클리앙 랜섬웨어 감염경로 및 대처방법.

HYEONG HWAN, MUN/ 4월 25, 2015/ 미분류/ 7 comments

https://blog.lael.be/post/1179

해커들이 똑똑해지고 있다.

2017년 5월 15일 현재 유행하는 랜섬웨어는 윈도우 공유폴더(SMB) 취약점을 이용합니다.

- 내가 공유폴더를 설정하지 않았어도 해당 기능이 켜져 있다면, 자동으로 취약하게 됩니다.

 - 이번 취약점의 패치는 2017년 3월 14일에 배포되었습니다. 이 날짜 이후에 윈도우 업데이트를 한번이라도 진행한 PC는 취약하지 않습니다.

과거의 악성 광고 띄우기, 은행 사칭 피싱, 디도스 좀비피씨 만들기를 넘어서서

가장 효과적으로 안전하게 돈을 벌 수 있는 “파일 잠그기“를 하기 시도하는 것이다.

 

파일 삭제의 경우 표면 읽기, 흔적 스캔 등의 기법을 통해서 쉽게 복구할 수 있다.

복구 업체들도 위의 방법으로 복구한다.

 

하지만 파일을 암호화해서 수정 저장해버리면 복구 업체로써는 아무것도 할 수 없게 된다.

파일에 암호가 걸렸는데 풀 수 없는 것이다. (복구업체는 해커가 아니다!)

 


2016 년 현재

랜섬웨어 푸는 법이 많이 나온 상태입니다.

카스퍼스키나 안랩 또는 개인개발자들이 만들어서 공개해 둔 상태이며

비트스누퍼, ccc, vvv 등 많은 복구하는 방법이 있습니다.

http://drakor.blog.me/220585994910

https://github.com/Googulator/TeslaCrack

 


 

 

먼저 암호화 방식 3가지에 대해서 알아보자.

1. 대칭키 암호화 방식

데이터를 암호화 하는 키복호화 하는 키가 같다.

예를들어 123456 의 데이터를 111111 키를 사용해서 암호화하면  : 234567 이 된다.

이 값은 수신측에서 암호화 할 때 사용한 111111 키를 사용해서 : 123456 을 얻을 수 있다.

 

엑셀이나 워드에 암호를 걸고 푸는 것을 생각하면 된다.

 

2. 단방향 암호화 방식

풀 수 없게 암호화 하는 방식이다. 이걸 사용해서 암호화 하면 복호화 할 수 없다.

주로 원본데이터를 손실 시켜 암호화 한다. 1:1 암호화 방식이 아니어서 같은 암호화 결과물을 나타내는 것이 하나 이상 있을 수 있다.

하지만 일치문자를 찾을 확률이 로또보다 더 어렵다고 한다.

 

주로 비밀번호 암호화에 사용되고 항상 암호화된 결과물을 가지고 비교하게 된다.

 

3. 비대칭키 암호화방식

암호화를 수행하는 키와 복호화를 수행하는 키가 서로 다르다.

암호화 통신인 HTTPS 에서 사용한다.

http://ko.wikipedia.org/wiki/RSA_%EC%95%94%ED%98%B8

 

 


 

 

랜섬웨어.

컴퓨터 내에 저장된 문서, 이미지를 “비대칭키 암호화 방식“으로 암호화.

파일을 몽땅 암호화 하고 풀수있는 키는 해커가 가지고 있다.

 

 

1. 파일을 비대칭키 암호화방식으로 암호화.

2. 금전 요구.

3. 샘플파일 하나 풀어줌.  -> 이때 해커는 이 파일의 암호화 공개키 확보.

4. 돈 지불. -> 확보한 암호화 키에 맞는 해독키를 보내줌.

5. 해독키가 입력된 암호화 푸는 프로그램 전송.

6. 암호화가 풀림.

 


 

 

랜섬웨어 감염경로.

1. 플래시 취약점.

플래시는 허가되지 않는 프로그램을 임시저장폴더에 저장하는 취약점이 있었음.

최근에 발견된 취약점이며 패치되지 않은 사용자가 많을 것으로 보임. 플래시 업데이트를 하세요.

http://krebsonsecurity.com/2015/01/flash-patch-targets-zero-day-exploit/

http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/

 

2. IE 취약점.

모든 버전에 취약. IE 5~ IE 11 최신 까지.

vbscript 실행으로 인해 로컬파일을 실행할 수 있음. MS에서 IE 보안패치를 공개했다고 하는데 잘 모르겠음.

https://blog.malwarebytes.org/exploits-2/2014/11/critical-bug-allows-drive-by-download-attacks-in-internet-explorer-3-through-11/

과거 IE에서는 이용자의 동의 없이 웹브라우져로 CD롬도 열고, 엑셀도 실행하고, 컴퓨터도 끄고, 바탕화면 바로가기도 만들 수 있었음.

이 망할 기능을 막았어야 했는데 최신버전인 IE 11까지도 지원하고 있음. MS가 이제 IE 개발 안하고 새로운 브라우져 만든다고 했음.

 

이 두개의 합작품이다.

FLASH 로 DLL 파일 다운받고, IE의 vbscript 기능을 사용해 그 파일을 로딩해서 실행하는 것이다.

 


 

 

- 취약한 플래시 버전을 설치했어도 다음의 경우엔 걸리지 않습니다.

1. 크롬, 파이어폭스 사용자.

vbsscript를 해석하지 않음. 웹브라우져가 PC 내의 데이터 접근할 수 없도록 차단.

 

2. 맥, 리눅스 사용자.

IE가 아예 안깔림.

 

- 요약 : 이번 사건은 Windows + IE + Flash 사용자에게만 일어남.

웹에라는게 브라우져 안에서 웹영역만 손댈 수 있게 샌드박싱을 해야하는데,

IE는 액티브X(vbscript)라는 악성정책으로 인해 피씨 자체를 제어하는 기능이 있음. (이 악성 기능은 IE Edge 에서 제거됨.)

브라우져의 성능이 낮았을 때는 액티브X가 획기적인 것이었지만, 현재는 브라우져의 성능이 매우 좋아져서 이러한 액티브X가 필요 없게 되었다.

 

 

 


 

 

-- 대처 방법

1. 이 바이러스에 걸렸다면, 컴퓨터 코드를 뽑아서 강제종료 후.. 안전모드로 부팅. 라엘이의 이 글 말고 다른 글을 검색하여 치료를 시도해 본다.

2. 바이러스에 안걸린 상태라면 윈도우 및 플래시, 자바등의 보안업데이트를 한다.

3. 아무것도 하기 싫다면, IE 안쓰면 된다.

4. 웹에서는 Active-x, Flash, Java Applet 을 설치하거나 실행시키지 않는다.

--

내용 보충.

1. 일부의 사용자는 해독 프로그램을 구매 했을 것입니다. 그분이 구매한 해독 프로그램을 얻어서 자신의 PC 에서 실행시켜보세요. 같은 공개키로 암호화 되었다면 당신의 PC 암호도 풀릴 것입니다.

2. 암호화는 많은 메모리와 CPU 를 소비합니다. 용량이 큰 파일이라면 많은 자원을 소비하게 되고 눈치 채게 되죠. 또한 프로그램 오류로 실패할 확률도 커집니다. 이 경우 랜섬웨어는 대용량 파일은 암호화시키지 않고 파일명만 변경시킵니다. 대용량 파일이라면(zip 같은것) 단순히 이름만 원래대로 바꾼 후 사용해보세요.

3. 당신이 걸린 랜섬웨어의 제작자가 이미 검거되었다면 해독프로그램을 구할 수 있을 것입니다.

--

 

추신 : IBM X-Force팀이 지정한 이 취약점의 CVSS(심각성 정도)는 10점 만점에 9.3점이다.  (매우 심각)

 

7 Comments

  1. 와우 라엘님 글 이곳저곳에서 많이 보이네염
    카스퍼스키 같은 백신으로도 차단 불가능 한거에요? ie 이외의 브라우저를 쓰는게 유일한 해결책?

    1. 하핫!
      백신은 막아줍니다. 특히나 카스퍼스키 같은건 확실히 잘 막아줘요.

  2. 와. 자동등록방지를 산수로 하는건 처음보네요. 문자 따라 치는 건 알파벳도 잘 안 보이고 귀찮은데 이 기능은 정말 편하군요?
    출처 표시해고 펌 해갈게요 ^^
    이 글 덕분에 잘 이해할 수 있게 되었어요~

  3. 근데 궁금한 점이 있습니다.
    랜섬웨어 걸리면 해당 윈도우즈가 깔린 파티션만 데이터가 암호화 되는 건가요?
    아니면 NTFS 이외의 파티션 까지 하드디스크 전체 자료에 문제가 생기나요?

    1. 프로그램이 접근할 수 있는 모든 파일이 위험해집니다. (윈도우 탐색기로 들어갈 수 있는 모든 곳)
      C, D 를 포함해서 , 연결된 USB, 연결된 HDD, 네트워크 드라이브, 공유폴더 등등.

      회사의 경우 업무문서를 공유폴더로 공유해서 쓰는 경우가 많은데, 그런 곳들… 박살이 났죠.

  4. 제[ 컴퓨터에 이 랜섬웨어라는게 걸린거같은데 랜섬웨어에 걸리면 어떻게되나요…..
    갑자기 불안감이 많아지네요 저는 컴퓨터로 게임아니면 간단한 인터넷쇼핑정도하는데 ㅠㅠ

    1. 익스플로러 + 플래시를 쓰면서 보안업데이트를 하지 않으면 악성코드에 감염됩니다.
      그리고 한번 랜섬웨어에 걸리면 인터넷도 할 수 없게 됩니다.

Leave a Comment

작성하신 댓글은 관리자의 수동 승인 후 게시됩니다.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
*
*