본문 바로가기

랜섬웨어

벌새::Software 2016. 6. 4. 20:12 .crypt 파일 확장명으로 암호화된 CryptXXX 3.x 버전 복구 방법 (2016.6.4) .crypt 파일 확장명으로 파일 암호화를 수행하였던 CryptXXX 랜섬웨어(Ransomware)는 Kaspersky, 안랩(AhnLab) 보안 업체에서 제공하는 복구툴을 이용하여 CryptXXX 1.x / 2.x 버전에 대해서는 어느 정도 복구가 이루어지고 있는 상태입니다. CryptXXX 2.0 랜섬웨어 복호화 도구 업데이트 소식 (2016.5.13) 안랩(AhnLab) CryptXXX 랜섬웨어 복구툴 공개 (2016.5.26) 하지만 2016년 5월 중하순경에 유포된 CryptXXX 3.x 버전의 경우에는 이전처럼 간편하게 복구할 수 있는 복구툴이 공개되지 않은 상태이며, Trend Micro 보안 업체에서 제공하는 "Trend Micro Ransomware File Decryptor" 복구툴을 ..
벌새::Security 2016. 6. 3. 21:01 읽기 전용(R)으로 변경된 랜섬웨어 암호화 파일 삭제 방법 최근 국내 인터넷 사용자 중에서 보안 패치를 제대로 하지 않은 상태로 웹사이트에 접속하는 과정에서 취약점(Exploit)을 통한 CryptXXX (= UltraCrypter) 랜섬웨어(Ransomware)에 감염되어 문서, 사진, 압축, 음악, 동영상 등의 파일이 .cryp1 파일 확장명으로 암호화되는 피해를 많이 당하고 있습니다. .cryp1 파일 확장명으로 변신한 CryptXXX 랜섬웨어(Ransomware) 주의 (2016.5.27) 그런데 파일을 암호화하는 과정에서 파일 속성값을 읽기 전용(R)으로 변경하여 일괄적으로 수정하는 행위로 인하여 피해자 중에서 .cryp1 확장명을 가진 파일을 삭제하는데 불편을 겪을 수 있기에 쉽게 삭제하는 방법을 살펴보도록 하겠습니다. 우선 일반적인 파일 일괄 삭제 ..
벌새::Analysis 2016. 6. 2. 19:39 스팸(Spam) 메일 발송 기능이 포함된 Shade 랜섬웨어(Ransomware) 변종 정보 (2016.6.2) 2016년 4월 초에 블로그를 통해 소개한 Shade 랜섬웨어(Ransomware)는 파일 암호화를 통한 금전 요구 이외에 추가적인 악성 프로그램 설치를 통해 다수의 웹사이트 관리자 계정에 접근하는 행위가 있음을 살펴본 적이 있었습니다. 파일 암호화와 추가적인 악성코드를 설치하는 Shade 랜섬웨어 주의 (2016.4.7) 그런데 최근 발견된 Shade 랜섬웨어 변종의 경우에는 파일 암호화 이후 스팸(Spam) 메일 발송 기능이 포함된 악성 프로그램을 설치하는 사례가 확인되어 살펴보도록 하겠습니다. 유포 방식은 이전과 동일한 메일에 동봉된 첨부 파일 실행 시 다음과 같은 외부 서버에 등록된 악성 파일 다운로드를 통해 감염이 유발되는 것으로 추정됩니다. h**p://sentohous***.com/wp-co..
벌새::Analysis 2016. 6. 1. 20:07 USB 드라이브를 통해 전파되는 zCrypt 랜섬웨어 주의 (2016.6.1) 최근 해외에서 발견된 zCrypt 랜섬웨어(Ransomware)는 1차 피해자 뿐 아니라 USB 드라이브를 통해 웜(Worm)처럼 전파하는 기능이 포함되어 있다고 보고되고 있습니다. Link (.lnk) to Ransom (2016.5.26) 최초 감염 방식은 공개되지 않았으며 VirusTotal 기준으로 유추해보면 이메일 첨부 파일 방식이 아닌가 추정됩니다. 생성 파일 및 진단 정보 C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zcrypt.lnk C:\Users\(로그인 계정명)\AppData\Roaming\cid.ztxt :: 숨김(H)/시스템(S) 파일 속성 C:\Users\(로그인 계정명)\AppD..
벌새::Analysis 2016. 5. 27. 16:11 .cryp1 파일 확장명으로 변신한 CryptXXX 랜섬웨어(Ransomware) 주의 (2016.5.27) 최근 국내에서도 다수의 감염자가 발생하고 있는 CryptXXX 랜섬웨어(Ransomware)가 지속적으로 암호화된 파일을 복구할 수 없도록 업데이트가 되는 과정에서 ".crypt → .cryp1" 파일 확장명으로 변경된 CryptXXX 랜섬웨어 변종이 확인되어 살펴보도록 하겠습니다. CryptXXX 2.0 랜섬웨어 복호화 도구 업데이트 소식 (2016.5.13) 안랩(AhnLab) CryptXXX 랜섬웨어 복구툴 공개 (2016.5.26) 참고로 현재 CryptXXX 2.x 버전에 감염되어 암호화된 파일에 대하여 안랩(AhnLab), Kaspersky 보안 업체에서 복구툴을 공개한 상태이므로 참고하시기 바라며, CryptXXX 3.x 버전에 감염된 경우에는 현재 공개된 복구툴이 없으므로 감염되지 않도록 ..
벌새::Software 2016. 5. 26. 19:57 안랩(AhnLab) CryptXXX 랜섬웨어 복구툴 공개 (2016.5.26) 최근 악의적으로 조작된 웹사이트 접속 과정에서 보안 패치가 제대로 설치되지 않은 경우 취약점(Exploit)을 이용한 CryptXXX 랜섬웨어(Ransomware) 감염으로 문서, 사진, 압축, 음악 등의 개인 파일이 .crypt 확장명으로 암호화되는 피해가 급증하고 있습니다. CryptXXX 2.0 랜섬웨어 복호화 도구 업데이트 소식 (2016.5.13) 초기에는 Kaspersky 보안 업체에서 CryptXXX 랜섬웨어로 암호화된 파일을 복구할 수 있는 복구툴을 제공하였지만, CryptXXX 랜섬웨어 제작자의 거듭된 변화에 따라 현재 유포되는 CryptXXX 3.0 버전에 대해서는 복구툴이 공개되지 않은 상태입니다. 또한 기존에 공개된 CryptXXX 2.0 랜섬웨어 복구툴은 HWP 한글 문서와 같은 ..
벌새::Analysis 2016. 5. 26. 18:38 1MB 파일 크기로 위장한 JS 스크립트 파일을 통한 Locky 랜섬웨어 유포 사례 (2016.5.26) 압축 파일이 첨부된 대규모 메일 발송을 통해 랜섬웨어(Ransomware) 감염을 유발하는 유포 행위 중 2016년 5월 12일경 확인된 1MB 크기를 가진 JS 스크립트 파일 사례를 살펴보도록 하겠습니다. 1. 메일 제목 : FW: vendors 해당 스팸(Spam) 메일에 첨부된 vendors_950B9A.zip 압축 파일은 다음과 같은 동일한 Hash값을 가진 JS 스크립트 파일이 포함되어 있습니다. balance 40482.js (SHA-1 : f7b68530e22363f935a8ad7459e91b521e8547c4) - 알약(ALYac) : Trojan.Downloader.JS.VB 특이한 점은 기존의 과는 다르게 JS 파일 크기가 1MB 수준으로 증가하였다는 점이며, 이는 백신 진단 우회 목적..
벌새::Software 2016. 5. 19. 12:05 TeslaCrypt 랜섬웨어 시대의 종말과 복호화 도구 공개 (2016.5.19) 2015년 초에 등장하여 최근까지 문서, 사진, 압축 파일 등을 암호화하여 돈을 요구하던 TeslaCrypt 랜섬웨어(Ransomware)가 최근 서비스를 완전히 종료함에 따라 제작자가 복호화 키를 공개하였다는 소식입니다. 이에 따라 BleepingComputer와 ESET 보안 업체에서는 TeslaCrypt 랜섬웨어로 암호화된 파일을 완벽하게 복구할 수 있는 복구툴을 공개함에 따라 사용 방법에 대해 살펴보도록 하겠습니다. ■ TeslaCrypt 랜섬웨어(Ransomware) 정보 TeslaCrypt 4.0 랜섬웨어(Ransomware) 출현 소식 (2016.3.19) TeslaCrypt 랜섬웨어는 2016년 3월 중순경 TeslaCrypt 4.0 버전으로 업데이트가 이루어졌으며, 파일 암호화 시도 과정..

티스토리툴바