![랜섬웨어 별 복호화 도구와
감염 이후 변경되는 확장자 비교
CryptoLocker CryptoWall Tesla Locky
Decryptolocker.exe
decompress-cryptolocker-
clone-bundle.py
TeslaCrack 복호화 툴 없음
.encrypted
.cryptolocker
.[7자리 랜덤문자]
랜덤문자 [3.0].TTT, .XXX, .Micro, .mp3 .locky
※ 암호화된 키는 크립토월 4.0의 경우 C2 서버에, 록키(Locky)의 경우 레지스트리에 저장합니다.](https://image.slidesharecdn.com/stscnshc-2016-1q-ransomware-160418025237/85/2016-1Q-13-320.jpg)
랜섬웨어 엔딩 #2016 1Q
- 1. 랜섬웨어 엔딩 #2016 1Q 랜섬웨어로부터 벗어나 자유롭게 봄을 즐길 준비 되셨나요?
- 2. STSC & NSHC 공동 랜섬웨어 주의 경보 발령! 어떻게 감염되는 건가요? - 이메일을 이용한 타켓팅 공격도 있고요. - 각종 취약점을 악용하기도 해요. 감염 이후 제 PC 는 어떻게 되요? - 아이예 부팅조차 안될수도 있고요 - 중요 파일들만 암호화되는 경우도 있어요. 그럼, 이제 어쩌죠? - 공격자는 다양한 방법으로 돈을 요구할 거에요 - 사전에 미리 방어되었다면 좋았겠지만… 우리 같이 방법을 찾아 봐요!
- 3. MalwareMustDie"에서 발표한 2016년에 성행할 랜섬웨어 목록 (2016.02) 악성코드 분석을 전문적으로 하는 "MalwareMustDie"에서 2016년도 성행할 것으로 예상하는 랜섬웨어 목록을 발표했습니다. 이런 발표는 매년 있어 왔지만 "악성코드" 목록이 아닌 "랜섬웨어" 목록이라는 특정 악성코드 타입에 대해서만 언급한 것이 이례적인데요. 이렇게 랜섬웨어는 짧은 시간에 악성코드에서 가장 중요한 부분을 차지하는 유형이 되었고 그 공격 대상은 윈도우 운영체제가 설치된 PC 뿐만 아니라 맥, 리눅스 또는 모바일과 심지어 웨어러블 기기까지 노리고 있는 실정입니다.
- 4. 랜섬웨어가 뭐예요? š PC(MBR) Locker MBR, 마스터 부트 레코드를 감염시켜 사용자의 컴퓨터 사용을 차단 하는 유형 š File Locker 특정 파일들을 암호화하는 유형 랜섬웨어는 AIDS Trojan으로부터 시작되었고, 새로운 보안 위협으로 부각된 것은 2011년 ~ 2012년입니다. 최근에는 PC Lock은 점차 사라지고 File Lock 형태가 성행하고 있지만, 2016년 3월 25일 "PC Lock" 형태의 랜섬웨어인 펫야(Petya)가 발견되었습니다. 그리고 다양한 랜섬웨어들이 계속 나오고 있습니다.
- 5. 바탕화면이 이렇게 변경되었나요? 랜섬웨어의 아버지로 볼 수 있는 크립토 락커(CryptoLocker), 크립토락커의 직접적인 영향을 많이 받았으며 다수의 변종이 나오고 있고 꾸준히 진화하고 있는 크립토워(CryptoWall), 그리고 크립토락커와 크립토워에서 진화한 테슬라 크립트(TeslaCrypt), 마지막으로 2016년에 새롭게 등장한 록키(Locky) 랜섬웨어에 감염되신 것 같아요. 물론 랜섬웨어 종류는 이것 말고도 엄청 많죠! 우리는 일단 4가지 랜섬웨어를 비교분석 해볼게요.
- 6. 최근 유포되고 있는 랜섬웨어는 "이메일을 통한 타겟 공격" 또는 "해킹된 사이트를 이용한 리다이렉트 공격"을 사용해요. 이메일의 경우 추가 악성 행위를 수행하는 첨부파일 형태로 전달해 사용자가 해당 파일을 열어보도록 유도합니다. 예를 들어, 악성 매크로를 삽입할 수 있는 워드, 엑셀과 같은 오피스 파일을 첨부하거나 자바스크립트를 ZIP파일로 전달합니다. 중요 문서를 메일로 받아본 경험이 있거나 카드 사용내역서 등을 웹에서 확인해 본 사용자는 경험에 의해 쉽게 열람하게 되지요. 이때 함께 은닉된 다른 악성 파일이 실행되거나 외부 서버로 부터 악성 파일을 다운로드 한 뒤 실행됩니다. 결국 이런 과정에서 랜섬웨어에 감염되게 됩니다. 랜섬웨어에 이렇게 감염되요 Compromised Servers Script Vulnerability Exploit Kit Stage 1. Attack Spear Phising Malvertising …….. Stage 2. 1st Damage DBD DGA ……… Stage 3. 2nd Damage BitCoin Tor Network ……..
- 7. 과거 악성코드는 감염시키기 위해 타겟 공격, 해킹된 웹 사이트, 각종 취약점부터 웜, USB를 통한 오토런 방식등 사용할 수 있는 모든 수단과 방법을 가리지 않았지요. 하지만 2013년 ~ 2014년 쯤 랜섬웨 어가 본 격 적 으 로 새 롭 게 보 안 이 슈 가 되 기 시 작 하 면 서 웜 , USB 등 의 방 식 은 점 차 감소하였고 이메일을 통한APT 타겟팅/웹 공 격 을 통 한 감 염 비 율 이 급 격 히 증가했습니다. 랜섬웨어 감염 방식의 변화 APT 공격 웹 해킹 취약점 USB (오토런) FakeAV 공유 폴더 2016년
- 8. 이메일을 이용한 타켓팅 공격 이메일을 이용한 APT 공격이 증가했지만 스팸 메일 건수는 오히려 감소하였습니다. 불특정 다수에게 전달되던 스팸 메일의 수치가 감소하고 타겟 공격으로 집중하기 시작했음을 의미합니다. 타겟 공격을 통해 특정 사용자에게 보내는 메일은 다음 조건에 맞는 방식을 찾는 것으로 변화하고 있습니다. • 실행 파일처럼 내가 원하는 동작을 할 수 있어야 한다. • 기존의 스팸 메일 탐지 시스템에서 탐지되지 않아야 한다.
- 9. 워드 매크로를 통한 랜섬웨어 다운로드 시나리오 1. 사용자 는 이메 일에 첨 부된 파 일을 다운로드하고 확인합니다. 문서의 내용은 한눈에 알아보기 어렵게 작성되어있으며, 매크로(Macro)를 활성화해야 정상적으로 내 용 을 확 인 할 수 있 다 는 안 내 문 이 적혀있습니다. 2. 의심없이 메크로를 활성화 하면, 원격 서버로 부터 특정 폴더(예, %TMP%)에 랜섬웨어가 다운로드 되고 실행됩니다. 3. 이후 사용자 시스템은 랜섬웨 어에 감염되어 컴퓨터 및 네트워크 상의 모든 파일이 암호화됩니다.1 2 3 MACRO Enable.
- 10. 취약점을 악용한 감염 š 앵글러(Angler), 리그(Rig), 매그니튜드(Magnitude), 뉴클리어(Nuclear), 스윗 오렌지(Sweet Orange) 그리고 뉴트리노(Neutrino) 등 거의 모든 익스플로잇 킷을 통해 랜섬웨어가 유포되고 있음. š 이런 익스플로잇 킷은 여러 단계의 랜딩 페이지를 생성하고, 자바/플래시/인터넷 익스플로러 취약점이나 윈도우 사용자 시스템에 기본적으로 설치된 파워쉘을 악용하여, 최종적으로 랜섬웨어를 다운로드 하고 실행함.
- 11. NEUTRINO EKRIG EK NUCLEAR EK ANGLER EK SWEET ORANGE EK MAGNITUDE EK 2013.09 CryptoLocker 2013.11 CyptoWall (clone of CryptoLocker) 2014.02 CryptoWall 1.0 (CryptoLocker alike) 2016.02 Locky (Dridex alike) 2015.02 TeslaCrypt 1.0 (CryptoLocker alike) 2016.01 TeslaCrypt 3.0 (CryptoWall alike) 2015.01 CryptoWall 3.0 2015.11 CryptoWall 4.0 2014.10 CryptoWall 2.0 2015.06 TeslaCrypt 2.0 (CryptoWall alike) 랜섬웨어 유포 및 실행에 악용되는 익스플로잇 킷
- 12. 파일이 어떻게 암호화 되는거죠? AES key Encrypted by RSA public key Decrypted by RSA private key Stored in Registry C&C server Target Files Encrypted Files 최근 파일을 암호화하는 랜섬웨어에서 공통적으로 사용하고 있는 암호화 방식은 RSA+AES 알고리즘의 조합입니다. 크립토 락커와 록키 랜섬웨어의 경우 대상 파일을 암호화하기 위해 AES키를 생성하고, C2 서 버 에 서 RSA 공 개 키 를 받 아 와 그 키 를 암호화합니다. 따라서 암호화 된 파일을 다시 복호화 하려면 서버에서 RSA 비밀키를 받아와서 키를 먼저 복호화 한 다음 파일을 복구할 수 있습니다. 크립토워(CryptoWall) 4.0의 경우, 랜섬웨어 제작자가 복호화를 위한 별도의 실행파일 다운로드를 제공하기도 합니다.
- 13. 랜섬웨어 별 복호화 도구와 감염 이후 변경되는 확장자 비교 CryptoLocker CryptoWall Tesla Locky Decryptolocker.exe decompress-cryptolocker- clone-bundle.py TeslaCrack 복호화 툴 없음 .encrypted .cryptolocker .[7자리 랜덤문자] 랜덤문자 [3.0].TTT, .XXX, .Micro, .mp3 .locky ※ 암호화된 키는 크립토월 4.0의 경우 C2 서버에, 록키(Locky)의 경우 레지스트리에 저장합니다.
- 14. 어떤 파일이 암호화 되나요? CryptoLocker CryptoWall 3fr, accdb, txt, ai, arw, bay, cdr, cer, cr2, eps, erf, indd, mp3, mp4, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, rwl, srf, srw, wb2, wpd, wps, xlk, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, xls, xlsb, xlsm, xlsx, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db_journal, .db3, .dbf, .dc2, .dcr, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jpe, .jpeg, .jpg, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mp3, .mp4, .mpg, .mrw, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .obj, .ods, .p7c, .r3d, .mov, .flv, .wav, .dcs, .cmt, .ce1, .odb, .odc, .odf, .odg, .odm, .odp, .ads, .odt, .oil, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .plus_muhd, .plc, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vob, .wallet, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .zip 시스템의 모든 파일이 암호화 되는 것이 아니고, 각 랜섬웨어마다 인질로 잡는 파일이 조금씩 다릅니다.
- 15. 어떤 파일이 암호화 되나요? Tesla .7z .rar .m4a .wma .avi .wmv .csv .d3dbsp .sc2save .sie .sum .ibank .t13 .t12 .qdf .gdb .tax .pkpass .bc6 .bc7 .bkp .qic .bkf .sidn .sidd .mddata .itl .itdb .icxs .hvpl .hplg .hkdb .mdbackup .syncdb .gho .cas .svg .map .wmo .itm .sb .fos .mcgame .vdf .ztmp .sis .sid .ncf .menu .layout .dmp .blob .esm .001 .vtf .dazip .fpk .mlx .kf .iwd .vpk .tor .psk .rim .w3x .fsh .ntl .arch00 .lvl .snx .cfr .ff .vpp_pc .lrf .m2 .mcmeta .vfs0 .mpqge .kdb .db0 .DayZProfile .rofl .hkx .bar .upk .das .iwi .litemod .asset .forge .ltx .bsa .apk .re4 .sav .lbf .slm .bik .epk .rgss3a .pak .big .unity3d .wotreplay .xxx .desc .py .m3u .flv .js .css .rb .png .jpeg .txt .p7c .p7b .p12 .pfx .pem .crt .cer .der .x3f .srw .pef .ptx .r3d .rw2 .rwl .raw .raf .orf .nrw .mrwref .mef .erf .kdc .dcr .cr2 .crw .bay .sr2 .srf .arw .3fr .dng .jpe .jpg .cdr .indd .ai .eps .pdf .pdd .psd .dbfv .mdf .wb2 .rtf .wpd .dxg .xf .dwg .pst .accdb .mdb .pptm .pptx .ppt .xlk .xlsb .xlsm .xlsx .xls .wps .docm .docx .doc .odb .odc .odm .odp .ods .odt
- 16. 어떤 파일이 암호화 되나요? Locky Locky (2016.3.22 추가됨) wallet.dat, .key, .crt, .p12, .pem, .DOC, .odt, .ott, .sxw, .stw, .PPT, .XLS, .pdf, .RTF, .uot, .CSV, .txt, .xml, .3ds, .max, .3dm, .DOT, .docx,.docm, .dotx, .dotm, .602, .hwp, .ods, .ots, .sxc, .stc, .xlc, .xlm, .xlt, .xlw, .slk, .xlsb, .xlsm, .xltm, .xltx, .wk1, .wks, .123, .wb2, .odp, .otp, .sxi, .sti, .pps, .pot, .sxd, .std, .pptx, .potm, .potx, .uop, .odg, .otg, .sxm, .mml, .docb, .ppam, .ppsm, .sldx, .sldm, .ms11, .ms11(Security copy), .lay, .lay6, .asc, .SQLITE3, .SQLITEDB, .sql, .mdb, .db, .dbf, .odb, .frm, .MYD, .MYI, .ibd, .mdf, .ldf, .php, .c, .cpp, .pas, .asm, .h, .js, .vb, .vbs, .pl, .dip, .dch, .sch, .brd, .cs, .asp, rb, .java, .jar, .class, .pl, .sh, .bat, .cmd, .psd, .NET, .tiff, .tif, .jpg, .jpeg, .cgm, .raw, .gif, .png, .bmp, .svg, .djvu, .djv, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .tar.bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .qcow2, .mp3, .wav, .swf, .fla, .wma, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u n64, .011, .010, .099, .008, .007, .006, .005, .004, .003, .002, .001, .pst, .onetoc2, .ppsx, pptm, .xlsx, .dif, .csr
- 17. 암호화된 파일 어떻게 복호화 하죠? š 복호화 도구 사용 š 선불카드, 비트코인 결재 등 랜섬웨어에 감염되면, 사용자의 화면에는 감염사실을 알리는 텍스트 파일이나 안내 문구가 삽입된 이미지가 나옵니다. 이를 통해 악성코드 제작자/해커는 자신이 원하는 방식으로 돈을 요구하는데, 선불카드, 비트코인 결재 등 다양합다. 최근에는 Tor 네트워크를 이용해 특정 사이트에 접속 후 지불 방법 및 계좌 정보를 알리는 형태도 나왔습니다. 일반 사용자 뿐만 아니라 대규모 병원의 시스템이 감염되어 실제 우리돈 2000만원 가량을 지불한 사례도 있었습니다. 데이터를 복구하기 위해 이들이 요구하는 비용은 매우 다양한데, 록키같은 경우 200불~800불을 요구하기도 하며, 테슬라는 500불 상당의 비트코인 결재를 요구합니다. 0.50BTC(200$) 2.00BTC(800$) 1.25BTC(500$)
- 18. 랜섬웨어에 감염되고 싶지 않아요.. š 이메일에 첨부된 파일을 다운로드 할 때 조심해요! š 의심스러운 문서파일의 매크로는 활성화하지 않아요! š 중요한 데이터는 다른 물리디스크 뿐만 아니라 클라우드 서비스를 통해 항상 백업! š 운영체제 최신 업데이트는 기본, 백신도 설치하면 좋겠죠? š IT 보안 담당자 이신가요? 업데이트도 불가능하고 백신을 설치할 수 없는 시스템인가요? 각 랜섬웨어의 특징에 맞는 대응 방안이 있습니다. 내용이 더 궁금하다면,