최근 급속히 유포되고 있는 랜섬웨어에 대해 안내 드립니다.

안녕하세요. 에이원네트웍스 입니다.

 

최근 랜섬웨어 Locky 및TeslaCrypt 피해가 급증하고 있어 이에 대한 내용 전달 드립니다.

 

관련하여 최근 유행 중인 랜섬웨어와 그에 대한 예방수칙 몇 가지를 안내 드리오니 참고 하시기 바랍니다.

 

1. 신종 랜섬웨어 Locky

(참고 : https://www.rancert.com/bbs/bbs.php?bbs_id=notice&mode=view&id=32)

Locky는E-mail 첨부파일을 다운받아 실행되며 메일명과 첨부파일명이 송장으로 위장한 ATTN:Invoice A-00000000 형태로 동일하게 송부되고 있습니다.

암호화된 데이터의 확장자는 .locky로 변조되고 파일명도 같이 변조되는 것이 특징이며, 모든폴더 내에_Locky_recover_instructions.txt 파일을 생성하여

복호화 프로그램의 결제를 요구합니다.

또한 다른 랜섬웨어에 비해 네트워크 PC의 공유 폴더로 인한 파일 암호화의 범위가 더욱 넓기 때문에 주의하셔야 합니다.

 

확인되지 않은 E-mail 파일 다운을 자제해 주시기 바랍니다.

 

침투 방식
• E-Mail 첨부파일(.doc) / ex) 제목: ATTN: Invoice J-98223146, 첨부파일명: Invoice_J-98223146)
• 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서다운로드 받아 실행함
(방화벽 장비 무용지물)

피해 범위
• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, ppt, pptx, pdf, txt, png, jpg, jpeg,
psd, wav, mp4, mpg, avi, wmv, zip 외 100여가지 확장자)
• Cloud Drive, Local Disk, USB Drive,NetWork Drive

특징
• 파일의 확장자를locky로 변경
• 파일을 암호화한 폴더 내에 1개의 파일을 생성 (_Locky_recover_instructions.*)
• 바탕화면을 생성된 파일 내용으로 변경
• CryptoWall4.0과 같이 암호화된 파일명 변경 (F67091F1D24A922B1A7FC27E19A9D9BC.locky)
• 연결되어 있지 않은 네트워크 상태에도 공유 데이터를 암호화

 

2. 변종 랜섬웨어TeslaCrypt

(참고 URL : https://www.rancert.com/bbs/bbs.php?bbs_id=notice&mode=view&id=33)

기존 랜섬웨어와는 다르게 작년에 동작했던 CryptoWall3.0 랜섬웨어와 같이 확장자 변조가 없음 (최근 .mp3로 확장자 변조)

 

특정한 행위 없이 인터넷 사이트의 방문만으로도감염 될 수 있습니다.

(AdobeFlash Player, Adobe AIR, JAVA, Adobe Reader, MS silverlight 등의 보안 취약점 이용)

 

 

침투 방식
• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등
• 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문
    (첨부된 파일 패턴은 zip,exe, scr, cab, pdf 등)
• 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함 (방화벽 장비 무용지물)

특징
• 파일의 확장자를 mp3로 변경
• 파일을 암호화한 폴더내에 3개의 파일을 생성 (_H_e_l_p_RECOVER_INSTRUCTIONS.*)
• 유일하게기존 확장자명으로 변조되며, mp3 파일은 감염시키지 않음

3. 랜섬웨어 감염 예방 수칙

  1) PC 및 서버 데이터 백업 주지

  2) 공유 폴더 관리

    - 사내 공유폴더 운영 시 공유폴더 숨김 공유 설정

    - 권한 부여로 인증된 사용자만 접속 하도록 설정

    * 최근 유행 중인 랜섬웨어의 경우 "시스템 보호 영역"을 설정 하여도 보호 영역 모두를 삭제 합니다.

 

랜섬웨어가 점점 지능적이고 다양한 방식으로유포되고 있습니다.

확인되지 않은 웹사이트 방문 및 파일다운을 자제해 주시기  바랍니다.

이상입니다.