Spora 랜섬웨어 분석 보고서




1. 개요 


몸값을 뜻하는 랜섬(Ransom)과 제품을 뜻하는 웨어(Ware)의 합성어인 랜섬웨어(Ransomware)는 사용자의 데이터를 동의없이 암호화하여 인질로 잡아 금전적 요구를 하는 악성 프로그램이다. 익명성이 보장되는 비트코인(Bitcoin)의 활용으로 이러한 랜섬웨어의 대금 지불이 용이하게 되어 가장 활발하게 활동하는 악성코드가 되었다. 해당 보고서에서 다루는 악성코드는 앞서 설명한 랜섬웨어의 일종이며, 최근 유명 악성코드 군에 합류한 랜섬웨어이다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

spora.exe

파일크기

77,824 byte

진단명

Ransom/W32.Spora.77824.L

악성동작

랜섬웨어

해쉬(MD5)

57484440F7BE94394FD851DE3E416285

 



2-2. 유포 경로

랜섬웨어 Spora는 피싱 이메일와 손상된 웹사이트를 통해 유포되었다.



2-3. 실행 과정

해당 악성코드는 파일 감염 후 자신을 “/u” 파라미터로 다시 실행하는데, 이 과정에서 UAC 팝업이 나타나며 사용자가 수락할 때까지 반복해서 나타난다. 파일 암호화 이후 아래 그림과 같은 html 포맷의 랜섬노트를 띄운다.

 

[그림 1] 랜섬노트[그림 1] 랜섬노트





3. 악성 동작


3-1. 파일 암호화

[그림 2]과 같은 확장자를 대상으로 파일 암호화를 진행하며, [그림 3]의 문자열을 포함하는 폴더는 암호화 대상에서 제외된다.

 

[그림 2] 암호화 대상 파일 확장자[그림 2] 암호화 대상 파일 확장자


 

[그림 3] 제외 폴더[그림 3] 제외 폴더




대상 파일 암호화 시 아래 그림과 같이 각 파일마다 각각의 128바이트의 암호화 키를 생성하여 암호화 하고, 파일 암호화에 쓰인 키는 또 다시 이전에 생성해 두었던 RSA키로 암호화되어 파일 끝 부분에 붙이고, 암호화된 암호화 키의 CRC 4바이트를 마지막에 붙인다.

 

[그림 4] 암호화된 파일 구조[그림 4] 암호화된 파일 구조




이로 인하여 같은 내용의 파일도 암호화된 결과가 다르며, 파일 이름의 변화 없이 파일 끝의 132 바이트를 검증하여 암호화 유무를 파악할 수 있게 된다.





3-2. 볼륨 쉐도우(shadow) 복사본 삭제

아래 그림과 같이 쉐도우 복사본을 삭제하여 복구하여 시스템 복원을 불가능하게 만든다.

 

[그림 5] 쉐도우 파일 삭제[그림 5] 쉐도우 파일 삭제





4. 결론

해당 악성코드는 html 포맷의 랜섬노트 hidden 필드에 base64로 인코딩된 피해자 정보를 입력하여, 감염 당시 피해자의 네트워크 연결 상태와 관계없이 피해자 식별이 가능하도록 구현되어 있다. 이러한 악성코드 감염의 예방을 위해선 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

2.0 버전으로 나타난 세이지 랜섬웨어 상세 분석




1. 개요 


지난 12월 CryLocker의 변종인 Sage 랜섬웨어가 나타났다. 당시 여타 랜섬웨어에 비해 활동이 적은 것으로 보였으나, RIG 익스플로잇 킷에 의해 배포되고 있다는 것으로 파악되며 점차 큰 성장세를 엿볼 수가 있었다. 그리고 한달 만에 새로운 2.0 버전으로 다시 유포되기 시작하였다.

이번 분석보고서에서는 Sage 랜섬웨어 2.0 버전에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

sage.exe (임의의 파일명)

파일크기

352,328 bytes

진단명

Ransom/W32.SageCrypt.352328

악성동작

파일 암호화, 금전 요구

 



2-2. 유포 경로

해당 랜섬웨어는 스팸 메일을 통해 유포되고 있는 것으로 확인 된다. 주로 첨부 파일의 이름이 EMAIL_[임의의 숫자]_recipient.zip 과 같은 형태로 되어 있는 것을 확인할 수 있다.




2-3. 실행 과정

메일에 첨부된 ZIP 파일에는 JS 파일이 있으며 이를 실행할 경우 암호화 동작을 수행하는 파일을 생성 후 실행하는 것을 확인할 수 있다. 암호화가 진행된 후 사용자의 바탕화면은 아래와 같이 변경된 것을 확인할 수 있다.


[그림] 감염 후 사용자 바탕화면[그림] 감염 후 사용자 바탕화면



3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어를 실행하면 자동 실행 등록을 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다. 링크 파일은 %APPDATA% 하위에 복사된 임의의 이름의 랜섬웨어를 가리키고 있다.


[그림] 자동 실행 링크 파일 생성[그림] 자동 실행 링크 파일 생성




3-2. 볼륨 섀도 복사본 제거

사용자가 PC를 암호화 하기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다. 아래 그림의 Command line과 같은 명령어로 기존에 생성된 볼륨 섀도 복사본을 모두 삭제한다.

[그림] 볼륨 섀도 복사본 제거[그림] 볼륨 섀도 복사본 제거


3-3. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 “.sage” 라는 확장자를 덧붙인다.

[그림] 암호화 된 파일[그림] 암호화 된 파일



암호화 대상이 되는 파일의 확장자는 다음과 같다.

구분

내용

암호화 대상 파일 확장자

.dat .mx0 .cd .pdb .xqx .old .cnt .rtp .qss .qst .fx0 .fx1 .ipg .ert .pic .img .cur .fxr .slk .m4u .mpe .mov .wmv .mpg .vob .mpeg .3g2 .m4v .avi .mp4 .flv .mkv .3gp .asf .m3u .m3u8 .wav .mp3 .m4a .m .rm .flac .mp2 .mpa .aac .wma .djv .pdf .djvu .jpeg .jpg .bmp .png .jp2 .lz .rz .zipx .gz .bz2 .s7z .tar .7z .tgz .rar .zip .arc .paq .bak .set .back .std .vmx .vmdk .vdi .qcow .ini .accd .db .sqli .sdf .mdf .myd .frm .odb .myi .dbf .indb .mdb .ibd .sql .cgn .dcr .fpx .pcx .rif .tga .wpg .wi .wmf .tif .xcf .tiff .xpm .nef .orf .ra .bay .pcd .dng .ptx .r3d .raf .rw2 .rwl .kdc .yuv .sr2 .srf .dip .x3f .mef .raw .log .odg .uop .potx .potm .pptx .rss .pptm .aaf .xla .sxd .pot .eps .as3 .pns .wpd .wps .msg .pps .xlam .xll .ost .sti .sxi .otp .odp .wks .vcf .xltx .xltm .xlsx .xlsm .xlsb .cntk .xlw .xlt .xlm .xlc .dif .sxc .vsd .ots .prn .ods .hwp .dotm .dotx .docm .docx .dot .cal .shw .sldm .txt .csv .mac .met .wk3 .wk4 .uot .rtf .sldx .xls .ppt .stw .sxw .dtd .eml .ott .odt .doc .odm .ppsm .xlr .odc .xlk .ppsx .obi .ppam .text .docb .wb2 .mda .wk1 .sxm .otg .oab .cmd .bat .h .asx .lua .pl .as .hpp .clas .js .fla .py .rb .jsp .cs .c .jar .java .asp .vb .vbs .asm .pas .cpp .xml .php .plb .asc .lay6 .pp4 .pp5 .ppf .pat .sct .ms11 .lay .iff .ldf .tbk .swf .brd .css .dxf .dds .efx .sch .dch .ses .mml .fon .gif .psd .html .ico .ipe .dwg .jng .cdr .aep .aepx .123 .prel .prpr .aet .fim .pfb .ppj .indd .mhtm .cmx .cpt .csl .indl .dsf .ds4 .drw .indt .pdd .per .lcd .pct .prf .pst .inx .plt .idml .pmd .psp .ttf .3dm .ai .3ds .ps .cpx .str .cgm .clk .cdx .xhtm .cdt .fmv .aes .gem .max .svg .mid .iif .nd .2017 .tt20 .qsm .2015 .2014 .2013 .aif .qbw .qbb .qbm .ptb .qbi .qbr .2012 .des .v30 .qbo .stc .lgb .qwc .qbp .qba .tlg .qbx .qby .1pa .ach .qpd .gdb .tax .qif .t14 .qdf .ofx .qfx .t13 .ebc .ebq .2016 .tax2 .mye .myox .ets .tt14 .epb .500 .txf .t15 .t11 .gpc .qtx .itf .tt13 .t10 .qsd .iban .ofc .bc9 .mny .13t .qxf .amj .m14 ._vc .tbp .qbk .aci .npc .qbmb .sba .cfp .nv2 .tfx .n43 .let .tt12 .210 .dac .slp .qb20 .saj .zdb .tt15 .ssg .t09 .epa .qch .pd6 .rdy .sic .ta1 .lmr .pr5 .op .sdy .brw .vnd .esv .kd3 .vmb .qph .t08 .qel .m12 .pvc .q43 .etq .u12 .hsr .ati .t00 .mmw .bd2 .ac2 .qpb .tt11 .zix .ec8 .nv .lid .qmtf .hif .lld .quic .mbsb .nl2 .qml .wac .cf8 .vbpf .m10 .qix .t04 .qpg .quo .ptdb .gto .pr0 .vdf .q01 .fcr .gnc .ldc .t05 .t06 .tom .tt10 .qb1 .t01 .rpf .t02 .tax1 .1pe .skg .pls .t03 .xaa .dgc .mnp .qdt .mn8 .ptk .t07 .chg .#vc .qfi .acc .m11 .kb7 .q09 .esk .09i .cpw .sbf .mql .dxi .kmo .md .u11 .oet .ta8 .efs .h12 .mne .ebd .fef .qpi .mn5 .exp .m16 .09t .00c .qmt .cfdi .u10 .s12 .qme .int? .cf9 .ta5 .u08 .mmb .qnx .q07 .tb2 .say .ab4 .pma .defx .tkr .q06 .tpl .ta2 .qob .m15 .fca .eqb .q00 .mn4 .lhr .t99 .mn9 .qem .scd .mwi .mrq .q98 .i2b .mn6 .q08 .kmy .bk2 .stm .mn1 .bc8 .pfd .bgt .hts .tax0 .cb .resx .mn7 .08i .mn3 .ch .meta .07i .rcs .dtl .ta9 .mem .seam .btif .11t .efsl .$ac .emp .imp .fxw .sbc .bpw .mlb .10t .fa1 .saf .trm .fa2 .pr2 .xeq .sbd .fcpa .ta6 .tdr .acm .lin .dsb .vyp .emd .pr1 .mn2 .bpf .mws .h11 .pr3 .gsb .mlc .nni .cus .ldr .ta4 .inv .omf .reb .qdfx .pg .coa .rec .rda .ffd .ml2 .ddd .ess .qbmd .afm .d07 .vyr .acr .dtau .ml9 .bd3 .pcif .cat .h10 .ent .fyc .p08 .jsd .zka .hbk .mone .pr4 .qw5 .cdf .gfi .cht .por .qbz .ens .3pe .pxa .intu .trn .3me .07g .jsda .2011 .fcpr .qwmo .t12 .pfx .p7b .der .nap .p12 .p7c .crt .csr .pem .gpg .key

[1] 암호화 대상 파일 확장자



3-4. 결제 안내

암호화가 진행되면서 각 폴더에는 “!Recovery_***.html” 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다. 하지만 현재 해당 사이트는 정상적으로 접속이 이루어지지 않는다.

[그림] 랜섬노트[그림] 랜섬노트






4. 결론


Sage 랜섬웨어가 한달 만에 새로운 버전으로 돌아왔다는 점에서 Cerber 랜섬웨어와 같이 지속적으로 변종을 생성할 수도 을 것으로 보인다. 현재 RIG 익스플로잇 킷과 결합한 Sage 랜섬웨어는 공격적인 유포 방식을 전개할 가능성이 있어 주의가 필요하다. 


랜섬웨어에 대한 피해를 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하여 최신 업데이트를 유지하여야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

피해자를 가해자로, PopcornTime 랜섬웨어 분석




1. 개요 


랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 사용자에게 금전을 요구하는 악성 프로그램을 말한다. 대부분의 랜섬웨어는 사용자의 파일을 암호화한 뒤 비트코인을 보내면 복호화를 해준다며 금전을 요구하는데 최근 복호화 방법으로 비트코인 지불 외에 다른 방법을 거론하는 ‘PopcornTime’ 랜섬웨어가 발견되었다. 


PopcornTime 랜섬웨어는 파일을 복호화 하기 위해 타 랜섬웨어와 같이 비트코인을 요구하지만 또 다른 복호화 방법을 사용자에게 알려준다. 그 방법은 랜섬웨어 피해자가 랜섬웨어를 유포하게 만드는 것이다. 랜섬웨어 감염자에게 무료 복호화 방안으로 본인을 제외한 다른 이 2명을 감염시키고 비트코인을 지불하게 할 것을 부추긴다. 


이번 보고서에서는 피해자가 또 다른 피해자를 낳게 하는 PopcornTime 랜섬웨어에 대해 자세히 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

setup.exe

파일크기

100,864 byte

진단명

Ransom/W32.PopcornTime.100864

악성동작

파일 암호화, 금전 요구

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 랜섬웨어에 감염된 사용자가 비트코인을 지불하지 않고 다른 사람을 감염 시키기 위해 직접 유포할 수도 있어 출처가 불분명한 링크나 첨부 파일은 주의하여야 한다.




2-3. 실행 과정

해당 랜섬웨어가 실행되면 아래와 같은 화면이 출력된다. 이는 어떠한 파일을 다운로드하고 설치하는 것처럼 보이지만, 사실 파일 암호화가 진행되고 있는 것이다.


[그림 1] 랜섬웨어 실행 후 나타나는 화면[그림 1] 랜섬웨어 실행 후 나타나는 화면






3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC 를 강제로 종료하더라도 다시 사용자가 PC 에 로그온하면 실행되어 암호화를 재개한다.


[그림 2] 자동 실행 등록[그림 2] 자동 실행 등록





3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.filock’ 이라는 확장자가 덧붙여지며, ‘save_your_files’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일과 랜섬노트를 보여준다.

[그림 3] 암호화 된 파일과 랜섬노트[그림 3] 암호화 된 파일과 랜섬노트


암호화 대상이 되는 파일의 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .aaf .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .aep .aepx .aes .aet .agdl .ai .aif .aiff .ait .al .amr .aoi .apj .apk .arch00 .arw .as .as3 .asf .asm .asp .aspx .asset .asx .atr .avi .awg .back .backup .backupdb .bak .bar .bay .bc6 .bc7 .bdb .bgt .big .bik .bin .bkf .bkp .blend .blob .bmd .bmp .bpw .bsa .c .cas .cdc .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cfr .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .d3dbsp .dac .dar .das .dat .dazip .db .db0 .db3 .dba .dbf .dbx .db_journal .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .desc .design .dgc .dir .dit .djvu .dmp .dng .doc .docb .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .easm .edb .efx .eml .epk .eps .erbsql .erf .esm .exf .fdb .ff .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .forge .fos .fpk .fpx .fsh .fxg .gdb .gdoc .gho .gif .gmap .gray .grey .groups .gry .gsheet .h .hbk .hdd .hkdb .hkx .hplg .hpp .htm .html .hvpl .ibank .ibd .ibz .icxs .idml .idx .iff .iif .iiq .incpas .indb .indd .indl .indt .inx .itdb .itl .itm .iwd .iwi .jar .java .jnt .jpe .jpeg .jpg .js .kc2 .kdb .kdbx .kdc .key .kf .kpdx .kwm .laccdb .layout .lbf .lck .ldf .lit .litemod .log .lrf .ltx .lua .lvl .m .m2 .m2ts .m3u .m3u8 .m4a .m4p .m4u .m4v .map .max .mbx .mcmeta .md .mdb .mdbackup .mdc .mddata .mdf .mdi .mef .menu .mfw .mid .mkv .mlb .mlx .mmw .mny .mos .mov .mp3 .mp4 .mpa .mpeg .mpg .mpp .mpqge .mrw .mrwref .msg .myd .nc .ncf .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .ntl .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pak .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pkpass .pl .plb .plc .plt .plus_muhd .pmd .png .po .pot .potm .potx .ppam .ppj .ppk .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prf .prproj .ps .psafe3 .psd .psk .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qdf .qed .qic .r3d .ra .raf .rar .rat .raw .rb .rdb .re4 .rgss3a .rim .rm .rofl .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sb .sd0 .sda .sdf .ses .shx .sid .sidd .sidn .sie .sis .sldasm .sldblk .sldm .sldprt .sldx .slm .snx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stl .stm .stw .stx .sum .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .syncdb .t12 .t13 .tap .tax .tex .tga .thm .tif .tlg .tor .txt .upk .v3d .vbox .vcf .vdf .vdi .vfs0 .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .vpk .vpp_pc .vtf .w3x .wab .wad .wallet .wav .wb2 .wma .wmo .wmv .wotreplay .wpd .wps .x11 .x3f .xf .xis .xla .xlam .xlk .xll .xlm .xlr .xls .xlsb .xlsb3dm .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx .xxx .ycbcra .yuv .zip .ztmp

[1] 암호화 대상 파일 확장자


파일 암호화가 완료된 후 아래와 같은 화면을 띄워 사용자가 랜섬웨어에 감염되었음을 알린다.

[그림 4] 파일 암호화 완료 후 출력되는 화면[그림 4] 파일 암호화 완료 후 출력되는 화면




3-3. 금액 요구 및 복호화 안내

랜섬노트에는 사용자의 파일이 암호화 되었음을 알려준다. 그리고 사용자에게 개인 ID 와 비트코인 주소를 알려주며 1 비트코인을 요구한다.

[그림 5] 랜섬노트[그림 5] 랜섬노트


랜섬노트에는 파일 복호화를 위한 두 가지 방안을 제시한다. 하나는 위에서와 언급한 바와 같이 비트코인을 지불하는 것이며, 다른 하나는 특정 링크를 다른 사람에게 보내라는 것이다. 이 링크를 통해 다른 2명 이상의 사용자가 감염되어 비트코인을 지불하면 무료로 복호화 해준다고 제시한다.

[그림 6] 복호화 방법 안내[그림 6] 복호화 방법 안내



4. 결론


PopcornTime 랜섬웨어는 피해를 입은 사용자가 랜섬웨어 유포에 동참하게끔 한다. 비트코인을 지불하는 것보다 비용 없이 복호화 해준다는 제안에 직접 악성코드를 유포 할 수 있지만, 악성코드 유포는 엄연한 위법 행위로 범죄자가 될 수 있다. 다행히 현재 유포된 PopcornTime 랜섬웨어는 복호화 키가 파일에 존재하고 있어 복호화가 가능하다. 하지만 변종이나 유사한 방식의 다른 랜섬웨어가 나타날 경우 복호화는 어려우며 사용자는 선택의 기로에 놓일 것이다.


더 이상 랜섬웨어는 특정 캠페인이나 취약점 등을 이용하는 것만 아니라 사용자를 직접 랜섬웨어 유포 경로로 사용하는 등 변화하고 있다. 따라서 개인, 기업 사용자는 랜섬웨어 감염을 피하기 위해 각별한 주의를 기울여야 한다. 랜섬웨어 피해를 예방하기 위해선 불분명한 링크나 첨부 파일은 열어보지 말고, 안티바이러스 제품을 설치, 최신 업데이트를 유지해야 한다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

크리스마스 이브에 유포된 DeriaLock 랜섬웨어




1. 개요 


악성코드를 제작하거나 유포하는 이들은 사회적 이슈를 많이 활용한다. 특히 어떠한 큰 행사나 기념일과 같은 때에 더욱 기승을 부리기도 한다. 이번 크리스마스 역시 새로운 악성코드 DeriaLock 랜섬웨어가 나타났다. 이번 보고서에서는 DeriaLock 랜섬웨어에 대해 알아보자.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

DeriaLock.exe (임의의 파일명)

파일크기

581,632 bytes

진단명

Ransom/W32.Derialock.581632

악성동작

파일 암호화, 금전 요구

네트워크

a*********e.b*****d.net

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어가 크리스마스 이브에 유포되었다는 점에서 연말과 새해가 되는 시점 또한 주의하여야 한다.




2-3. 실행 과정

현재 발견된 DeriaLock 랜섬웨어는 파일을 암호화 시키지 않고 화면만을 잠근다. 화면을 잠근 후 사용자가 해당 프로세스를 종료할 수 없도록 ‘cmd.exe’ 와 ‘taskmgr.exe’ 등을 종료시킨다.





3. 악성 동작


3-1. 프로세스 종료

DeriaLock 랜섬웨어는 특정 프로세스를 찾아 종료한다.


[그림 1] 프로세스 종료[그림 1] 프로세스 종료




대상이 되는 프로세스는 아래와 같다. cmd.exe, taskmgr.exe 등을 강제로 종료하여 사용자가 악성 프로세스를 종료 시키지 못하도록 한다.

대상 프로세스 목록

taskmgr

regedit

msconfig

utilman

cmd

explorer

certmgr

control

cscript

procexp

procexp32

procexp64

[ 1] 대상 프로세스 목록



3-2. 화면 잠금

해당 랜섬웨어는 파일을 암호화하는 대신 아래와 같이 화면을 잠근다. 이로 인해 사용자는 해당 화면 외에 다른 화면을 볼 수가 없어 아무런 동작을 할 수 없게 된다.

[그림 2] 화면 잠금[그림 2] 화면 잠금



3-3. 기타

랜섬웨어 개발자는 본인의 PC를 실수로 감염시키는 것을 방지하기 위하여 컴퓨터 고유의 해시 값을 확인한다. 제작자가 지정한 해당 해시 값을 갖는 PC 의 경우 화면 잠금 동작을 수행하지 않고 프로그램이 종료된다.

[그림 3] 컴퓨터 고유의 해시 값 비교[그림 3] 컴퓨터 고유의 해시 값 비교


추가적인 파일을 특정 주소로부터 다운 받는다. 다운로드에 성공할 경우 해당 프로그램을 시작 메뉴 폴더에 ‘SystemLock.exe’ 라는 이름으로 저장한다. 이로 인해 PC 가 사용자가 PC 를 끄고 다시 로그온을 하면 해당 프로그램이 실행된다.

[그림 4] 파일 다운로드[그림 4] 파일 다운로드



4. 결론


해당 랜섬웨어는 아직 다른 랜섬웨어와 같이 큰 피해를 유발하지는 않지만, 추후 다른 변종이 활성화 될 경우 점차 그 피해가 커질 것이다. 2016년 한해를 마무리 짓고 2017년의 시작을 준비하는 이때, 랜섬웨어로 인한 피해를 주의하여야 한다.


랜섬웨어에 대한 피해를 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하여 최신 업데이트를 유지하여야 한다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

부팅 막는 랜섬웨어, Petya의 변종 GoldenEye




1. 개요 


2016년 3월 MBR 영역을 변조하여 PC 부팅 시 해골 화면을 띄우는 랜섬웨어인 Petya 가 모습을 드러냈다. 이 랜섬웨어에 감염되면 MBR 이 변조 되는 것뿐만 아니라 MFT 까지 암호화를 진행하여 사용자가 PC 를 사용할 수 없도록 한 뒤 비트코인을 요구하였다. 5월에는 Petya가 Micha 와 함께 다시 나타나 MBR 뿐만 아니라 사용자의 파일까지 암호화 시키는 동작을 수행하였다.

최근 Petya 랜섬웨어의 새로운 변종이 새로이 유포되고 있는 것이 확인되었다. 랜섬웨어에 감염된 사용자 PC 화면에 노란해골 화면을 띄우는 GoldenEye 랜섬웨어를 본 보고서에서 다루고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

GoldenEye.xls (임의의 파일명)

파일크기

1,805,312 byte

진단명

Ransom/X97M.Goldeneye.1805312

악성동작

파일 드롭 및 실행

  

구분

내용

파일명

rad[임의의5자리].exe

파일크기

368,640 byte

진단명

Ransom/W32.Goldeneye.368640

악성동작

파일 암호화, MBR 변조

 



2-2. 유포 경로

GoldenEye 랜섬웨어는 이메일에 첨부되어 유포되고 있다. 첨부된 파일은 .xls 파일로 해당 파일을 열어 매크로를 실행시키면 랜섬웨어를 실행하여 암호화 동작을 수행한다.




2-3. 실행 과정

첨부된 xls 파일의 매크로를 실행하면 랜섬웨어 파일이 드롭 후 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 PC의 MBR을 변조한다. 이 두 동작이 완료되면 PC를 강제로 재부팅 시켜 변조된 MBR의 코드가 실행된다. 모든 동작을 수행한 뒤 랜섬웨어는 아래와 같은 해골 문양의 화면을 출력한다.


[그림 1] 감염된 사용자 화면[그림 1] 감염된 사용자 화면




3. 악성 동작


3-1. 매크로 실행 유도 및 파일 드롭

첨부된 .xls 파일을 실행하면 다음과 같은 문구가 쓰여있는 것을 확인할 수 있다. 이는 파일의 내용을 확인하고 싶으면 매크로 기능을 활성화하라는 문구로, 사용자가 매크로 기능을 실행하게끔 유도하는 것을 확인할 수 있다. 매크로가 실행되면 암호화 동작을 수행하는 랜섬웨어가 사용자의 PC 에 드롭된 후 실행된다.


[그림 2] 매크로 실행[그림 2] 매크로 실행





3-2. 파일 암호화

드롭된 랜섬웨어는 사용자의 파일을 찾아 암호화한다. 암호화된 파일의 이름에는 “a.xlsx” 가 “a.xlsx.12345678” 과 같이 임의의 8자리 문자가 덧붙여진다. 또한 “YOUR_FILES_ARE_ENCRYPTED” 라는 이름의 랜섬노트가 생성 된 것을 확인 할 수 있다.

[그림 3] 암호화된 파일[그림 3] 암호화된 파일


랜섬노트에는 아래와 같이 사용자의 파일이 암호화 되었다는 문구와 복호화 안내 문구가 써있다.

[그림 4] 랜섬노트 파일[그림 4] 랜섬노트 파일


3-3. MBR 변조 및 MFT 암호화

파일 암호화뿐만 아니라 MBR 또한 변조하며 이 두 동작이 완료되면 PC 를 강제로 재부팅 시킨다. 재부팅하는 PC는 변조된 MBR 코드를 실행하게 되며 아래와 같이 “CHKDSK” 작업이 진행 중임을 나타낸다. 실제로 디스크를 점검하는 것처럼 보이지만 실상은 사용자 PC 의 MFT 를 암호화하고 있는 것이다.

[그림 5] MFT 암호화[그림 5] MFT 암호화


MFT 암호화가 완료되면 다시 PC가 부팅되며 노란 해골 화면이 출력된다. 그리고 다음 화면으로 진행하면 아래와 같이 GoldenEye 랜섬웨어에 의해 사용자의 PC 가 암호화 되었다는 사실을 알려준다.

[그림 6] 변조된 MBR[그림 6] 변조된 MBR


3-4. 금전 요구

랜섬노트에서 안내하는 페이지로 접속할 경우 GoldenEye 랜섬웨어 복호화 사이트에 접속할 수 있다. 해당 랜섬웨어는 약 1.3 비트코인을 요구하고 있다. 현재 FAQ는 활성화 되어 있지 않고 Support 페이지를 통해 랜섬웨어 배포자에게 질의를 할 수 있다. 질의를 통해 좀 더 상세한 안내를 하고 있으며 사용자의 결제를 유도한다.

[그림 7] 결제 안내 페이지[그림 7] 결제 안내 페이지





4. 결론


Petya 랜섬웨어 악성코드 군은 계속해서 새로운 모습으로 나타나 사용자 PC를 위협하고 있다. Petya와 비교했을 때, GoldenEye 랜섬웨어는 더 강한 악성 동작으로 사용자에게 큰 피해를 주고 있다. 


현재 국내에서는 활발히 유포되고 있지 않지만 해당 랜섬웨어가 이전부터 이메일 첨부 방식을 사용해왔으며, 주로 첨부 파일의 이름을 ‘이력서’와 관련 짓는다는 점에서 기업 채용 담당자의 각별한 주의가 필요하다. 랜섬웨어에 의한 피해를 예방하기 위해서는 안티바이러스 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 출처가 불분명한 첨부 파일의 열람을 자제 해야 한다.


위 랜섬웨어 파일과 랜섬웨어를 드롭하는 엑셀 매크로 파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어





1. 개요 


지난 11월 샌프란시스코 철도 시스템(일명 Muni)의 2,112 대 컴퓨터가 랜섬웨어에 감염되었다. 이로 인해 해당 역의 결제 시스템과 스케줄링 시스템을 사용할 수 없게 되었으며, 결국 전철을 임시로 무료 개방하는 상황에 이르렀다. 


이번 사태에 이용된 랜섬웨어는 바로 Mamba(또는 HDDCryptor) 랜섬웨어다. 해당 랜섬웨어는 파일을 암호화하는 것이 아니라 하드 디스크를 암호화하기 때문에 부팅 시 지정된 암호를 입력해야만 PC 를 부팅할 수 있게 된다. 이번 분석보고서에서는 Mamba 랜섬웨어에 대해 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mamba.exe (임의의 파일명)

파일크기

2,415,104 byte

진단명

Ransom/W32.Dcryptor.245104

악성동작

하드 디스크 암호화

 


2-2. 유포 경로

이번 사태에 대한 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 일반적으로 Mamba 랜섬웨어가 이메일에 첨부되어 유포되었다는 점에서 출처가 명확하지 않은 첨부 파일의 열람을 주의하여야 한다.



2-3. 실행 과정


해당 랜섬웨어가 실행되면 자기 자신을 서비스로 등록하여 백그라운드에서 사용자 모르게 디스크 암호화를 진행한다. 디스크 암호화에는 오픈 소스 암호화 도구인 Disk Cryptor 가 사용된다. 암호화가 완료된 후 사용자가 PC 부팅을 시도하면 디스크에 암호가 걸려있어 부팅할 수 없게 된다.





3. 악성 동작


3-1. 서비스 및 계정 등록

Mamba 랜섬웨어는 자기 자신을 ‘DefragmentService’ 라는 이름의 서비스로 등록한다. 해당 서비스는 PC 부팅 시 자동으로 실행되도록 되어 있으며 사용자의 하드 디스크를 암호화하는 역할을 한다.


[그림 1] 새로 등록된 서비스[그림 1] 새로 등록된 서비스



‘DefragmentService’ 서비스로 디스크를 암호화하기 위해, 서비스 등록 후 새로운 사용자 계정이 생성되고 PC가 강제로 재부팅된다. 이 계정에는 로그인 암호가 설정되어 있어 사용자의 로그인이 불가하다. 사용자가 로그인 화면에서 암호를 찾는 이 때, Mamba 랜섬웨어는 앞서 언급한 서비스로 디스크 암호화를 진행한다.


[그림 2] 새로 등록된 사용자 계정[그림 2] 새로 등록된 사용자 계정



3-2. 파일 드롭

랜섬웨어가 실행되면 “C:\DC22” 라는 폴더가 생성되며 그 안에 아래와 같은 파일이 드롭 된다. 드롭 된 파일 중 “’dc*” 라는 이름을 가지고 있는 파일은 모두 오픈 소스 암호화 도구인 ‘DiskCryptor’의 파일이다.

[그림 3] 드롭 되는 파일 목록[그림 3] 드롭 되는 파일 목록


dcrypt.exe를 실행하면 다음과 같이 DiskCryptor GUI 도구가 실행되는 것을 확인할 수 있다.


[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’



3-3. 디스크 암호화

드롭 된 DiskCryptor 도구가 바로 암호화에 사용되며, Mamba는 서비스를 등록하여 사용자가 인지하지 못하도록 백그라운드에서 디스크 암호화를 진행한다. 암호화가 완료된 후 PC 를 부팅하면 다음과 같이 암호화 사실을 확인할 수 있다.

[그림 5] 암호화된 디스크[그림 5] 암호화된 디스크


패스워드 입력이 틀릴 경우 다음과 같이 ‘password incorrect’ 라는 문구가 출력되며 사용자는 PC 를 부팅할 수 없게 된다.

[그림 6] 비밀번호 입력[그림 6] 비밀번호 입력





4. 결론


제작자의 권리를 지키면서 원시 코드를 누구나 열람할 수 있는 오픈 소스는 다양한 도구로 여러 사람들에게 사용되며 영향력이 급속도로 확장되고 있다. 그러나, Hidden Tear나 Disk Cryptor와 같이 암호화 관련 오픈 소스는 공격자가 랜섬웨어 제작에 악용하는 사례가 점차 증가하고 있다. 


Mamba 랜섬웨어와 같이 디스크 자체를 암호화하는 랜섬웨어는 사용자가 계정의 암호를 찾지 못하는 이상 아무것도 할 수 없기 때문에 피해가 크다. 뿐만 아니라 이번 사례와 같이 Mamba 랜섬웨어가 철도와 같은 공공 시스템에 피해를 입혔기 때문에, 일반 사용자뿐만 아니라 기업이나 정부 관련 부서의 임직원도 랜섬웨어 피해에 각별히 주의하여야 한다. 


랜섬웨어가 유포되는 방법이 다양화되고 있는 만큼 사용자가 사전에 주의하는 것이 가장 중요하다. 랜섬웨어의 피해를 최소화 하기 위해서는 백신 제품을 설치하고 항상 최신 업데이트를 유지하여야 한다. 또한 취약한 웹페이지의 방문을 자제하여야 하며, 출처가 불분명한 이메일 첨부 파일의 경우 함부로 열어서는 안된다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

‘Park Geun-hye Resigns’ 링크 주의, 이슈를 이용해 유포된 Cerber 랜섬웨어




1. 개요 


악성코드 유포 방법은 다양한데, 이 중 하나로 사회적 이슈를 이용하는 방법이 있다. 사회적 이슈와 관련된 웹 페이지나 파일 등에 악성코드를 첨부하여 사용자가 접근했을 때 악성코드를 다운로드하고 감염을 시작한다. 


최근엔 국내 가장 큰 이슈에 맞춰, 박근혜 대통령 이슈를 이용해 유포되는 랜섬웨어가 등장하였다. 하루에도 수 많은 관련 기사들이 나오고 대부분의 사람들이 관심 갖는 이슈인 만큼 감염되기 쉽다는 것이 큰 특징이다. 


이번 보고서에선 ‘Park Geun-hye Resigns’이라는 자극적인 제목의 가짜 기사 링크로 접속을 유도하여, 사용자 PC를 감염시킨 Cerber 랜섬웨어에 대해 자세히 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

exename.exe

파일크기

341,607 byte

진단명

Ransom/W32.Cerber.341607

악성동작

파일 암호화, 금전 요구

네트워크

c*******e.com – 유포지

 




2-2. 유포 경로

해당 랜섬웨어는 해외 유명 뉴스 매체 CNN으로 위장한 사이트의 기사로 유포되고 있다. 해당 사이트에서 ‘Park Geun-hye Resigns’ 라는 제목의 기사를 클릭하면 새로운 버전의 Cerber 랜섬웨어가 사용자 PC에 다운로드된다. 다운로드된 랜섬웨어는 실행 시 사용자의 파일을 암호화 한다.



2-3. 실행 과정

다운로드된 Cerber 랜섬웨어가 실행되면 사용자의 파일을 암호화하며 각 폴더에는 HTA(HTML Application) 형태의 랜섬노트를 생성한다. 사용자 파일 암호화가 완료되면 아래 그림과 같이 감염된 PC의 바탕화면을 변경하여 암호화 사실을 알린다.


[그림] 감염 후 변경되는 사용자 바탕화면[그림] 감염 후 변경되는 사용자 바탕화면




3. 악성 동작


3-1. 파일 감염

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화한 뒤 파일 이름을 변경한다. 파일 확장자의 경우 임의의 네 자리 문자로 변경되며, 각 폴더엔 “_README_hta” 라는 이름의 HTA 랜섬노트가 생성된 것을 확인할 수 있다.


[그림] 랜섬노트와 암호화 된 파일[그림] 랜섬노트와 암호화 된 파일



암호화 대상이 되는 파일 확장자는 다음과 같다.


구분

내용

암호화 대상 파일 확장자

.accdb .mdb .mdf .dbf .vpd .sdf .sqlitedb .sqlite3 .sqlite .sql .sdb .doc .docx .odt .xls .xlsx .ods .ppt .pptx .odp .pst .dbx .wab .tbk .pps .ppsx .pdf .jpg .tif .pub .one .rtf .csv .docm .xlsm .pptm .ppsm .xlsb .dot .dotx .dotm .xlt .xltx .xltm .pot .potx .potm .xps .wps .xla .xlam .erbsql .sqlite-shm .sqlite-wal .litesql .ndf .ost .pab .oab .contact .jnt .mapimail .msg .prf .rar .txt .xml .zip .1cd .3ds .3g2 .3gp .7z .7zip .aoi .asf .asp .aspx .asx .avi .bak .cer .cfg .class .config .css .dds .dwg .dxf .flf .flv .html .idx .js .key .kwm .laccdb .ldf .lit .m3u .mbx .md .mid .mlb .mov .mp3 .mp4 .mpg .obj .pages .php .psd .pwm .rm .safe .sav .save .srt .swf .thm .vob .wav .wma .wmv .3dm .aac .ai .arw .c .cdr .cls .cpi .cpp .cs .db3 .drw .dxb .eps .fla .flac .fxg .java .m .m4v .max .pcd .pct .pl .ppam .ps .pspimage .r3d .rw2 .sldm .sldx .svg .tga .xlm .xlr .xlw .act .adp .al .bkp .blend .cdf .cdx .cgm .cr2 .crt .dac .dcr .ddd .design .dtd .fdb .fff .fpx .h .iif .indd .jpeg .mos .nd .nsd .nsf .nsg .nsh .odc .oil .pas .pat .pef .pfx .ptx .qbb .qbm .sas7bdat .say .st4 .st6 .stc .sxc .sxw .tlg .wad .xlk .aiff .bin .bmp .cmt .dat .dit .edb .flvv .gif .groups .hdd .hpp .m2ts .m4p .mkv .mpeg .nvram .ogg .pdb .pif .png .qed .qcow .qcow2 .rvt .st7 .stm .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .3fr .3pr .ab4 .accde .accdr .accdt .ach .acr .adb .ads .agdl .ait .apj .asm .awg .back .backup .backupdb .bank .bay .bdb .bgt .bik .bpw .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ce1 .ce2 .cib .craw .crw .csh .csl .db_journal .dc2 .dcs .ddoc .ddrw .der .des .dgc .djvu .dng .drf .dxg .eml .erf .exf .ffd .fh .fhd .gray .grey .gry .hbk .ibank .ibd .ibz .iiq .incpas .jpe .kc2 .kdbx .kdc .kpdx .lua .mdc .mef .mfw .mmw .mny .moneywell .mrw .myd .ndd .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nwb .nx2 .nxl .nyf .odb .odf .odg .odm .orf .otg .oth .otp .ots .ott .p12 .p7b .p7c .pdd .mts .plus_muhd .plc .psafe3 .py .qba .qbr .qbw .qbx .qby .raf .rat .raw .rdb .rwl .rwz .s3db .sd0 .sda .sr2 .srf .srw .st5 .st8 .std .sti .stw .stx .sxd .sxg .sxi .sxm .tex .wallet .wb2 .wpd .x11 .x3f .xis .ycbcra .yuv .mab .json .msf .jar .cdb .srb .abd .qtb .cfn .info .info_ .flb .def .atb .tbn .tbb .tlx .pml .pmo .pnx .pnc .pmi .pmm .lck .pm! .pmr .usr .pnd .pmj .pm .lock .srs .pbf .omg .wmf .sh .war .ascx .k2p .apk .asset .bsa .d3dbsp .das .forge .iwi .lbf .litemod .ltx .m4a .re4 .slm .tiff .upk .xxx .money .cash .private .cry .vsd .tax .gbr .dgn .stl .gho .ma .acc .db .secret


[] 암호화 대상 파일 확장자


3-2. 볼륨 섀도 복사본 제거

해당 랜섬웨어는 윈도우 관리 도구(WMIC.exe)를 통해 사용자 PC의 볼륨 섀도 복사본을 제거한다. 이는 사용자가 랜섬웨어에 감염되기 전으로 되돌리는 것을 방지하기 위한 것으로 보인다.

[그림] 볼륨 섀도 제거[그림] 볼륨 섀도 제거



3-3. 금전 요구

파일 암호화가 완료된 후 아래와 같은 HTA 랜섬노트를 출력한다. 해당 랜섬노트에는 암호화 사실을 알려주며 복호화를 하기 위한 결제 안내 페이지의 주소를 나타낸다.

[그림] HTA 형태의 랜섬노트[그림] HTA 형태의 랜섬노트




해당 주소로 이동하면 아래와 같이 비트코인을 요구하고 있는 것을 확인할 수 있다. 5일 이내에 결제할 경우 1 비트코인이며, 이후에는 2 비트코인을 지불해야한다고 안내한다.


[그림] 결제 안내 페이지[그림] 결제 안내 페이지





4. 결론


공격자가 사회적 이슈를 악용하여 악성코드를 유포하는 것은 자주 사용하는 수법이다. 사용자는 단순히 정보를 얻기 위해 뉴스 기사나 웹 페이지에 접속한 것이지만, 악성코드는 사용자 모르게 설치되어 사용자의 PC 를 감염시킨다. 특히 현재 유포되고 있는 악성코드가 랜섬웨어라는 점에서 사용자에게 금전적인 피해를 줄 수 있어 각별한 주의가 필요하다.


이러한 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 취약한 웹 사이트의 방문을 자제해야 하며 의심되는 URL이 있다면 접속하지 않아야 한다.


위 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 




1. 개요 


2015년 랜섬웨어가 확산된 시점부터 지금까지 신,변종의 랜섬웨어가 계속해서 등장하고 있으며, 랜섬웨어는 점차 현대 트렌드를 반영한 형태로 나타나기 시작했다. 모바일 게임인 Pokemon Go 가 출시 된 후, 그에 따른 PokemonGo 랜섬웨어가 나타났고, 미국 드라마 Mr.Robot 이 방송함에 따라 드라마 속 집단의 이름을 모방한 Fsociety 랜섬웨어가 나타났다. 


이처럼 현대 트렌드를 반영한 랜섬웨어가 점차 많이 발견되고 있으므로, 이번 분석보고서에서는 영화 ‘더 퍼지’를 모티브로 한 Globe 랜섬웨어에 대해 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

trump.exe (임의의 파일명)

파일크기

155,648 byte

진단명

Ransom/W32.Globe.155648

악성동작

파일 암호화

 


2-2. 유포 경로

Globe 랜섬웨어의 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 여타 랜섬웨어가 주로 웹 사이트의 취약점이나 이메일 첨부 방식을 사용한다는 점에서 Globe 랜섬웨어도 유사한 방식으로 유포 될 수 있으므로 감염에 주의해야 한다.





2-3. 실행 과정

Globe 랜섬웨어가 실행되면 사용자의 파일을 암호화하며 각 폴더에는 HTA(HTML Application) 형태의 랜섬노트를 생성한다. 마지막으로 암호화가 완료되면 아래 그림과 같이 영화 ‘더 퍼지’ 포스터의 한 부분으로 바탕화면을 변경한다.

[그림 1] 암호화 완료 후 변경되는 바탕화면[그림 1] 암호화 완료 후 변경되는 바탕화면





3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤 “.purged” 라는 이름의 확장자를 덧붙인다. 그리고 각 폴더에 “How to restore files.hta“ 라는 이름의 HTA 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



아래는 암호화 대상 파일 확장자의 일부를 나타낸다. 


구분

내용

암호화 대상 파일 확장자

.aet .afp .agd1 .agdl .ai .aif .aiff .aim .aip .ais .ait .ak .al .allet .amf .amr .amu .amx .amxx .ans .aoi .ap .ape .api .apj .apk .apnx .arc .arch00 .ari .arj .aro .arr .arw .as .as3 .asa .asc .ascx .ase .asf .ashx .asm .asmx .asp .aspx .asr ..asx ms .avi .avs .awg .azf .azs .azw .azw1 .azw3 .azw4 .b2a .back .backup .backupdb .bad .bak .bank .bar .bay .bc6 .bc7 .bck .bcp .bdb .bdp .bdr .bfa .bgt .bi8 .bib .bic .big .bik .bin .bkf .bkp .bkup .blend .blob .blp .bmc .bmf .bml .bmp .boc .gho .gif .gpg .gray .grey .grf .groups .gry .gthr .gxk .gz .gzig .gzip .h .h3m .h4r .hbk .hbx .hdd .hex .hkdb .hkx .hplg .hpp .hqx .htm .html .htpasswd .hvpl .hwp .ibank .ibd .ibz .ico .icxs .idl .idml .idx .ie5 .ie6 .ie7 .ie8 .ie9 .iff .iif .iiq .img .incpas .indb .indd .indl .indt .ink .inx .ipa .iso .isu .isz .itdb .itl .opf .orf .ost .otg .oth .otp .ots .ott .owl .oxt .p12 .p7b .p7c .pab .pack .pages .pak .paq .pas .pat .pbf .pbk .pbp .pbs .pcd .pct .pcv .pdb .pdc .pdd .pdf .pef .pem .pfx .php .pkb .pkey .pkh .pkpass .pl .plb .plc .pli .plus_muhd .pm .pmd .png .po .pot .potm .potx .ppam .ppd .ppf .ppj .pps .ppsm .ppsx .ppt .pptm .pptx …

[1] 암호화 대상 파일 확장자



3-2. 자동 실행 레지스트리 등록

랜섬웨어가 실행되면 HTML 응용프로그램 관련 도구인 mshta.exe 를 통해 아래의 명령을 실행한다. 이는 랜섬웨어 자신을 자동 실행 레지스트리에 등록하는 것으로, 파일 암호화 도중 사용자가 PC 를 재부팅하여도 암호화를 재개하도록 하기 위한 동작이다.

[그림 3] 자동실행 레지스트리 등록[그림 3] 자동실행 레지스트리 등록



3-3. 기타

해당 랜섬웨어는 윈도우 vssadmin.exe(볼륨 섀도 관리 도구)를 통해 사용자의 PC 에 저장되어 있는 볼륨 섀도 복사본을 제거한다. 이는 사용자가 PC 를 암호화 상태 이전으로 시스템 복구하는 것을 방지하기 위한 동작이다. 그 다음 윈도우 bcdedit.exe(부팅 구성 데이터 저장소 편집기)를 통해 안전모드로 부팅하는 것을 방해한다.

[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경



사용자에게 HTA 형태의 랜섬노트를 보여주기 위해 암호화 완료 후 이를 실행하는 것을 확인할 수 있다. 그리고 랜섬노트를 자동 실행 레지스트리에 등록하여 사용자가 PC에 로그인 할 때마다 랜섬노트가 나타나도록 한다.

[그림 5] 랜섬노트 실행[그림 5] 랜섬노트 실행


[그림 6] 랜섬노트 자동실행 등록[그림 6] 랜섬노트 자동실행 등록



3-4. 결제 안내

Globe 랜섬웨어의 랜섬노트에는 결제를 위한 비트코인 주소가 나와있지 않다. 대신 공격자의 이메일 주소가 존재하며, 이를 통해 결제 절차를 안내한다고 되어있다. 단, 일주일 내에 연락을 해야 복호화가 가능하다며 빠른 시일 내에 연락 할 것을 촉구한다.

[그림 7] 결제 안내[그림 7] 결제 안내





4. 결론


현대 트렌드가 반영된 랜섬웨어로 인한 피해는 주로 해외에서 나타나고 있다. 하지만 한국도 점차 랜섬웨어의 주요 공격 대상국가로 되어가는 추세기 때문에, 안심해서는 안된다. 랜섬웨어로 발생하는 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 출처가 불확실한 메일이나 파일은 열어보는 것을 자제해야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Hades Locker로 돌아온 WildFire 랜섬웨어 




1. 개요 


이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

update.exe

파일크기

510,026 byte

진단명

Ransom/W32.Hades.510026

악성동작

파일 드롭

 

구분

내용

파일명

Ronms.exe

파일크기

72,351,744 byte

진단명

Ransom/W32.Hades.72351744

악성동작

파일 암호화

네트워크

176.***.***.183 – 공격자 서버

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 링크된 URL 을 포함하고 있는 MS 워드 문서가 이메일을 통해 유포 되고 있는 것으로 보인다.





2-3. 실행 과정

update.exe 가 실행되면 암호화 동작을 수행하는 Ronms.exe 파일이 생성된다. Ronms.exe 는 사용자의 PC 의 파일들을 암호화 한 후, 파일의 이름 뒤에 “~HL” 과 다섯 자리 임의의 문자를 덧붙이며, “README_RECOVER_FILES_” 라는 이름을 가진 랜섬노트를 생성한다. 암호화가 완료된 후 아래의 화면과 같이 랜섬노트 화면을 띄운다.

[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 자동 실행 등록 및 볼륨 섀도 복사본 제거

update.exe 는 Ronms.exe 를 드롭한 후 사용자 로그온 시 Ronms.exe 가 실행되도록 자동 실행에 등록한다.


[그림 2] 파일 드롭과 자동 실행 등록[그림 2] 파일 드롭과 자동 실행 등록





사용자가 PC 를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC 의 볼륨 섀도 복사본이 제거된다.

 

WMIC.exe shadowcopy delete /nointeractive

 







3-2. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤, 파일의 이름에 “~HL” + (5자리 임의의 문자) 의 형태의 문자를 덧붙인다. 그리고 파일 암호화 사실과 결제 안내를 위한 랜섬노트 “README_RECOVER_FILES_” 파일들을 생성한다.

[그림 3] 암호화된 파일과 랜섬노트[그림 3] 암호화된 파일과 랜섬노트






암호화 대상이 되는 파일 확장자는 아래와 같다.

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .agdl .ai .aiff .ait .al .aoi .apj .arw .asf .asm .asp .aspx .asx .avi .awg .back .backup .backupdb .bak .bank .bay .bdb .bgt .bik .bin .bkp .blend .bmp .bpw .c .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .dac .dat .db .db_journal .db3 .dbf .dbx .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .design .dgc .dit .djvu .dng .doc .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .edb .eml .eps .erbsql .erf .exf .fdb .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .fpx .fxg .gif .gray .grey .groups .gry .h .hbk .hdd .hpp .html .ibank .ibd .ibz .idx .iif .iiq .incpas .indd .java .jnt .jpe .jpeg .jpg .js .kc2 .kdbx .kdc .key .kpdx .kwm .laccdb .ldf .lit .log .lua .m .m2ts .m3u .m4p .m4v .mapimail .max .mbx .md .mdb .mdc .mdf .mef .mfw .mid .mkv .mlb .mmw .mny .moneywell .mos .mov .mp3 .mp4 .mpeg .mpg .mrw .msg .myd .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pl .plc .plus_muhd .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .ps .psafe3 .psd .pspimage .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qed .r3d .raf .rar .rat .raw .rdb .rm .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sd0 .sda .sdf .sldm .sldx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stm .stw .stx .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .tex .tga .thm .tlg .txt .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .wab .wad .wallet .wav .wb2 .wma .wmv .wpd .wps .x11 .x3f .xis .xla .xlam .xlk .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .ycbcra .yuv .zip

[1] 암호화 대상 파일 확장자




3-3. 금전 요구


암호화가 완료되면 해당 랜섬웨어는 랜섬노트를 띄운다. 그리고 그 랜섬노트에 안내하는 페이지로 이동하면 아래와 같이 “HADES LOCKER” 라는 문구의 웹 페이지가 나타난다. 각 개인에게 주어진 해당 웹 페이지에 방문 시 1주일동안은 1 비트코인(약 73만원)을 요구하지만, 그 이후부턴 두 배인 2 비트코인(약 146만원)을 요구한다.

[그림 4] 결제 안내 메인 페이지[그림 4] 결제 안내 메인 페이지




다음과 같이 비트코인 구매 방법을 안내한다.

[그림 5] 비트코인 구입 및 결제 방법 안내[그림 5] 비트코인 구입 및 결제 방법 안내




FAQ 페이지에는 피해 입은 사용자들이 자주 묻는 질문들과 그에 대한 답변이 있어, 사용자가 이를 참고하도록 한다.

[그림 6] FAQ (자주 묻는 질문) 페이지[그림 6] FAQ (자주 묻는 질문) 페이지





Helpdesk 페이지에서는 공격자에게 직접 질문을 할 수 있으며, 이에 대해 24 시간 내에 응답할 것이라고 써있다.

[그림 7] Helpdesk 페이지[그림 7] Helpdesk 페이지






4. 결론


복호화가 가능해진 WildFire 랜섬웨어와는 다르게 변종인 Hades 랜섬웨어는 현재 파일을 복호화 하는 것이 어렵다. 그러므로 사용자는 랜섬웨어에 감염되는 것을 사전에 차단해야 한다. 출처가 불분명한 이메일이나 첨부 파일을 열어 보는 것은 주의해야 하며, 백신을 설치하고 최신 업데이트를 유지해야 한다.

위의 두 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

한국어 지원 Princess 랜섬웨어 분석





1. 개요 


최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

nvsvc32.exe

파일크기

403,968 byte

진단명

Ransom/W32.Princess.403968

악성동작

파일 암호화

네트워크

4*****f*****3**m.onion.link – 공격자 서버

 




2-2. 유포 경로

Princess 랜섬웨어는 RIG 익스플로잇 킷을 통해 유포되는 것으로 보이며, 브라우저와 플러그인 등의 취약점을 이용해 웹사이트에 방문한 사용자를 감염시킨다.





2-3. 실행 과정


Princess 랜섬웨어는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 임의의 5자리 문자를 덧붙인다. 또한, 각 폴더에 ‘!_HOW_TO_RESTORE_*****.txt’ 와 ‘!_HOW_TO_RESTORE_*****.html’ 랜섬노트를 생성하며, 암호화가 완료된 후에는 [그림 1]과 같이 랜섬노트 화면을 띄운다.


[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화한 뒤, 임의의 5자리의 문자로 확장자를 바꾼다. 그리고 각 폴더에  “!_HOW_TO_RESTORE_*****“ 형태의 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



감염대상이 되는 파일 확장자는 아래와 같다. 


구분

내용

암호화 대상 파일 확장자

.1cd .3ds .3gp .accdb .ai .ape .asp .aspx .bc6 .bc7 .bmp .cdr .cer .cfg .cpp .cr2 .crt .crw .csr .csv .dbf .dbx .dcr .dfx .djvu .doc .docm .docx .dwg .dxf .dxg .eps .html .ibank .indd .jpe .jpeg .jpg .kdc .kwm .max .md .mdb .mdf .odb .odc .odm .odp .ods .odt .orf .p12 .p7b .p7c .pdf .pef .pem .pfx .php .pl .png .pps .ppt .pptm .psd .pst .pub .pwm .py .qbb .qbw .raw .rtf .sql .sqlite .svg .tif .tiff .txt .wallet .wpd .xls .xlsx .xml .cfgx .vcf .sln .pptx .dib .dwt .htm .jiff

[1] 암호화 대상 파일 확장자






3-2. 금액 요구

파일을 암호화 한 뒤 각 폴더에 생성된 “!_HOT_TO_RESTORE_*****” 파일에는 다른 랜섬웨어와 마찬가지로 파일을 암호화 했다는 메시지와 함께 복호화에 필요한 절차를 기술해 놓았다. 랜섬웨어 제작자들은 일반 브라우저가 아닌 토르 브라우저에서 접속 가능한 주소를 제공하고 있으며 해당 페이지에서는 비트코인 지불과 관련된 내용을 안내한다. 해당 주소로 접속할 경우 [그림 3]과 같은 결제 안내 페이지가 나타난다. 총 12개국의 언어 중 하나를 선택할 수 있으며, 이 중 한국어도 포함되어 있다.


[그림 3] 결제 안내 페이지 (1)[그림 3] 결제 안내 페이지 (1)



언어를 선택하면 ID 입력 창과 로그인 버튼이 나타난다. 여기서 입력할 ID 는 랜섬노트에 기록되어 있다.


[그림 4] 결제 안내 페이지 (2)[그림 4] 결제 안내 페이지 (2)



ID 를 입력하면 지불 가격과 비트 코인을 지불해야할 주소를 보여준다. Princess 랜섬웨어는 다른 랜섬웨어들과 비교했을 때 상대적으로 더 큰 금액을 요구한다. 처음엔 3.0 비트코인을 요구하는데 이는 한화로 약 200만원 정도의 금액이며, 만약 그림의 우측 상단에 주어진 시간이 지나면 이 두배 가격인 6.0 비트코인을 요구한다.


[그림 5] 결제 안내 페이지 (3)[그림 5] 결제 안내 페이지 (3)





4. 결론


해당 랜섬웨어는 한국어를 지원하고 있어, 국내 사용자도 랜섬웨어의 감염 대상에 포함된다는 것을 알 수 있다. 이처럼 최근 한국어를 지원하는 랜섬웨어가 계속 발견되고 있어 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 


랜섬웨어의 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 무엇보다 중요한 것은 PC 사용에 있어 기본적인 보안 요소를 지키는 것이다. 출처가 불확실한 메일이나 파일은 열어보는 것을 자제 해야하며, 해당 랜섬웨어가 웹 사이트의 취약점을 이용한다는 점에서 불분명한 사이트에 접속하는 것 또한 조심해야 한다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능










저작자 표시 비영리 변경 금지
신고
Posted by nProtect