랜섬 바이러스. 크립토락커.rsa- 2048

[도사]

현재 랜섬 바이러스가 활계를 치고 이에 대한 포스트를 작성합니다.

​현재 까지 알려진 사실만으로 기술을 합니다.

개인 유저 및 업체까지도 걸리고 있는 상태입니다. 업체란 곳은 개인 업체가 아닌 전산부서가 따로 있고 라우터 및 vpn이 따로 구성되어 있는 곳을 말합니다.

피해가 광범위 하다고 보시면 됩니다.

무료 백신으로는 해당 바이러스를 막지 못하는 것으로 확인됩니다.

피해 사례 확인시 a 사 v 사 개인사용자용 무료 백신 전부 가동 되고 있었으며 해당 바이러스를 치료 하였다고 되어 있지만 이미 pc 의 모든 내용 보안 알고리즘화 되어 있었습니다.

​

​(해당 백신에서 바이러스는 치료 하였으나 이미 모든 pc가 암호화 되었습니다 실행파일은 onodamom.exe였습니다)

아무래도 랜섬의 특성으로 인한 현상 같습니다.

랜섬에서 사용하는 RSA-2048 알고리즘 자체는 보안을 위하여 사용되는 알고리즘으로 쉽게 생각하여 내 컴퓨터에 문서 암호를 걸어 다른 사람이 볼수 없게 만드는 것이 주 목적이나 키를 알고 있는 악의적 크래커가(이걸 해커라고 할수도 없을듯 ... ) 이를 활용하여 바이러스 및 악성코드로 심어서  퍼다 나르는것이 문제입니다. 암호화 거는 자체는 바이러스가 아니라 실제 사용되고 있는 정상 프로그램이라는 뜻입니다.  

​이런 이유로 인하여 데이터 복구업체에서도 이를 복구 할수가 없습니다.

암호화 코드를 푼다는 것은 그 상위의 해킹 실력이 필요 한데 현재까지 rsa 암호화는 상당히 강력한 암호화 알고리즘으로 소개 되고 있습니다.

이걸 풀수 있다 또는 고칠수 있다는 웹상의 내용들은 제 생각엔 무언가 착각을 하고 있는 것이 아닌가 합니다.

현재 광범위하게 전파되고 있는 랜섬 바이러스는 과거와는 배포 루트 및 감염 대상 부터 다른 유형을 보이고 있습니다. 

과거에는 소수의 사용자 분들이 감염되어 실제 해당 해커에게 돈을 지불하고 암호화를 푼적도 있었습니다.(실제 사례입니다.)

그러나 지금의 램섬 바이러스는 무작위 공격 같다는 느낌이 듭니다.

아무래도 배포자도 최초 보안키를 모를 확률이 다분하다고 할수 있습니다.

배포 유형으로 봐서는 이미 2~3차 크래커들의 소행이 아닐까 합니다.

이럴 경우 울며 겨자먹기로 돈을 입금한다고 하여도 제 2의 피해만 입을 뿐입니다.

아래는 제가 확인한 램섬 바이러스 피해 사례입니다.

1.백신이 설치 되어 있는 pc에 다른 백신이 또 다시 가동됨으로 인하여 두 백신이 모두 멈쳐 있는 상태에서 바이러스가 활동을 시작한 사례 입니다.

주로 맥아피 백신이었는데 잠시나마 백신을 같이 배포하여 위 약점을 노렸나라고 생각도 해 보았습니다만  우연의 일치 일수 있습니다.

2. 주로 알려지지 않는 게임 및 피싱 사이트로 유도하여 백신을 꺼야만 설치가 가능 하다는 메시지를 남겨 백신의 실시간 감시 기능을 끄게끔 유도하는 유형입니다.

3. 2 와 유사하게 피싱 사이트로 유도후 엑티브x 기반의 설치 파일 설치시 백신에서 감지를 하나 그대로 진행을 지속 한 경우 입니다. 위 사진과 같이 치료는 하나 이미 감염이 되어 버립니다.(실행파일 이름이 실제 사용되는 파일이름과 유사합니다)

4.공유폴더로 인한 피해 사례가 전화상으로만 인입되었고 실제  확인은 하지 않았습니다. 이미 피해 입은 곳에 제가 가서 할일이 없습니다. 특히나 기업체이다 보니 전산팀이 따로 있는 곳이었습니다. 여기서 하나 파악된것은 정품 os를 사용하면서 update를 지속적으로 받아도 피해를 입을 수 있다는 것입니다. 

랜섬에 피해를 당하게 되면 pc 는 사용가능 하나 모든 문서 및 인증서 심지어는 복원 파일 및 압축 파일 ,사진 까지도 암호화 하여 버립니다.

유일하게 한글로 작성된 문서는 암호화 하지 않습니다. ( 한글 만세~~~)

이게 걸린다는 분들도 있으시던데 ccc 계열은 한글 문서는 걸지 않았습니다(샘플 다수..)

백신으로 치료한후에는 더이상 활동을 하지는 않으니 그렇게 두려워 하시진 않으셔도 되나 혹시나 모를 염려가 되신다면 ​포맷후 재 설치가 가장 나은 방법이기도 합니다.

확인된 바로는 암호를 걸게 하는 실행 파일이 별도로 있어 이 실행파일이 작동을 하면서 암호화를 걸게 됨으로 실행파일 없는 단순한 usb 등에서는 크게 염려 하실것 없을것 같습니다.하지만 하나의 실행파일이라도 있다면 반드시 검사를 당부 드립니다.

제가 서포트로 있어서가 아니라 현재 제 쪽에서 나간 백신중 avast 백신 설치된 pc에서는 아직 랜섬 바이러스 감염 사례가 제쪽으로 보고 된적이 없습니다. (딥스크린 때문이 아닐까 합니다 - 일단은 실행을 유보해 버리는 방어 프로그램이다 보니)

​위 내용 보시면 아시겠지만 피싱 사이트에만 걸리지 않으면 거의 해당 바이러스도 걸리지 않는 다는 것입니다.

제 서비스센터에서 처리된 pc 대부분 영화 다운 . tv 다시보기.음악 다운 . 게임(마이크레프트가 가장 많았음)다운등으로 유도된 사이트에서 바이러스에 감염된 사례 였습니다.

몇몇 사례는 어디서 감염이 되었는지 확인이 안되는 곳도 있었습니다.

이글이 현재 랜섬 바이러스에 감염된 분들에게 조금의 도움이라도 되었으면 하는 마음으로 작성을 합니다. 대부분 제 쪽으로 서비스 인입되는 분들은 거의 절망적인 마음을 표현 하셨습니다만 제가 어떻게 도움을 드릴수가 없었습니다. 다만 2차 3차 피해를 입지 않기 위한 지식 전달과 예방만을 해 드릴수 밖에 없었습니다.

참고 삼아 현재 카스퍼스키에서 복구 키를 지원하게 되었다는 새로운 뉴스입니다.

http://www.cctvnews.co.kr/news/articleView.html?idxno=36191

CCTV뉴스 - 카스퍼스키랩-네덜란드 경찰, 공동 대응으로 코인볼트 랜섬웨어 무력화

카스퍼스키랩이 랜섬웨어 대응 센터인 noransom.kaspersky.com에 1만4031개의 복호화 키를 추가적으로 업로드함으로써 코인볼트(C...

www.cctvnews.co.kr

시간적 소요가 상당히 되나 반드시 필요하신 분들은 영어 전문가의 도움을 얻어 해당 센터로 메일 보내실 경우 복구키를 얻을 확률이 높아 졌다는 희소식입니다.

읽어 주셔 감사합니다.

​