는 보장도 없으므로, 문제가 발생하기 전에 수시로 백업을 받아 두는 것이 안전하다.

2015년 피해 사례

· 1월 서울 모기업 : 사용하던 PC내의 Drive에 있는 오피스 문서와 이미지 파일이 암호화 되고 복호화 하지 못하여 업무 수행에 큰 피해를 입음 (HWP제외)

· 2월 서울 모기업 : 사용하던 PC내의 Drive 및 파일서버 일부 오피스 문서와 개발 소스가 암호화 되고 복호화 하지 못하였으며, 1주일 전 백업 본 파일이 있어 1주일 작업분의 데이터를 유실(HWP제외)

· 인천 모기업  : 사용하던 PC내의 Drive에있는 파일이 암호화 되어 복호화 하지 못하여, 모든 업무 데이터 90% 유실. 이메일을 통하여 10%정도의 데이터 복원.

PC 보호 방법
정기적인 데이터 백업   : 안정성이 검증된 백업 SW정보 확인클라우드백업 바로가기
시스템 보호  :  

출처 : 한국랜섬웨어침해대응센터