랜섬웨어 Lock땩 및 Tesl땇Crypt(.mp3) 피해

1
0

최근 랜섬웨어 Lock​y 및 Tesl​aCrypt(.mp3) 피해가 폭발적으로 급증하고 있습니다
이메일로 다량의 랜섬웨어 악성코드 이메일이 왔더군요 (이런 형식으로 배포됩니다)
enter image description here
enter image description here

관련하여, 최근 유행중인 랜섬웨어와 그에 대한 예방수칙 몇가지를 안내드리오니 참고하시기 바라며
소중한 데이터의 손실,장애 없으시도록 항상 보안에 철저히 대비하시고 정기적인 데이터백업만이 가장
최선의 방법이니 오늘이라도 중요 데이터에 대한 백업을 실천하시는 하루가 되시기를 바랍니다
감사합니다

1) 신종 랜섬웨어 Locky에 대해 알려 드립니다.
enter image description here

침투 방식
• E-Mail 첨부파일(.doc) / ex) 제목: ATTN: Invoice J-98223146, 첨부파일명: Invoice_J-98223146)
•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함
(방화벽 장비 무용지물)
피해 범위
• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, ppt, pptx, pdf, txt, png, jpg, jpeg,
psd, wav, mp4, mpg, avi, wmv, zip 외 100여가지 확장자)
• Cloud Drive, Local Disk, USB Drive, NetWork Drive
특징
• 파일의 확장자를 locky로 변경
• 파일을 암호화한 폴더내에 1개의 파일을 생성 (_Locky_recover_instructions.*)
• 바탕화면을 생성된 파일 내용으로 변경
• CryptoWall4.0과 같이 암호화된 파일명 변경 (F67091F1D24A922B1A7FC27E19A9D9BC.locky)​
• 연결되어 있지 않은 네트워크 상태에도 공유 데이터를 암호화
연혁
• 2016년 2월 Locky​​​
enter image description here

2) 변종 랜섬웨어 TeslaCrypt 변종(.mp3) 에 대해 알려 드리겠습니다.
enter image description here

CryptoWall3.0과 같은 UI를 사용하고 있지만 TeslaCrypt 기반인 것으로 확인 됨.

침투 방식
• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등
•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문
(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)
•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함 (방화벽 장비 무용지물)
피해 범위
• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,
mpg, avi, wmv 외 40여가지 확장자)
• Cloud Drive, Local Disk, USB Drive, NetWork Drive
특징
• 파일의 확장자를 mp3로 변경
• 파일을 암호화한 폴더내에 3개의 파일을 생성 (_H_e_l_p_RECOVER_INSTRUCTIONS.*)
• 유일하게 기존 확장자명으로 변조되며, mp3 파일은 감염시키지 않음
연혁
• 2013년 CryptoLocker
• 2014년 TeslaCrypt & AlphaCrypt
• 2015년 4월 TeslaCrypt & AlphaCrypt
• 2015년 8월 TeslaCrypt 변종(.aaa)
​• 2015년 9월 TeslaCrypt 변종​(.abc)
• 2015년 10월 TeslaCrypt 변종​(.ccc)
• 2015년 11월 TeslaCrypt 변종​(.vvv)​
• 2016년 1월 TeslaCrypt 변종​(.xxx, .ttt, .micro)​​
• 2016년 2월 TeslaCrypt 변종​(.mp3)​​​

PC상태 최신 업데이트Java 의 경우 최신 업데이트를 진행하거나 사용하지 않을 경우 PC에서 삭제하는 것이 안전합니다.

Adobe Reader 최신버전 업데이트
Adobe Flash Player 최신버전 업데이트
Windows Update를 최신 상태 유지 백신 SW 최신 상태 유지

“자! 랜섬웨어 감염 예방 수칙 몇가지를 안내 드립니다”

PC 및 서버 데이터 백업

데이터 백업을 사용자에게 위임할 경우 백업이 정상적으로 이루어지지 않으므로 관리자 설정에 의한 백업이 안전합니다.

웹 페이지 접속시 사이트 & 파일 안전 확인

http://www.virustotal.com 에 접속하여 사이트의 안전상태를 체크 후 접속.

공유 폴더 관리

사내 공유폴더 운영시에는 해당 공유폴더를 숨김 공유 설정.
권한 정보를 획득한 사용자만 접근하게 설정.

※ 최근 유행하는 랜섬웨어는 시스템 보호 영역을 설정 하여도 보호 영역 모두를 삭제합니다.

시스템 보호 설정

설명 : 내 컴퓨터 > 속성 > 좌측 메뉴 시스템 보호 > 사용 가능한 드라이브에 설정으로 표시된 드라이브가 있을 경우 해당 드라이브의 구성이 만들어진 제일 마지막 내용을 복원할 수 있습니다

  • 명정보기술 양정규팀장님의 글을 인용하였습니다.

0
0

랜섬웨어 관련하여 지난 1월 27일에 개최된 2016 랜섬웨어 디펜더 컨퍼런스를 참고 바랍니다.
https://www.rancert.com/bbs/bbs.php?mode=view&id=27&bbs_id=notice&page=1&part=&keyword=
한국랜섬웨어침해대응센터외 여러업체가 공동 주최한 컨퍼런스입니다.

여기 쉐어드아이티 대표님께서도 나오시네요~


총 1개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요