본문 바로가기

조치 가이드111

시스템 오류로 위장한 기술 지원 사기 주의 최근 온라인 광고 사이트를 통해서 시스템 오류로 위장한 기술 지원 사기가 유행하고 있습니다. [기술 지원 사기(Tech Support Scams)]시스템 또는 소프트웨어의 문제가 발생한 것처럼 위장한 뒤, 사용자에게 이를 수리하기 위한 기술 지원 비용을 요구하는 기법 최근 인터넷 뉴스 사이트에 포함된 광고 네트워크에서 기술 지원 사기 웹 사이트가 발견되었습니다. 이러한 웹 사이트는 시스템 오류가 발생한 것처럼 위장하여 팝업창을 출력합니다. [그림] 기술 지원 사기 웹 사이트 발견된 기술 지원 사기 웹 사이트는 다음과 같이 두가지 종류의 팝업창을 사용합니다. 이미지와 HTML을 이용하여 Windows에서 발생하는 오류로 위장 [그림 1-1] Windows에서 발생하는 오류 위장[그림 1-1]은 'Windo.. 2019.01.24
보안취약점을 이용한 악성코드 감염 예방 방법 최근 운영체제와 응용프로그램의 취약점을 이용한 악성코드가 유행하고 있습니다. 악성코드에 감염되면 파일 암호화, 개정보 유출 등의 피해를 입을 수 있습니다. 악성코드로부터의 피해를 예방하기 위해서는 운영체제 및 응용프로그램의 보안 업데이트를 최신 상태로 유지해야 하고 V3 제품의 실시간 감시, 행위 기반 진단, Active Defense 기능을 설정하여 사용하시기를 권장합니다. [주요 OS 및 애플리케이션 보안 패치 업데이트 안내] * Adobe Flash Player : http://get.adobe.com/kr/flashplayer/* Microsoft : http://update.microsoft.com/ (Windows 정품인증 필요)* Adobe Acrobat Reader : http://get... 2019.01.24
GandCrab v1, v4, v5 복구툴 배포 (Bitdefender) 어제인 10월 25일 Bitdefender에서 GandCrab 버전 1, 4, 5에 대한 복구툴을 배포하였다. 해당 복구 툴은 아래 Bitdefender 페이지에서 다운로드 할 수 있으며, 자사에서 확인한 결과 지역에 상관없이 위 버전으로 암호화 된 모든 파일이 정상적으로 복구될 수 있음을 확인하였다. (국내 사용자에게도 유효) - https://labs.bitdefender.com/2018/10/bitdefender-law-enforcement-solve-for-multiple-versions-of-gandcrab-with-new-decryptor/ 자사에서 이전에 GandCrab의 암호화 방식을 설명하였던 게시글의 내용처럼 GandCrab 버전 4, 5는 랜섬노트 내부에는 파일 복구를 위한 핵심 키인.. 2018.10.26
시리아 지역을 대상으로한 GandCrab 복구툴 배포 지난 10월 17일 컴퓨터 보안 및 기술 관련 정보를 제공하는 해외 리소스 사이트 Bleeping Computer에서 시리아 희생자를 위해 GandCrab 제작자가 키를 공개하였다는 기사를 업로드하였다. - https://www.bleepingcomputer.com/news/security/gandcrab-devs-release-decryption-keys-for-syrian-victims/ 자사 블로그(http://asec.ahnlab.com/1153)에서 언급하였듯이 GandCrab에 암호화 된 파일들은 공격자의 개인키를 알아야 복호화를 진행 할 수 있으며, [그림1]처럼 공격자는 파일 복호화를 위해 지불한 피해 사용자에게 자신만이 알고 있는 키 쌍을 통해 사용자의 개인키를 제공하여 복호화를 진행 할.. 2018.10.25
Magniber 랜섬웨어 복구툴 (랜덤벡터 복구기능 포함) 기존의 메그니베르(Magniber) 랜섬웨어 복구툴을 GUI형태로 개선하였으며, 4월 8일부터 확인된 가변적 벡터로 인해 복구가 불가능한 부분을 지원한다. (단, 확장자, 키 정보와 함께 암호화/복호화 파일 쌍이 존재하는 경우로 제한) 새로운 복구툴은 아래와 같은 화면이며, 암호화 확장자 정보만 입력하면 해당하는 키(Key), 벡터(IV)정보가 보여지는 구조를 갖는다. 확장자에 대한 키, 벡터정보는 복구툴 내부에 "magniber.db" 이름의 데이터베이스 파일로 관리되며 지속적으로 업데이트하여 제공할 예정이다. (2019년 10월 현재는 종료함) 만약, 확장자 입력 후 키, 벡터정보가 보여지지 않으면 복구가 불가능한 것으로 "magniber.db" 파일이 업데이트가 되어야 한다. [복구툴 사용방법] 1.. 2018.04.12
[가이드] 새로운 Magniber 랜섬웨어 복구를 위한 사용자 작업 4월 8일 이후 확인된 메그니베르(Magniber) 랜섬웨어는 기존의 복구툴로 복구가 불가능하다. 이유는 복구를 위해 필요한 벡터정보를 고정값이 아닌 랜덤하게 생성하여 발생한 것으로 동일한 확장자로 암호화된 파일이라도 사용자마다 사용된 벡터정보가 다를 수 있다. (단, 하나의 시스템에서 암호화된 파일은 동일 벡터가 사용) 이러한 문제로 인해 테스트로 복구 서비스를 제공하는 웹 페이지에서도 일부 알려진 포멧(JPG, PNG, BMP, DOCX, PPTX, HWP, XLSX 등)의 파일들을 제외하고 복구가 실패하는 것을 알 수 있다. 또한, 하나의 파일 복구에 8시간 정도 소요될 수 있다는 문구가 추가되었다. 4월 8일 이후에 암호화된 파일을 복구하기 위해서는 감염시점에 무료로 복구 테스트를 제공하는 페이지.. 2018.04.10
Magniber 랜섬웨어 복구툴 (확장자 별 키 정보) Magniber 랜섬웨어와 외형이 유사한 형태의 랜섬웨어로는 Hermes와 GandCrab 랜섬웨어가 있다. 즉, V3에서 "Trojan/Win32.Magniber"로 진단하는 파일 중에는 실제 Magniber가 아닌 유형이 존재할 수 있다. 각 랜섬웨어 별 랜섬노트를 통해 구분이 가능하다. § Hermes : DECRYPT_INFORMATION § GandCrab : CRAB-DECRYPT § Magniber : README 복구툴에서 복구가 가능한 형태는 README 이름의 랜섬노트를 갖는 Magniber 랜섬웨어이며, 아래와 같은 화면구성을 갖는다. 붉은색 표시부분의 값이 복구 시 사용되는 키 정보 중, 벡터값(IV)에 해당한다. 3월 30일 부터 현재까지 확인된 Magniber 랜섬웨어 확장자 별.. 2018.03.30
CryptXXX 랜섬웨어 3.x 버전의 암호화 방식 (부분 복구툴) 지난 5월 26일 CryptXXX 이름의 랜섬웨어 중 2.x 버전에 대한 복구 툴을 배포하였다. 최근에는 복구가 불가능한 버전 3.x의 감염사례가 증가하고 있는 추세이다. 2.x 버전에 대한 복구 툴에서는 3.x 버전으로 암호화된 파일을 진단 시, "CryptXXX 3.x 악성코드에 감염된 파일로 복원이 불가능합니다."라는 메시지 창을 출력하고 있다. (암호화된 파일을 통해 버전을 확인할 수 있음) 현재까지 확인된 3.x 버전은 3.002, 3.100, 3.102, 3.200, 3.205 버전이며, 최근 "CryptXXX 랜섬웨어 한글화 버전발견" 제목으로 기사화된 파일은 3.100 버전에 해당하며, "온라인 커뮤니티의 광고배너를 통해 유포된 파일"은 3.200 버전에 해당한다. 3.100 버전 이후로는.. 2016.06.03