일상 | 랜섬웨어. 당해본 사람은 안다.
페이지 정보
작성자 DLL 작성일16-09-27 18:55 조회42,628회 댓글1건관련링크
- http://ioo.kr 227회 연결
- http://cdo.kr 262회 연결
본문
얼마전 랜섬웨어에 감염되어 PC와 테블릿의 모든 문서와 사진들을 잃었다.
와.. 이걸 걸리다니 ㄱ-;
그리고는 오늘 친구에게서 전화가 왔다.
친구 : "뭐 하나좀 물어볼라고 ㅋㅋ"
나 : "뭔데 읭??"
친구 : "컴퓨터 랜섬웨어인가 걸렸는데 어떻게 해야하냐?"
나 : "프하하하ㅏㅏㅎ핳하하!!! ."
나 : "....그거..."
나 : "나도 저번주에 걸려서 사진하고 문서하고 다 날려먹었다."
나 : "혹시 그거 바탕화면 배경화면에 영어로 도배되고 파일같은거 다 안 읽어지고"
나 : "비트코인에 돈 넣어라 이런내용 아니가??"
친구 : "..어..;;;"
나 : "내랑 똑같은거 걸린거 같노.. 백신도 못잡고 복구도 안되서 컴터 밀었다 난 -,.-;;"
나 : "..."
친구 : "..."
랜섬웨어는 모든 문서 사진등의 자료를 암호화 시켜서 망가트리고..
읽을 수 없도록 한다.
복구를 하려면 "비트코인" 이라는 온라인상의 머니를 요구한다..
돈 쓰고 복구하면 또 다시 자료를 미끼로 추가 돈을 지속적으로 요구할 수도 있다..
그냥...컴퓨터를 깔끔하게 밀어버리고..
인증되지 않은 블로그나 웹하드의 자료는 받지 않으며..
정품만을 사용하며..
이상한 메일을 받는다면 읽지 않는것이 좋으며..
비정상적인 웹싸이트는 방문하지 않는것이 좋다..
익스플로러 버전이 낮을 경우에는 특정 싸이트에 접속하는것 만으로도
악성코드나 랜섬웨어에 감염될 수 있다..
답이 없는 랜섬웨어.. 해줄 말이 없었다...
"난 왜 랜섬웨어에 걸려서 하드디스크를 청소해야만 했나?"
웹하드 싸이트에서 GTA를 다운받았다..
중고 그래픽카드의 성능을 시험해볼겸 받아놓고 몇번 플레이를 해봤었다..
그리고는 게임을 하지 않았는데..
특정일자나 특정기간 이후에 작동하도록 해두었나보다.. -_-;;
"원격지에서 랜섬웨어 공격명령으로 감염된 PC의 데이터를 파괴시킨다?"
물론 가능한 방식으로 보인다..
자신의 PC가 외부로 지속적으로 접속시도를 하는 어떤 프로세스가 실행되고 있다면..
공격자의 명령에 따라서 감염된 PC의 데이터가 농락 당하게 된다..
"백신을 설치했는데도 걸리냐..?"
물론 백신을 설치했는데도 걸리게 되어있다..
기존 랜섬웨어의 작동방식을 수정 변경하게 되면 또 다른 종류의 랜섬웨어가 된다..
백신은 작동방식의 패턴을 분석하여 방어하게 되는데, 약간이라도 다르게 되면..
진단이 어렵다..
"어떤 파일을 받았고, 이 파일에 신뢰가 안가는데 실행을 해야만 한다면?"
난 아래와 같은 웹싸이트를 이용해 기본적인 악성코드를(멜웨어 트로이목마 랜섬웨어 스파이웨어 웜등..)
검사한다..
바로 "바이러스토탈" 이라는 싸이트이다.
검사하고 싶은 파일을 선택해서 업로드 후, 검사결과를 볼 수 있다.
그리고 URL 탭을 이용하면 다운로드 받지 않고 웹상의 파일을 검사할 수 있다.(아주 유용하쥐...ㅋㅋ)
현존하는 모든백신(유명한 백신)들로 한번에 통합검사를 할 수 있다.
정상 파일인 TCPView.exe 를 체크해보자
(시멘텍의 TCP뷰 : 내 컴퓨터와 연결된 모든 아이피 확인을 할 수 있는 정상적인 파일!)
최초 체크된 이력과, 최근에 다른 누군가가 체크해본 이력이 있다.
탐지율은 57개 백신중에 0개로써 정상파일로 본다는 것.
최근에 체크해본 날짜가 오래되었을 경우에는 "다시 분석"을 해보는것을 권장한다.
"그래서.. 다시분석을 해보자 읭?ㅎㅎ"
다시 분석을 해봤다.
탐지비율 0/57, 정상으로 보임!
왼쪽은 백신업체의 이름이고, 가운데 초록색 체크는 정상이라는 것이다..
그리고 오른쪽의 날짜는 해당 백신업체의 버전이 된다..
파일 행동정보나 상세정보 외에도 많은 정보들을 알려준다.
만약에, 어떤 파일이 실행되고 있는 상태에서,
그 파일이 바이러스 토탈에서 악성코드로 분류되었고,
외부로 연결되는 아이피 주소나 도메인 주소가 뜨고,
그 아이피가 해외 아이피인 경우에는 조심해야 한다..
그리고 한가지 더..
기존에 알고 있었던 파일을 받을 경우에도 조심해야 한다.
기존의 정상적인 파일에 악성코드를 병합(Merge)시켜서
멀티드롭퍼(셔틀 드랍할때 질럿3마리에 다크1마리 내리는것임...ㅋ)형태로
만들어 졌을수도 있다..
파일의 용량이 변경되었거나 파일을 실행할 때에, "알 수 없는 게시자"로 나타난다면 신뢰성이 떨어진다고 볼수 있다..
실행파일을 제작 할 때에도 인증서를 입혀(?)서 배포하도록 되어있으므로..
업체가 아닌, 개인이 파일을 제작한 것은 대부분 "알 수 없는 게시자"로 나타난다..
대부분 사용자의 동의 없이 바로가기 아이콘이 생성되거나..
시작페이지가 변경되는 등, 피곤한 짓을 한다..
이것들은 링크주소에 특정 파트너 코드를 담고 있어서, 링크를 타고 접속후
결제나 가입 등, 활동을 하게 되면 제작자에게 수익이 생기는 구조이다...
조심 또 항상 의심 또 정상인것만 사용해야 한다.
암튼..
말이 길어졌으니..
이만 줄이쟈~~
-ㅁ-;
댓글목록
DLL님의 댓글
DLL 작성일
참고로..
인터넷익스플로러를 사용하는 것 보다는
크롬브라우져(Chrome) 사용하는 것을 권장드려받쳐봄..
액티브X(ActiveX)가 크롬에서는 잘 먹어주지 않으니, 개발단계에서는
세심하게 신경을 써서 접속자의 브라우져가 크롬인지 익스인지를 판단해서
처리하는 자세와 각이 필요할 듯 싶다.
물론 구글 크롬브라우져가 진화과정(업데이트..!)을 거치면 자연스럽게 해결될지도..
예전에 국내에서 ActiveX를 전면 사용중단을 선언하기도 했었지만, 은연중에 암흑물질처럼
여전히 만들어지고 사용되고 있는 실정이다.
(이 부분은 리버싱을 해보면 ocx들이 수두룩하게 보인다..)