일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 미맥스
- 윈도우10
- 소프트웨어
- 하이브리드 자동차 헤택
- 미맥스2
- 개고양이 꿈 해몽
- SK하이닉스 연봉
- 윈도우7
- 모자 꿈 해몽
- 청산도 배
- 제2롯데월드 주차장
- 갤럭시S8
- 바이러스
- 세븐스프링스 할인 정보
- 동부화재 고객센터
- 윈도우 백업
- 로또 카드결제
- 개고양이 꿈
- 세븐스프링스 할인 카드
- 랜섬웨어
- 연봉계산기
- 윈도우
- 메가박스
- 스마트폰
- 제2롯데월드 주차요금
- 기아차 배당금
- 교통범칙금 미납
- 코스트코
- 동부화재 고객센터 전화번호
- 로또 인터넷구매
- Today
- Total
비범한연구소
내 컴퓨터를 지키기 위한 상식, 랜섬웨어 종류 알아보기 본문
안녕하세요. 오늘은 내 컴퓨터를 지키기 위한 상식, 랜섬웨어 종류 알아보도록 하겠습니다.
랜섬웨어란?
시스템에 침투하여 내 모든 시스템 화면과 파일을 암호화해서 사용자가 그 시스템 화면과 파일을 접근하지 못하게 제한하고 복구를 원하면 돈을 달라고 협박하는 일종의 멀웨어 입니다.
최근에는 워너크라이의 유행으로 이슈를 샀었죠.
그리고 이들은 암호 해독키를 교환하기 위해 사용자들에게 특정 온라인 결제, 주로 암호화가 잘된 전자지갑인 비트코인을 통해 파일 몸값을 달라고 합니다.
보통은 Cryptocurrencies가 제공한 익명의 비트코인 지갑 정보에 기반해서 랜섬웨어 해커들은 파일의 몸값을 요구합니다.
어떤 이들은 아이튬즈 및 아마존 기프트 카드 형식으로 대체 결제를 요구하기도 합니다.
하지만 확실한 것은 몸값? 을 지불한다고 해서 감염된 시스템들의 복구가 100% 이뤄진다고 보장은 못한다는 점입니다. 그들은 범죄자니까요
그렇다면 오늘날 어떤 랜섬웨어가 있는지 그 종류를 알아 볼까요?
<랜섬웨어 종류>
LOCKY
Locky 암호화된 파일의 이름을 16 진수로 변경; .locky를 암호화된 파일에 추가; DRIDEX 악성 코드의 도착과 유사하게 매크로가 내장 된 .DOC 첨부 파일을 사용하여 스팸 메일을 통해 도착
CERBERCerber
.cerber을 암호화한 파일에 추가;.VBS 파일을 이용해 음성 기능 지원
CRYPSAM SAMSAM
익스플로잇을 JexBoss 오픈 서버 어플리케이션에 사용 하거나 다른 자바 기반의 어플리케이션 플랫폼을 사용해 피해 웹 어플리케이션 서버에 설치가 됨
PETYA
Petya 프로그램 시작 시 블루 스크린과 랜섬 메시지 표시
WALTRIX
CRYPTXXX, WALTRIX, Exxroute .DLL 파일 형태로 도착; Angler 익스플로잇 키트를 통해 확산; 스크린 화면을 잠그고 모든 파일 암호화; 확장자 .crypt 추가
CRYPSALAM
Salam파일 암호화 후 {month}-{day}-{year}-INFECTION.TXT 형식의 랜섬 메시지 표시; 파일 해독을 위해 이메일로 연락할 것을 요구
JIGSAWJigsaw
파일을 삭제하고 매 시간 요구하는 금액을 증가시킴; 몇몇 변종은 라이브 채팅 기능 지원; 일부는 포르노 관련 랜섬 메시지 사용
MIRCOPMircop
Windows PowerShell 을 악용해 첨부된 매크로 파일을 스팸메일로 전송하여 실행; 랜섬 메시지에 후드를 쓰고 Guy Fawkes 마스크를 쓴 남자 이미지 표시
JSRAA
RAA 인터넷 익스플로러의 Windows Scripting Host 엔진 용으로 설계된 Jscript 로 작성; Microsoft Edge 브라우저에서는 실행되지 않음
GOOPICGoopic
익스플로잇 키트를 통해 도착; 전문적으로 디자인된 인터페이스 사용
APOCALYPSE
Apocalypse 암호화된 파일 확장자에 .encrypted 추가; 지불 방식 설명을 알려면 해커에게 이메일을 보내도록 요구
JOKOZY
KozyJozy .31392E30362E32303136_(0-20)_LSBJ1 패턴을 사용하여 배열에서 임의로 선택된 확장명을 암호화 된 파일에 추가
CRYPMIC
WALTRIX 와 유사한 패턴을 가지고 있음
REVETON Police Ransom
사용자에게 연방법을 위반했다는 가짜 경고를 띄우고 화면을 잠금; 메시지를 통해 사용자의 IP 주소가 FBI에 의해 불법 콘텐츠가 있는 웹 사이트를 방문한 것으로 확인되었다고 알림
VBUZKY
64 비트 랜섬웨어; Shell_TrayWnd 사용 시도; Windows 7의 TESTSIGNING 옵션 사용 가능
CRYPTOP Ransomware archiver
GULCRYPT 와 구성요소를 다운로드
GULCRYPT Ransomware archiver
특정 확장명의 파일을 보관; 유저의 파일이 들어있는 아카이브를 풀기 위해 누구에게 어떻게 연락 해야 하는지 랜섬 메시지를 통해 전달
CRYPWEB PHP ransomware
웹 서버의 데이터베이스를 암호화 하여 웹 사이트를 이용 불가능 하게 함; C&C 서버와 통신하기 위해 HTTPS 사용; 해독 키는 오직 C&C server 에서 사용 가능
CRYPDIRT Dirty Decrypt
Cryptolocker 출현 전인 2013년 처음 나타남
CRYPTORBIT
손상 지표인 몸값을 포함하는 이미지, 텍스트 및 HTML 파일 탐지
CRYPTLOCKTorrentLocker
CryptoLocker 처럼 행동; 최신 버전은 해당 컴퓨터에서crypt0l0cker를 표시; 암호화를 피할 수 있는 파일 확장명 목록 사용, 암호화 확장명 목록을 사용하는 일반적인 랜섬웨어와 비교하면 CRYPTLOCK이 더 많은 파일을 암호화하고 감염된 컴퓨터가 계속 실행되도록 하여 사용자가 파일이 암호화 되었음을 인지 할 수 있도록 함. 몸값 지불을 위해 인터넷 접속은 가능
CRYPFORT CryptoFortress
TorrentLocker/CRYPTLOCK 의 유저인터페이스 모방; 와일드 카드를 사용하여 파일 확장명 검색. 공유 폴더의 파일을 암호화
CRYPTESLA TeslaCrypt
CryptoLocker와 비슷한 유저인터페이스 사용; 게임 관련 파일 암호화; Versions 2.1 와 2.2는 .vvv 및 .ccc와 함께 암호화; Version 3.0 향상된 암호화 알고리즘이 있으며, .xxx, .ttt 및 .mp3이 암호화 된 파일에 추가됨
CRYPVAULTVaultCrypt
GnuPG 암호화 도구 사용; 해킹 도구를 다운로드해 웹 브라우저에 저장된 증명서 도용; sDelete 16 번 사용해 파일의 복구를 방지 및 방해; 고객 지원 포털 운영; 배치 스크립트 크립토 랜섬웨어
CRYPSHED Troldesh
러시아에서 처음 발견; 다른 나라를 노리기 위해 영어 버전의 랜섬 메시지 지원; 암호화된 파일에 .xtbl 추가하는 것 외에도 파일 이름을 인코딩하여 사용자가 손실된 파일을 추적하지 못하게 함
SYNOLOCK SynoLocker
Synology NAS 장치의 운영 체제(DSM 4.3-3810 또는 이전버전) 을 사용하여 해당 장치에 저장된 파일을 암호화; 고객 지원 포털 운영
ACCDFISA Anti Cyber Crime Department of Federal Internet Security Agency Ransom
2012년 발견. 파일 암호화; 파일 복원과 스크린 잠금 해제를 위해 Moneypak, Paysafe, or Ukash 을 통해 결제 유도; SFX (자동 압축 풀기) 아카이브로 패키지 된 다중 구성 요서 멀웨어로 알려짐; Sdelete and WinRAR 과 같은 서드파티 어플리케이션에 묶여 올 수 있음
ANDROIDOS_LOCKER
첫 모바일 랜섬웨어; Tor 사용(익명 서버 연결이 가능한 합법적 서비스); 감염된 모바일의 사용자들은 파일을 사용할 수 없거나 몸값으로 잡혀있는 상태로 발견
CRIBITBit
CryptCRILOCK 와 유사하게 RSA-AES 를 사용해 타겟 파일을 암호화Version 1 은 RSA-426 사용; Version 2 는 RSA-1024 사용; 암호화 시킨 파일 문자열에 bitcryp1 (for version 1) , bitcrypt2 (for version 2) 추가
CRILOCK CryptoLocker
C&C 서버 연결을 위해 DGA (Domain Generation Algorithm) 사용; 2013년 10월 – 스팸메일의 부분으로 UPATRE (ZBOT과 추가 CRILOCK 다운로드) 가 발견
CRITOLOCK Cryptographic locker
고급 표준 암호화 시스템 사용 (AES-128); ‘Cryptolocker’ 라는 단어가 컴퓨터 배경에 깔림
CRYPAURA PayCrypt
파일을 암호화 한 후 암호 해독을 위해 연락할 이메일 주소를 남김; PayCrypt 버전은 .id-{victim ID}-paycrypt@aol.com 을 암호화된 파일에 추가
CRYPCTB Critroni, CTB Locker, Curve-Tor-Bitcoin Locker
데이터 파일 암호화; 쉐도우 복사본을 삭제해 복구를 불가능하게 함; 랜섬웨어를 다운로드 하는 첨부파일이 담긴 스팸 메일로 도착; 소셜엔지니어링을 사용해 사용자가 첨부파일을 열도록 유도; Tor 사용해 C&C Communication 마스킹
CRYPDEF CryptoDefense
파일 해독을 위해 비트코인 몸값 요구
CRYPTCOINCoinVault
파일 해독을 위해 몸값을 비트코인으로 결제하도록 요구; 하나의 파일을 해독하는 일회성 무료 테스트 제공
CRYPTFILE
RSA-2048 에서 생성된 고유의 공용 키를 사용하여 파일을 암호화 하고 사용자에게 1 비트코인을 요구
CRYPWALL CryptoWall, CryptWall, CryptoWall 3.0, Cryptowall 4.0
CRYPTODEFENSE 의 업데이트 버전; 비트코인 결제 방식 요구; 익명 목적으로 Tor 네트워크 사용; UPATRE-ZBOT-RANSOM 감염 경로를 따라 스팸 메일을 통해 도착; CryptoWall 3.0 에는 FAREIT 스파이웨어가 번들로 제공; Cryptowall 4.0은 암호화된 파일의 이름을 암호화 하고 업데이트된 랜섬 메시지 사용, 자바 스크립트 형태의 첨부파일과 함께 스팸 메일로 도착한 것으로 TROJ_KASIDET 변종에 의해 다운로드 될 수 있음
CRYPTROLF
파일 암호화 후 트롤 얼굴 이미지 표시
CRYPTTOR
배경화면을 벽 그림으로 변경하고 결제 요구
CRYPTOR
batch file ransomware DOWNCRYPT 을 통해 도착; GNU Privacy Guard 응용프로그램을 사용해 사용자 파일을 암호화 할 수 있는 배치 파일 랜섬웨어
DOWNCRYPT
batch file ransomware 스팸메일을 통해 도착; 미끼 문서와 같은 BAT_CRYPTOR 와 구성 요소를 다운로드
VIRLOCK VirLock, VirRansom
문서 파일, 아카이브 및 이미지와 같은 미디어 파일 감염
PGPCODER
2005년에 발견. 최초로 발견된 랜섬웨어
KOLLAH
특정 확장명을 사용하여 파일을 암호화 하는 최초의 랜섬웨어 중 하나; MS Office 문서, PDF 파일 및 기타 사용자 정보가 많거나 관련이 있는 파일들이 타겟; 암호화 된 파일에 GLAMOUR 라는 문자열 추가
KOVTER
유튜브 등의 광고를 Sweet Orange exploit kit 로 연결
MATSNU
화면 잠금 기능을 가진 백도어; 몸값 요청
RANSOM
응용프로그램 일반적 탐지를 통해 유저의 시스템 접근 제한혹은 일부 파일을 암호화 하고 해독을 위해 몸값 요구
KRYPTOVOR
Kriptovor 다중 구성 요소 감염의 한 부분; 크립토 랜섬웨어의 구성요소 뿐만 아니라, 데스크톱 스크린샷, 프로세스 목록, 특정 파일을 훔치는 정보 도용 구성 요소 또한 가지고 있다; LockBox 3 라는 오픈 소스 Delphi library를 사용해 파일을 암호화
CRYPFINI CryptInfinite, DecryptorMax
매크로 첨부 파일이 있는 스팸 메일을 통해 도착, Craigslist 게시물과 연결된 취업 어플리케이션으로 가장.crinf 파일을 추가
CRYPFIRAGO
Bitmessage 를 사용해 제작자와 소통;.1999 또는 .bleep 를 암호화된 파일에 추가
CRYPRADAM
Radamant 익스플로잇 키트를 통해 도착 할 수 있음; .rdm 을 암호화된 파일에 추가
CRYPTRITU Ransom32
자바 스크립트 랜섬웨어로 알려짐
CRYPBOSS CrypBoss
.crypt 를 암호화된 파일에 추가
CRYPZUQUIT
Zuquitache, Fakben ransomware-as-a-service (RaaS) 멀웨어로 알려짐
CRYPDAPPadCrypt
라이브 채팅 지원; 스팸 메일을 통해 도착
CRYPHYDRA
HydraCrypt 누출된 CrypBoss 소스 코드 기반; 스팸 메일을 통해 도착
이상으로 랜섬웨어의 종류를 안내했습니다. 랜섬웨어에 대한 분명한 대책이 나오기 전까지는 파일에 대한 백업을 일상화 해두는 것이 좋습니다.
소중한 파일을 잃을 수 없으니까요
'IT > PC' 카테고리의 다른 글
번거로론 실행 팝업 제거하는 방법, 윈도우7, 10 관리자 권한 실행 (0) | 2017.07.04 |
---|---|
내 윈도우는 어떤 버전일까? 윈도우 버전 확인 방법 확인 (0) | 2017.07.04 |
가상화폐 거래소에서 개인정보 유출 되었는지 확인법 (0) | 2017.07.03 |
윈도우 10 정품 구매 혜택 알아보기 (윈도우10정품) (0) | 2017.05.30 |
쉽게 따라하고 알아보는 윈도우 10 백업 [윈도우10백업] (0) | 2017.05.29 |