Test the Bitdefender products

이동

최근 유행하고 있는 랜섬웨어 예방방법 안내

2016-06-08
CryptXXX를 포함하여 최근 유행하고 있는 랜섬웨어를 비트디펜더를 활용하여 예방할 수 있는 방법에 대해 안내 드립니다.

최근 유행하고 있는 랜섬웨어 예방방법 안내

2016-06-08
안녕하세요~
CryptXXX를 포함하여 최근 유행하고 있는 랜섬웨어를 비트디펜더를 활용하여 예방할 수 있는 방법에 대해 안내 드립니다.

[비트디펜더 제품을 통한 예방법]

1. 실시간 감시기 활성화 (기본 옵션): 시그너처 매칭 방식으로 랜섬웨어 파일이 PC내에 침투되는 경우 탐지하여 삭제합니다.

2. Advanced Threat Control 활성화 (기본 옵션): 가상 에뮬레이터 기반 행위기반 엔진을 통해 악성 프로세스에 의한 암호화 시도 탐지 시 패턴이 존재하지 않더라도 해당 파일을 탐지 및 삭제합니다.

비트디펜더 제품을 통해서는 위 2가지 옵션만 항상 활성화 상태에 두시면 90%이상의 랜섬웨어는 사전에 차단하실 수 있습니다.
참고로 DLL 기반으로 동작하는 랜섬웨어의 경우에는 Advanced Threat Control 기능을 우회할 수 있기 때문에, 다음에서 안내하는 플래쉬 플레이어 최신 업데이트 등을 통해 반드시 취약점을 제거하여 주시기 바랍니다.


[취약점 제거를 통한 대응]

1. Adobe Flash Player 최신버전 업데이트 (필수)
 다운로드 링크 : Adobe Download Center 


2. 출처가 불분명한 js 파일 실행하지 않기 (압축파일 형태로 업무 메일로 위장하여 발송)

3. OS 및 그외 소프트웨어 (Microsoft Office 군, Adobe Acrobat, MS Silverlight) 최신버전 업데이트

현재 국내 대형 커뮤니티 사이트를 통하여 대량으로 유포되고 있는 랜섬웨어는 Cryptxxx 계열로 프로세스 기반이 아닌 DLL 형태로 동작되도록 설계되어 있습니다.  
구글 배너광고 송출 서버를 통해 Adobe Flash Player 취약점이 악용되어 배포중이므로 필히 Adobe Flash Player를 최신버전으로 업데이트 하셔야 합니다. PC에 취약점이 존재하는 경우 특정 커뮤니티 사이트 및 일반적인 웹 사이트 접속만으로도 Cryptxxx 감염 피해를 입을 수 있습니다.

4. 비트디펜더 안티 랜섬웨어 툴 설치
 무료입니다. 최근 유행하는 랜섬웨어로부터 보호할 수 있으며, 다른 백신 솔루션과 함께 설치가 가능합니다.

다운로드 링크 : http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe 

감사합니다.

Close
read more

돈? 데이터? Ransomware에 대한 이해 - 1부

2015-05-18
최근 랜섬웨어에 대한 피해 사례와 문의가 많아 게시판 1면에 다시 공지 드립니다.

돈? 데이터? Ransomware에 대한 이해 - 1부

2015-05-18

최근 랜섬웨어에 대한 피해 사례와 문의가 많아 게시판 1면에 다시 공지 드립니다.

그리 오래된 이야기도 아닙니다. 몸값으로 수천 달러를 내지 않으면 감옥에 보내겠다는 협박성 문자를 컴퓨터 바이러스에 의해 받은 남자가 자살을 하는 일이 생겼습니다. 
2014년의 일입니다. 믿기지 않은 이야기처럼 보이지만 그 일은 컴퓨터 바이러스가 사람을 죽이는 첫 번째 사건으로 기록되었습니다.  

그 다음 세대들은 전세계에서 수십만 사용자들의 데이터를 볼모로 잡아 Cryptolocker를 이용해 현금을 긁어 모으고 있습니다. 그리 오래되지도 않아 금새 멀웨어가 CTB(Curve-Tor-Bitcoin) Locker로 다시 돌아왔습니다.


이런 멀웨어들은 여전히 증가하고 있으며, PC뿐만아니라, 스마트폰과 테블릿이 중요한 개인정보 및 회사의 중요한 문서들을 저장하는 경우가 더욱 많아지면서 새로운 복잡한 단계에 이르게 됐습니다.

안티멀웨어 솔루션 개발회사인 비트디펜더는 이 문제에 주목하여 이런 종류의 바이러스가 어떻게 동작하는지를 보여주고 사용자들의 컴퓨터 및 모바일 디바이스가 잠겨서 돈을 빼앗기는 일을 예방할 수 있는 방법을 알려드리고자 합니다.

ransomware란 무엇인가
                                     

Ransomware란 시스템을 감염시킨 다음, 사용자가 돈을 준 후, 데이터에 접근할 수 있게 될 때까지 시스템을 잠궈 놓는 멀웨어의 일종입니다. 서버측의 다형성과 산업용 수준의 배포 기반시설과 함께  멀웨어는 네트워크 시스템의 취약점인 악성 다운로드 파일 또는 심지어 텍스트 메시지를 통해서 시스템 안으로 들어갈 수 있습니다. Ramsomware가 어떻게 사용자의 컴퓨터를 감염시키는지에 대한 좀 더 자세한 글들을 계속 읽어보도록 하십시오.





전통적인 멀웨어와 왜 다른가?

·         피해자의 정보를 훔쳐내는 것이 아니라 암호화 해버립니다.

·         몸값을 요구합니다. 보통은 비트코인으로 요구합니다.

·         만들기가 상대적으로 쉽습니다-정리가 잘 된 crypto-library가 많이 있으며, 거래도 쉽습니다.

 

ransomware의 종류

디바이스를 잠금하는 종류

이런 종류의 ransomware는 기기의 화면을 잠궈 놓거나 기기 접근을 방해할 목적으로 전체화면을 전면에 띄어 놓기도 합니다. 돈을 요구하는 메시지가 오지만 개인적인 파일들을 아직 암호화해 놓지는 않습니다.





파일에 암호를 걸어두는 종류

파일에 암호를 걸어두는 악명 높은 ransomware 종류로는 Cryptowall, Critroni, TorLocker 등이 있습니다.

Cryptolocker같은 파일에 암호를 걸어두는 것들은 문서, 엑셀파일, 사진, 동영상과 같은 개인적인 파일들에 암호를 걸어두는데 이것들은 일단 컴퓨터에 잠입한 후에는 command-and-control center 접속 후 복잡한 암호화 알고리즘을 사용하여 각각의 컴퓨터 파일들에 암호화 키를 생성합니다. 그러면 이제 컴퓨터의 데이터를 사용할 수 없게 되는 겁니다.

그 다음 멀웨어는 메시지를 보내는데 주로 사법 집행기관에서 보내는 것처럼 하여 언급한 날짜까지 돈을 내고(비트코인이나 선불 현금 상품권으로 결제를 요구함) 암호를 풀지 않으면 벌을 받거나 감옥에 간다고 피해자들을 협박하곤 합니다. 사이버 범죄자들은 사용자의 컴퓨터 IP정보를 도용하여 피해자에게 맞춤 화면 잠금 메시지를 보냅니다. 기한 내에 입금을 하지 않으면 개인 해독키를 삭제하겠다는 협박을 하기도 합니다.





일부 사이버 범죄 집단은 TOR를 통해 통신을 익명으로 진행함으로써 새로운 차원으로 변화시키고 있습니다. TorLocker는 지하 포럼에서 제휴 프로그램으로 판매하는 상업용 ransomware toolkit입니다. Tor 기반의 통신은 이 작업을 중단시키는 것이 거의 불가능하지만, 재생가능한 빌트인 키를 이용하면 피해자의 PC가 온라인이 아니더라도TorLocker을 이용해 파일을 암호화 할 수 있습니다.





비트디펜더의 E-threat 수석 분석관인 보그단 보테자투에 따르면, “상황이 더욱 나빠지고 있으며, 이런 종류의 감염들이 더 많이 발견된다고 합니다. “일단 피해자가 되고 나면, 돈을 내지 않고 데이터를 되찾기란 불가능에 가깝습니다. 하지만, 돈을 낸다는 것은 이런 범죄를 부추기는 것이고 그런 연구, 개발에 자금을 대는 꼴이지요. 이런 범죄자들 중에는 돈을 받고도 데이터를 돌려주지 않아 돈도 데이터도 모두 잃게 반드는 자들도 있습니다.”

계속해서 랜섬웨어의 종류와 피해 예방에 대해 2부와 3부가 준비되어 있습니다~


Close
read more

Ransomware는 어떻게 작동하는가? Ransomware에 대한 이해 - 2부

2015-05-28
Ransomware가 무엇인지에 대해 알아봤으니 이제는 그것이 어떻게 퍼지고 컴퓨터를 감염시키게 되는지 보도록 하겠습니다.

Ransomware는 어떻게 작동하는가? Ransomware에 대한 이해 - 2부

2015-05-28

어떻게 시스템 안으로 들어가는가?

일반적인 침투 방법은 아래와 같습니다.

·         스팸, 사회공학적 방법

·         직접적인drive-by-download 또는 악성 광고(배너 등)

·         멀웨어 설치 도구, botnets

몇 년 전에 처음 ransomware라는 것이 나타났을 때는 사용자들이 멀웨어가 포함된 이메일 첨부를 열거나, 속임수 이메일이나 팝업 창을 통해 감염된 사이트로 이동하면서 컴퓨터들이 대부분 감염됐었습니다. 최근 변종들의 payload는 이미지 형태를 띄고 이동식 USB 드라이브나 야후 메신저 등을 통해 퍼져나가는 것이 목격되었습니다.





CTB Locker ransomware는 공격적인 스팸 활동을 통해 피해자들을 양산하면서 언론에 자주 등장하고 있습니다. 이메일은 첨부에 .zip 아카이브를 동반한 팩스 메시지 형태를 하고 있습니다. 그리고, 첨부의 zip 파일 안에 있는 실행 파일에 접근하게 되면 시스템 안에 있는 데이터가 암호화되고 피해자는 해독키를 받으려면 돈을 내라는 요청을 받게 됩니다.

하지만 최근의 변종들은 사람의 행위가 없어도 전파하도록 재설계될 수 있습니다. 최근 소위 “drive-by” ransomware가 개입된 수많은 사건들을 보게 되었는데 drive-by 다운로드 공격은 감염된 사이트나 악성 광고를 통해 시작해 보통은 Flash Player, Java, Adobe Reader 또는 Silverlight같은 브라우저 플러그인의 취약점을 파고 듭니다. 이런 공격에 사용되는 도구들은 권한 상승을 받을 수 있는 기능들이 있는데 이러한 권한 상승을 통해 공격자들은 권한이 제한적인 피해자의 사용자 계정을 사용하는 대신 어드민이나 시스템 수준의 권한을 가지고 멀웨어 프로그램을 실행하게 되는 겁니다.

수법

각각의 ransomware 변종들은 서로 다르게 작동하도록 설계될 수 있습니다. 하지만, 전통적인 안티바이러스 탐지를 피하기 위해 공통적으로 복잡한 난독화, 은밀한 설치 기재를 공통적으로 가지고 있습니다. 이것이 의미하는 바는 멀웨어는 숨어 있기를 바라며 그렇기 때문에 모호한 파일이름, 속성 변조, 합법적 프로그램이나 서비스를 핑계삼아 동작하는 등 탐지와 분석을 회피하는 기술을 사용한다는 겁니다. 멀웨어는 코드 난독화 같은 분석 방어 기법을 통해 데이터를 해독하기 불가능하게 제작되어 리버스 엔지니어링을 하기가 무척 어렵게 되어 있습니다.





Ransomware의 통신 프로토콜이 평이한 텍스트(HTTP)에서 Tor HTTPS로 발전하면서 C&C 서버로의 호출을 암호화하기 때문에 네트워크 트래픽 모니터링을 통해서는 추적하기가 불가능해졌다는 것도 덧붙여 언급해야 할 필요가 있습니다. 파일 암호화는 짧은 키나 하드코드 키를 사용하는 대신 강력한 비대칭 암호기술을 발휘하는 crypto-library를 사용하도록 새로워 졌습니다. Cryptolocker Cryptowall 같은 이전의 샘플들은, 예를 들면, 서버를 먼저 접속하고 그 다음에 암호화를 진행했었습니다.

Ransomware가 어떻게 동작하는지 더 자세히 알기 위해 Cryptolocker를 들여다보도록 하겠습니다. Cryptolocker ransomwareZbot 변종(악성 행위를 실행하도록 사용되는 트로이잔)에 의해 설치됩니다. 설치 후에는 랜덤 이름으로 Startup에 들어가 command and control 서버와 교신을 시도합니다. 그것이 성공하면, 서버는 공용키와 거기에 상응하는 비트코인 주소를 보내줍니다. 비대칭암호화(공용키는 암호화를 하고 개인키는 해독을 함)를 이용하여 Cryptolocker는 피해자 컴퓨터에 존재하는 70여 종 이상의 파일을 암호화하기 시작합니다.





여기에 암호화가 어떻게 진행되는지 간단히 보여드리겠습니다:





그렇지만, 사용자의 홈 화면에는, 보통 사용자에게 맞춤 형태로, 수많은 메시지와 지시사항들이 보여지게 됩니다.





감염 피해자들은 자신들의 서버에 보관된 개인키를 받기 위해서 돈을 내야 하는데 그 키 없이는 해독이 불가능합니다. 몸값이 지불되면 해독이 시작되고 지불 확인 화면이 나타납니다. 해독이 끝나면 Cryptolocker은 삭제됩니다.

주의: 해커의 말을 믿지 마십시오. 돈을 낸다고 파일이 복구된다는 보장은 없습니다.

피해자들은 누구인가?

Ransomware가 가정용 컴퓨터만을 타겟팅하여 노리지는 않습니다. 기업, 금융단체, 정부기관, 교육기관과 여타 단체들이 ransomware에 감염된 사례가 많이 있습니다. 이런 일들은 민감한 단체 소유의 정보들을 파괴하고, 일상 업무를 어렵게 만들며 재정적 손실도 물론 일으킵니다. 단체나 기관의 명성에도 치명적일뿐 아니라, 해커들은 정해진 목표의 파일, 데이터베이스, CAD 파일, 금융 정보 까지도 노립니다. Cryptolocker는 예를 들면, .doc, .img, .av, .src, .cad 등을 포함한 70여 가지 이상의 확장명을 목표로 사용되었습니다. .

비트디펜더의 수석 보안전략관인 카탈린 코소이에 따르면, “성능이 엄청나게 향상되고 있으며 피해자들로부터 돈을 뜯어내는 데 전례없는 성공을 거두고 있는 ransomware는 사용자와 안티멀웨어 벤더 모두에게 심각한 위협이라고 합니다.

계속해서 3부에서는 랜섬웨어 예방법에 대해 알아보도록 하겠습니다.


Close
read more

Ransomware 피해를 방지하는 방법 Ransomware에 대한 이해 - 3부

2015-06-09
지금까지 랜섬웨어로부터 탈출할 수 있는 방법은 없습니다. 특히나 모바일 기기를 대상으로 하는 스마트폰 또는 태블릿 PC를 외부에서 잠궈 버리는 위협처럼 말이죠. Koler를 기억하시나요? 불행하게도 공격자와 복잡한 감염 워크플로우 간의 암호와 통신 방식은 기존 보안 솔루션의 전통적인 탐지 기법으로는 랜섬웨어 공격에 대한 차단을 어렵게 만들고 있습니다.

Ransomware 피해를 방지하는 방법 Ransomware에 대한 이해 - 3부

2015-06-09

지금까지 랜섬웨어로부터 탈출할 있는 방법은 없습니다. 특히나 모바일 기기를 대상으로 하는 스마트폰 또는 태블릿 PC 외부에서 잠궈 버리는 위협처럼 말이죠. Koler 기억하시나요? 불행하게도 공격자와 복잡한 감염 워크플로우 간의 암호와 통신 방식은 기존 보안 솔루션의 전통적인 탐지 기법으로는 랜섬웨어 공격에 대한 차단을 어렵게 만들고 있습니다

감염을 방지하는 방법

사용자가 몸값을 지불하지 않고 암호 해독 검색을 방지하는 기술적 제한으로 인해, 랜섬웨어의 영향으로부터 벗어날 있는 가장 좋은 방법은 처음부터 감염되지 않는 입니다.



 

사용자 권고사항

1. 클라우드 또는 외부 저장 장치를 통해 정기적으로 데이터를 백업하시기 바랍니다. 백업은 PC내의 다른 파티션에 해서는 안되며, 백업이 진행되는 시간 동안만 외장하드나 USB등 외부저장 장치를 PC 연결할 것을 권장합니다.





2.
UAC 기능을 활성화 하십시오. UAC 관리자 권한이 필요한 상황이 발생할 사용자에게 알려줍니다.




3. 안티 익스플로잇 기능이 포함된 안티 멀웨어 솔루션 사용을 권장하며, 최신 업데이트를 유지하고 안티 멀웨어 안티 스팸 모듈의 실시간 감시 기능을 활성화 하십시오. 정기적인 업데이트가 사용자 PC 보안 환경을 최적화 해주지는 않습니다.   

4. 모바일 기기 보안 환경에 익숙치 않다면, 신뢰할 없는 스토어 또는 마켓에서는 어플리케이션들을 다운로드 하지 마십시오. 신뢰할 있는 마켓을 통해서만 모바일 위협을 방지할 있는 솔루션을 다운로드 하고 설치하시기 바랍니다.

5.
인터넷 사용의 좋은 사례를 따르십시오. 의심스러운 사이트 방문하지 않기, 불확실한 출처의 이메일 첨부파일 또는 링크 클릭하지 않기, 브라우저 확장 기능 자바스크립트 실행이 되도록 설정해두는 것이 좋습니다.

6.
악성 광고 노출을 줄이기 위해 온라인 광고 차단 툴을 사용하고 활성화하십시오.

7. 악의적인 코드가 담긴 이메일 수신을 줄이기 위해 스팸 필터링을 활성화 하십시오.

8. 가능하면 플래쉬 동작을 완전히 비활성화하거나 가상화 환경을 사용하시기 바랍니다. 플래쉬는 지금까지 랜섬웨어의 감염 벡터로 반복되어 사용됐습니다. 부득이 사용해야 한다면, 최신 버전으로 업데이트하시기 바랍니다. 특히 최근 유행하고 있는 CryptXXX의 경우, 플래쉬 플레이어의 취약점을 이용하므로 반드시 최신 버전으로 업데이트하시기 바랍니다.

9. 브라우저의 보안 설정 레벨을 높게 하여 온라인의 보호 수준을 증가시키십시오.

10. 윈도우 운영체제 취약한 소프트웨어, 특히 브라우저 브라우저 플러그인 관련 보안 패치 상태를 최신으로 업데이트하고 유지하시기 바랍니다. 익스플로잇 킷은 이런 컴포넌트의 취약점을 악용하여 자동으로 악성코드가 설치되도록 유도합니다.
 
랜섬웨어는 기업의 성장에 악영향을 미치며, 특히 BYOD/BYOA 트렌드에 따라 직원들이 때로는 회사의 악영향을 주는 링크 역할을 하기도 합니다. 하지만, 그들을 의심하기 보단 회사에서 있는 필요한 모든 보안 조치를 취해야합니다. 만약 당신이 IT팀의 보안 정책을 총괄할 있는 의사결정권이 있는 책임자라면 다음의 사항들을 고려할 필요가 있습니다.

회사 차원에서의 권고 사항

1.     사회 공학적 기법 스피어 피싱 이메일 사례 등을 통해 올바른 컴퓨터 사용법을 직원들에게 교육합니다.

2.     엔드포인트 보안 솔루션을 설치하고 고급화된 정책 유지보수를 수행합니다.

3.     특정 위치로부터 실행되는 프로그램을 차단하고 소프트웨어 제한 정책을 사용합니다.

4.     방화벽 사용을 통해 공개해서는 안되는 서비스들이  인터넷에서 들어오는 모든 연결을 차단합니다.

5.     사용자가 작업을 완료하는데 필요한 권한이 최저 수준인지 확인하고 관리자 패스워드 또는 UAC 권한 요청이 있을때 관리자 레벨에서 실행되어야 하는 합법적인 응용 프로그램인지 확인합니다.

6.     시스템 복원 기능이 활성화 되어 있는 경우 바이러스로 탐지되어 제거된 파일이 암호화 되기 이전의 파일로 복원될 수도 있습니다.


그래도
만약에 감여 되었다면

절대 몸값을 지불하지 마십시오. 비용 지불로 당신은 사이버 범죄를 지원하는 것이 수도 있습니다.

랜섬웨어 피해가 의심되지만 랜섬웨어의 몸값 지불 화면을 보지 못했다면 네트워크 연결을 분리하시기 바랍니다. 기기를 셧다운하고 안전모드로 재부팅하여 암호화 프로세스를 찾아 삭제하는 것은 좋은 방법이 수도 있습니다. 특정 위협을 대상으로 보안 회사에서 무료로 배포하는 랜섬웨어 제거 도구 (the removal tools) 대한 검색도 잊지 마시기 바랍니다.  

비트디펜더 안티 랜섬웨어
(무료:최근 유행하는 랜섬웨어로부터 보호합니다. 다른 백신 솔루션과 함께 설치가 가능합니다)

다운로드 링크 : http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe 







Close
read more

안드로이드 앱에서 감염된 ‘포켓몬 Go’ 앱 발견

2016-07-19
비트디펜더 바이러스 대응센터 연구원은 안드로이드 앱에서 감염된 ‘포켓몬 Go’ 앱을 발견했습니다. 이 감염된 앱은 RAT(Remotely activated Trojan)이 포함되어 있는 악성 앱니다.

안드로이드 앱에서 감염된 ‘포켓몬 Go’ 앱 발견

2016-07-19

최근 들어 전 세계적으로 선풍적으로 인기를 끌고 있는 포켓몬 Go’ 게임을 알고 계실 것입니다.

잘 아시겠지만, 이 게임은 정말 재미가 있으며, 기술적으로나 사회적으로 많은 분들에게 엄청난 주목을 받고 있는데,
이러한 인기는 동시에 악의적인 해커들에게도 눈독을 들이게 만드는 결과를 불러오고 있습니다.


 
 

비트디펜더 바이러스 대응센터 연구원은 안드로이드 앱에서 감염된 포켓몬 Go’ 앱을 발견했습니다. 이 감염된 앱은 RAT(Remotely activated Trojan)이 포함되어 있는 악성 앱니다.

이 앱은 새로운 종류의 포켓몬 Go’ 앱이 아니라, 사이버 범죄자에게 피해자의 휴대 전화를 마음대로 제어할 수 있게 해 주는 원격 액세스 트로이 목마입니다.

포켓몬 Go’ iOS 버전은 구글 계정으로 로그인하는 옵션으로 설정했을 때, 해당 구글 계정에 대한 전체 억세스 권한을 요구하는 바람에 개인 정보에 대해 치명적인 위험을 초래했지만, 얼마 전에 빠르게 수정되었으며, 이제는 구글 계정으로 로그인하는 경우 더 이상 전체 권한을 요구하지 않습니다.

 

[팁과 주의사항]

고객님께서 포켓몬 Go’ 게임 유저든 아니든, 중요한 것은 그 어떠한 모바일 앱이라도 앱을 설치할 때에는 앱이 허용하는 권한을 반드시 확인해야만 합니다.

또한, 3의 온라인 마켓을 통해 절대로 다운로드 받지 마세요. 악의적인 해커가 트로잔, 백도어, 랜섬웨어 등 악성코드를 잔뜩 심어났을 수도 있기 때문입니다.

  * 관련내용 자세히 보기 (클릭)

  * 비트디펜더 모바일 시큐리티 설치하기(클릭)


Close
read more