안녕하세요 선배님들
우선 제목에 명시하다시피 회사내 PC에 랜섬웨어가 걸렸습니다.
현재 부서별로 나눠 AD 도입중인데
공교롭게도 AD가 적용된 PC들만 랜섬웨어에 걸렸네요;;
관련해서 몇가지 질문 드립니다.
1.현재 저희가 걸린 랜섬웨어는 Lockbit 2.0 입니다. 물론 불가능하다고 생각하지만 파일 복구방법에 대해서 알고 계시면 공유 부탁드리겠습니다.
2.어느경로로 감염이 일어났는지 트래킹을 하고자 합니다. 말씀드렸다시피 AD가 적용된 PC만 감염이 됐는데 어떤경로로 트래킹을 해야하는지 알고 계시면 답변 부탁드리겠습니다.
3.랜섬웨어 관련해서 덧붙여 의견 있으시면 남겨주세요.
8개의 답변이 있습니다.
동일한 권한을 통해 감염된것으로 보입니다.
백업본 복구 또는 새로 설치하셔야합니다.
메일을 중점적으로 확인해보세요 , 저희도 피싱메일로 들어온 악성코드가 원인이었습니다
AD 서버 자체는 문제가 없나요?
자세히는 모르겠지만, AD 연결된 PC들만 문제가 된다면
해당 AD 서버를 통해서 감염되었을 가능성도 체크를 해 보셔야 할 듯 하네요~~~
AD 서버 패치 부터 해주는게 좋을 것 같아 보이네요.
AD 쿼리를 수행해서 컴퓨터 목록을 가져 온 후에 하나하나씩 암호화 시켰을 것 같고...
최초 감염된 컴퓨터는 AD 서버의 이벤트 로그를 조사해 보면 단서를 찾을 수 있지 않을까 싶네요.
암호화가 일어나기 시작한 시간 직전에 AD 서버에 LDAP 쿼리를 날려 컴퓨터 목록을 가져간 컴퓨터를 찾으면 될걸로 보여 지고요.
암호화된 컴퓨터들의 암호화된 파일들의 시간을 대조해 봐서 랜섬웨어가 작동된 시간을 확인해 볼 수도 있을 것 같고...
일반적으로 랜섬웨어가 작동할때 해당 컴퓨터 부터 암호화 시키고, 네트워크 상의 다른 컴퓨터들을 하나하나씩 암호화 시켜 나가지 싶은데...
암호화된 시간이 가장 앞선 컴퓨터가 최초 공격당한 컴퓨터일 가능성이 높을 것 같아 보이고요.
경우에 따라서는 공격 대상 컴퓨터들을 모두 암호화하고 최초 침투한 컴퓨터를 암호화 시켰을 가능성도 있기 때문에 암호화 시간이 마지막인 컴퓨터도 후보로 해서 조사해 볼 필요가 있을 것 같고요.
요즘 랜섬웨어가 대부분 e-mail을 통해서 들어 오게 되고, 공격용 서버와 통신하면서 다운로드 받은 임시 파일들을 캐시 파일 형태로 남아 있는 경향이 있기 때문에 랜섬웨어가 작동하기 직전 시간대에 웹 캐시 폴드에 생성된 파일들을 조사해 봄으로 다양한 물적 증거들을 수집할 수 있을거라 보여지네요.
위로를 전합니다.
남의 일이 아닌데..
백업의 중요성을 다시 느끼네요..
잘 해결되길 바랍니다.
랜섬웨어 PC는 복구가 불가능하고 OS를 새로 설치를 하셔야 할듯합니다.AD도 점검을 해보세요
https://www.nomoreransom.org/ko/about-the-project.html
https://www.rancert.com/
AD 기반에서 걸렸으면 Clop일 가능성이 높은데
Lockbit 2.0 이라고 하시는거 보니, Clop+Lockbit 혼합형인가 보네요.
Clop 랜섬웨어 관련하여 검색하여 찾아 보세요.
감염이 된건
메일 -> 외부 해커와 세션 연결 -> AD 점령 -> 도메인 참가 PC 점령 -> D-Day 랜섬웨어 감염
입니다.
백신로그나 최근 스팸 메일 수신 이력들을 살펴 보시면 흔적이 나올겁니다.
랜섬웨어 복구는 일단 불가능하다고 보고 있구요.
진짜 복구 못하면 업무에 치명적인 데이터의 경우엔 생각해 봐야하나..
트래킹하는 방법은 v3나 유사 프로그램 사용하시면 타임라인분석방법이 있습니다.
정확하지는 않지만 감염 추정시간때 이벤트(웹사이트접속, 이상현상)을 확인 할 수 있지요.
랜섬웨어는 복구 및 100%차단이 불가능하다고 생각하시고. 평소에 중요파일은 백업할 수 있도록
환경구축하고 실행하는 방안이 최선으로 보입니다.
ITasso | 2년 이상 전
답변 감사드립니다ㅜㅜ
이미 털린건 어쩔수 없지만
어디에서 감염됐는지 확인을 해야 하는데
그것조차 확인할길이 없어 막막하네요..
다시는 겪고싶지 않은 순간입니다