랜섬웨어(Ransomeware) 란?


사용자의 피시의 주요 파일을 암호화 하여 해당 파일을 사용 불가하도록 한뒤 해당 파일을 인질로 삼아 돈을 요구하는 형태의 악성코드


중요한 파일을 보관하고 있는 상황에서 해당 공격을 받은경우 해당 파일을 사용할수 없는 심각한 상황을 맞게 된다.


돈을 지불하여도 암호화된 파일을 복구 해준다는 보장도 없고, 백신을 이용해 랜섬웨어를 제거한다고 해도 이미 암호화된 파일은 복원되지 않는다.


암호화된 파일을 복호화 하기 위해서는 암호화 시에 사용한 키가 필요한데 대부분 이 키를 공개하거나 비용을 지불하여도 받을 확률은 거의 없기 때문이다.


최근에는 심지어 한국 피시들을 노리는 번역된 비용 요구 까지 보이고 있어 주의가 필요 하겠다.


---------------------------------------------------------------------------------------------------------


랜섬웨어를 예방하기 위한 방법


- 운영체제 를 비롯한 모든 프로그램의 최신 업데이트

- 백신 은 필수로 사용하고 역시 최신 업데이트 상태를 유지 하며 주기적인 검색 스케쥴 필요

- 광고가 많거나 신뢰도가 떨어지는 사이트는 아예 방문하지 않는게 상책

- 3번의 경우가 불가피 하다면, 주요 공격 방법인 플래쉬 를 끄는것도 방법

- 이도저도 힘들다면 크롬을 사용 (알려진 악성코드는 사전에 차단하여 사이트 접속을 막아줌)

- 수신 메일 확인시 첨부파일 함부로 열어보지 않기 (열어볼필요가 있다면 다운로드후 백신을 통해 검사 한뒤에 확인

- 중요 문서는 수시로 백업하거나 일기전용 혹은 폴더를 보안 구역에 따로 배치( 백신/보안툴 에 기능이 있는 경우)


---------------------------------------------------------------------------------------------------------



여러 방법이 있지만 요즘 잘 안쓰는 플래쉬를 끄는 방법 만으로도 최근 클리앙, 뽐뿌 등 광고를 통한 랜섬웨어 유포에서 조금이나마 안심 할 수 있다.


1. 익스플로러 에서 플래쉬 끄기


- 우측 상단의 톱니바퀴 (익스11) 클릭

- 메뉴중 '추가기능 관리' 선택





-  추가기능 관리 에서 플래쉬 (Shockwave Flash Object) 항목을 클릭하여 선택한뒤 우측 하단의 '사용 안함' 클릭




- 이 후 플래쉬기 필요한경우 다시 플래쉬를 선택한뒤 사용함 클릭해주면 사용할수 있다.




2. 크롬 에서 플래쉬 플러그인 끄기


- 크롬 창을 연뒤에 주소창에 'chrome://plugins' 을 입력 하면 아래와 같은 크롬 플러그인 설정 페이지를 볼수있다.

- 플러그인 중 플래쉬 (Adobe Flash Player) 아래 사용 중지 를 클릭하면 플래쉬 플러그인 사용중지가 가능하다.



 

---------------------------------------------------------------------------------------------------------

3. 안랩 랜섬웨어 무료 복구툴

- CryptXXX 랜섬웨어 부분 복구툴 
: 다운로드 ( cryptxxx_decryptor_3.x.exe ) 


- CryptXXX 랜섬웨어 복구툴
:  다운로드  (cryptxxx_decryptor.exe )









 

아베스트 (Avast) 백신 제거 방법




avastclear를 사용하여 소프트웨어를 제거하는 방법


제어판의 프로그램 추가/제거를 사용하여 Avast를 제거할 수 없을 때가 있습니다.

이런 경우 제거 유틸리티인 avastclear를 사용하면 됩니다.


1. 데스크톱에 제거 유틸리티 avastclear.exe 를 다운로드합니다.


- 다운로드 링크 : http://files.avast.com/iavs9x/avastclear.exe


2. Windows를 안전 모드로 시작합니다.


3. 제거 유틸리티를 엽니다(실행).


4. 기본이 아닌 다른 폴더에 Avast를 설치했다면 찾으십시오. 참고: 선택한 폴더의 모든 내용이 삭제되므로 주의하십시오.


5 .제거를 클릭합니다.


6 .컴퓨터를 다시 시작합니다.

 

대게 p2p 를 통해 배포 된뒤 감염된 피시에 이메일 주소록을 탈취하여 발송 됩니다.


정상적인 첨부파일 형태로 발송되며 해당 파일을 열면 감염시키고 전파시키는 형태를 보입니다.


---------------------------------------------------------------------------------------------------------

램섬웨이 대응 조치 권장 사항


1. 재부팅 후 f8 눌러서 윈도 부팅 옵션을 고름


2. 안전모드 with 네트워크로 부팅


3. 구글로 trendmicro cryptolocker removal tool 검색하거나 다음 링크에서 제거 툴 다운로드


http://www.trendmicro.co.kr/kr/security-intelligence/anti-threat-toolkit/


출처 : 한국트렌드마이크로 엔드포인트보안팀

---------------------------------------------------------------------------------------------------------

트렌드마이크로 위협 제거 툴이란?

트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)은 사용자의 컴퓨터가 온라인뱅킹 정보탈취 악성코드인 P2PZeus 및 파일 암호화 후 몸값을 요구하는 악성코드인 CryptoLocker에 감염되었는지 검사하고 위협 발견시 제거할 수 있는 온라인 보안 도구입니다.

위협 제거 툴 사용 방법

시스템이 32비트 또는 64비트인지 확인 후, 위 다운로드 버튼을 클릭하여 파일을 다운로드 받습니다.
Zip 파일의 압축 해제 후, 실행파일을 실행하면 아래와 같은 화면이 나타납니다.
‘Scan Now’를 클릭하면 컴퓨터가 악성코드에 감염되었는지 검사할 수 있습니다.


악명높은 악성코드 P2PZeus와 CryptoLocker란?

P2PZeus와 CryptoLocker는 전세계 수만 명의 온라인뱅킹 이용자들을 대상으로 비밀번호와 계정정보를 탈취하여 돈을 요구하는 악성코드입니다. 영국에서만 15,500대의 컴퓨터가 감염된 것으로 추정되고 있고 수억 파운드의 불법 송금이 이루어진 것으로 알려져 있습니다. 이 두 악성코드는 근래에 가장 많은 수의 피해자들을 낳으며 악명을 떨치고 있습니다.

P2PZeus와 CryptoLocker의 동작 방식은 의외로 간단하고 효과적입니다. P2PZeus는 이메일을 통해 배포되는데, 감염된 컴퓨터에서 견적서나 이력서와 같은 정상파일을 가장한 첨부파일로 실제 연락처에 있는 계정들로 이메일을 발송합니다. 이메일을 받은 컴퓨터에서 해당 첨부파일을 열게 되면 다시 감염이 이루어지는 방식으로 확산되고 있습니다.

P2PZeus는 컴퓨터 내에 잠복하고 있다가 이용자가 온라인뱅킹을 이용하면 그 정보를 탈취합니다. P2PZeus는 정보 탈취 외에도 CryptoLocker를 컴퓨터로 불러들여 이용자의 컴퓨터 내의 정보를 불법적으로 암호화하고 이용자에게 팝업을 띄워 타이머를 보여주면서 시간 내에 돈을 내도록 협박합니다. 영국에서 발견된 메시지에는 1 비트코인, 약 200~300파운드를 요구하고 있는 것으로 밝혀졌습니다.

     
  그림1. CryptoLocker는 사용자의 중요한 파일이 암호화되었다는
내용의 바탕화면을 보여준다.
  그림2. 이 파일들을 해독하고 다시 액세스 하기 위해서는
프라이빗 키를 구입하도록 유도한다.
 

영국에서는 NCA를, 미국에서는 FBI를 필두로 진행되고 있는 이 두 악성코드와의 전쟁은 감염된 컴퓨터를 파기하여 감염된 컴퓨터 사이의 통신을 막음으로써 피해를 줄이고 있는 실정이나 사법당국 홀로 막아내기에는 역부족인 상태입니다. 이에 사법당국은 이용자들로 하여금 컴퓨터의 운영 시스템과 각종 프로그램을 업데이트하고 반드시 보안 프로그램을 설치하고 검사를 진행하기를 권고하고 있습니다.

이 악성코드에 대응하기 위해 트렌드마이크로는 무료로 툴킷을 제공하고 있습니다. 이 툴킷을 컴퓨터에서 실행하면 위 악성코드가 컴퓨터를 감염시키기 전에 위협을 제거할 수 있습니다.

 

 

Symantec Endpoint Protection 트라이얼버전 설치후 제거과정에서 문제가 생겼다!!

원래는 설치파일을 재실행 시켜 설치과정에서의 삭제로 삭제하면 되는 내용이나, 기타 언인스톨 프로그램을 통하여 삭제하는경우 해당 백신의 서비스가 중지되지 않은관계려 몇개의 내용이 누락된채로 언이스톨과정이 종료되게된다.

하여 재부팅후 트레이에 살아있던 내용은 사라지나 몇가지 이상현상이 보인다.

- 오른클릭시 symantec endpoint protection  window installer 가 실행되었다가 없어진다.
- 프로그램 추가/제거 를 통한 삭제 불가능
- 설치파일을 통한 삭제 불가능


이경우 안전모드 부팅하여 관리도구 > 서비스  에서 symantec 으로 시작하는 프로세스 (대략 5개였던가 -ㅅ-;) 를 모두 사용안함 처리후 다시 정상적 부팅후 설치파일을 통하여 제거할수있다.

ps. 위의 에러내용을 보일경우 symantec 설정 관련된 서비스가 시작하는중 으로 되어있다면 삭제 중 제출서바스를 닫는중 이란 부분에서 무한 로딩될것이므로 반드시 서비스 사용안함후 재시작하여 서비스 목록에서 시작하는 중 이라는 메시지가 보이지 않도록 해야한다.

 

Win32/AimBot.worm.15872
 
최초 입력시간 : 2009. 02. 10 16:32 (GMT+9) 최종 수정시간 : 2009. 02. 11 00:09 (GMT+9)
위험도
높음 매우높음 높음 보통

다른이름 Win-Trojan/Agent.15872.KM, Virus.Win32.PureMorph!IK, Win32:PureMorph, Generic12.BMBL, Trojan.Win32.Inject.oqw, Virus.Win32.PureMorph, Trojan/W32.Agent.15872.AY, Trojan.Win32.Crypt.15872.B 
생성 파일명 7673010, 20410.sys, system.exe
대표적 증상 시스템 관련, 네트워크 관련, 보안상 위험, 네트워크 트래픽 발생, 사용자 정보 유출
활동 플랫폼 윈도우 감염/설치 경로 네트워크, 보안취약점
종류 웜, 백도어 형태 실행파일
들어오는 포트 나가는 포트
제작국 불분명 특정활동일 특정일 활동 없음
최초 발견일 2009-02-09 (현지시각 기준) 국내 발견일 2009-02-09
  증상 및 요약
Win32/Aimbot.worm.15872 는 Win32/IRCBot.worm의 변형 중 하나이다. 웜이 실행되면 윈도우 시스템 폴더에 system.exe와 템프 폴더에 5자리 숫자를 가진 랜덤한 파일명.sys를 생성한다. 그리고 특정 IRC 서버의 채널에 접속하여 오퍼(방장)가 내리는 명령에 따라 다양한 악의적인 기능을 수행하게 된다. 
  상세정보
* 전파 경로

윈도우 서버 서비스 관련 취약점(MS08-067)또는 오래전에 알려진 RPC DCOM (MS03-039) 취약점 코드가 포함 되어 있다. 그러나 스스로 전파하는 기능은 없고 특정 호스트에 접속후 공격자의 명령에 의해서만 취약점을 이용하여 전파 되는 것으로 보인다. 이 부분은 추후 분석이 완료되는대로 업데이트 될 예정이다.

네트워크 드라이브나 USB 플래쉬 메모리를 통해 전파되며 악성코드 파일(explorer.exe)와 autorun.inf 파일을 생성한다.


* 실행 후 증상

[파일 생성]

윈도우 시스템 폴더에 랜덤한 7자리 숫자로 된 파일명을 갖는 파일을 생성하는데 악성코드 복사본이다.

주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.

* Win32/AimBot.worm.15872 증상 *

실행되는 파일명이 system 이라면 시스템 시간을 2090년 1월 1일로 변경하지 않는다. 다만 "system"이 아닌 다른 이름으로 실행하면 시스템 시간을 2090년 1월 1일로 설정한다. 그리고 윈도우 방화벽 허용 리스트에 자신을 등록해둔다.

부팅 후 자동실행 되기 위해서 다음 레지스트리 값을 생성 시킨다. 해당 레지스트리키는 악성코드가 실행 중 일 때는 접근 할 수가 없다.

Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

그리고 7자리 난수를 발생시켜 system32 폴더에 자기 자신을 복사 해둔다. 5자리 난수를 발생시켜 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 에 sys 파일을 생성한다.

또한 악성코드는 다음과 같은 쓰레드를 생성하는데 하는 증상은 다음과 같다.

- 외부로 부터 메시지를 받기 위한 쓰레드(Thread) 생성
- sex.(제거됨).com에 접속하기 위한 쓰레드 생성
- 자신이 생성한 Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 키 값의 변화를 감지하여 키 값을 삭제 혹은 변경하였을 경우 다시 원래대로 복구한다.

위에서 언급한 랜덤한 5자리 숫자로 된 파일명을 갖는 sys 파일을 생성하는데 V3에서 Win-Trojan/Agent.4096.EI 으로 진단된다.

주) 템프 폴더는 C:\Documents and Settings\사용자 계정명\Local Settings\Temp 폴더이다.


* Win-Trojan/Agent.4096.EI 의 증상 *

1. 다음의 시스템의 네트워크 디바이스에 Attach된 모니터링 드라이버를 제거한다.
Tcpip, Udp, Tcp, IPMULTICAST, Ip
- 방화벽이나 패킷모니터등의 네트워크 감시모듈을 제거한다.

2. ntoskrnl.exe의 Unknown 윈도우보안 함수를 후킹하여 레지스트리의 보안키에 대한 접근을 모니터링하며 Winlogon 프로세스가 호출한 경우 원본함수 호출하지 않는다.
\Registry\Machine\Security\Policy\Secrets\
- 위 레지스트리는 시스템의 사용자계정과 패스워드등의 중요 보안정보를 백업하는 중요키이며, 일반적인 레지스트리 편집기로는 해당 내용을 볼 수 없다. 레지스트리 편집기에는 HKLM\SECURITY 까지만을 확인할 수 있다.

3. \Driver\Atapi 디바이스의 DriverStartIo 함수를 후킹한다.
- 파일시스템 드라이버 입출력시 악성코드 드라이버 모듈 및 레지스트리를 은닉 하도록 한다.

4. ntoskrnl.exe의 IoCallDriver 함수를 후킹한다.
- 해당함수 후킹을 통하여 자신의 파일에 대한 보호한다.

- 시스템 시간을 2090년 1월 1일로 변경한다.

* 기타 증상 *

시스템에 따라서 악성코드가 실행 될 때 블루스크린(BSOD)가 발생 될 수 있다. 이후 같은 증상으로 시스템이 정상적으로 부팅 되지 않을 수 있다. 또한 윈도우 로그온 화면에서 정상적인 로그온을 하지 못하고 시스템이 계속적으로 재부팅 될 수 있다.





Win32/AimBot.worm.15872
치료 가능한 바이러스
* 실행 전 주의 및 참고 사항은 다음과 같습니다.

1. 본 전용백신은 다음과 같은 악성코드만을 진단/치료 합니다.

- Win32/AimBot.worm.15872
- Win-Trojan/Agent.4096.EI

2. 전용백신 실행 전 작업중인 데이타는 반드시 저장하시고, 전용백신 이외에 다른 응용 프로그램은 반드시 종료하시기 바랍니다. 또한 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다. 그리고 중요한 시스템이라서 안정성이 중시되는 경우 해당 전용백신의 실행을 가급적 권장 하지 않습니다. 본 전용백신은 악성코드의 자기보호 기능을 무력화하는 과정에서 일부 시스템에서는 예상하지 못한 문제가 발생 할 수도 있습니다.

3. 본 전용백신은 악성코드의 자기보호 기능을 무력화 하기 위해서 일련의 작업을 합니다. 이 과정에서 시스템에 따라서 5 ~ 10 초 정도 시간이 소요 됩니다. 따라서 전용백신을 실행 후 또는 검사시작 버튼을 누른 후 또는 치료과정중 일정 시간이 소요 됩니다.

4. 본 전용백신은 다음과 같은 윈도우 OS (32Bit) 에서만 정상적으로 동작 합니다. 따라서 다음 윈도우들의 64Bit 버전에서는 정상동작 하지 않습니다.

- 윈도우 2000 (SP0 ~ SP4)
- 윈도우 XP (SP0 ~ SP3)
- 윈도우 2003 (SP1 ~ SP2, No Service Pack 은 지원 하지 않음)
- 윈도우 비스타 (SP0 ~ SP1)

5. 전용백신은 반드시 "관리자 권한" 으로 실행 되어야 합니다.

6. 작업이 끝나면 팝업 메뉴에 따라 반드시 시스템을 재부팅 해주시길 바랍니다.

출처 : http://kr.ahnlab.com

'정보공유' 카테고리의 다른 글

Internet Explorer 8  (0) 2009.03.21
V3 lite  (0) 2009.02.02
.pe.kr 도메인 2년 무료 등록!!  (0) 2008.12.11

 

새롭게 등장한 안철수연구소의 V3 Lite 여기저기서 호평이 이어진다.
한때는 알약이 최고의 백신인줄 알았었고, 실제로도 시장점유율 1위에 올라섰었다.
내가 직접 테스트해 본 결과로도 가장 우수했고, 가벼웠고, 편리했고 생김새도 컨셉도 다 맘에들었었다.

근데 이놈의 알약이 언젠가부터 광고를 띄워대기 시작했다. 트레이에 짱박혀 있을것이지 부르지도 않았는데 알아서 튀어나와서 광고질을 해댄다.

알약에 대해서 슬금슬금 불만이 생긴것은 나뿐이 아닌것 같다. 잠깐만 검색해봐도
네이버 블로그 '알약 점유율1위 뜨더니 미친듯' 이런 내용의 포스팅을 쉽게 찾아볼 수 있으니 말이다.
난 게임을 잘 하지 않아서 공감할 수는 없지만 게임화면을 뚫고 광고가 등장한다고 한다.(웃지 않을 수 없다.)

알약에 대한 불만은 여기까지, 이 보다는 실질적인 성능 비교가 우선되어야 할 것이다.
다음은 알약과 V3 Lite를 비교한 결과이다.


메모리 점유율 CPU이용율, 검사시간 모두에서 V3 Lite가 앞선다.
좀 더 신빙성있는 결과를 얻기 위해서 여러 웹사이트를 뒤졌는데, 이를 직접 몸소 실험해본 블로거가 있었다.
호박툰이라는 네이버 블로그인데, 필자의 PC로 실험한 것이니 일반적인 결과는 아닐것이 분명하나, 참고적으로 보는것만으로도 충분한 의미가 있을 것이다.

실시간 감시상태에서 메모리 점유율 : 알약은 24MB / V3 Lite는 8MB점유
실행상태에서 메모리와 CPU 점유율 : 알약은 58MB / V3 Lite는 13MB점유 (CPU는 35%로 동일)

알약의 기본검사와 V3라이트의 빠른검사의 속도비교(명칭은 서로 다르지만 유사한 기능)
- 알약 : 14만 항목을 검사, 3분 42초 소요
- V3 Lite : 20만 항목을 검사, 2분 56초 소요
결론, V3Lite가 항목이 훨씬 많지만 속도도 월등히 빠르다.

알약의 전체검사와 V3라이트의 정밀검사 속도비교
- 알약 : 26만 항목, 1시간 6분 소요
- V3 Lite : 32만 항목, 34분 소요
결론, 여기서도 V3 Lite가 항목이 많지만 속도도 월등하다.

언인스틀 테스트
알약은 PC의 재부팅이 필요, V3 Lite는 재부팅 없이 삭제 가능

총평, 알약이 이긴 부분은 어느 한 항목도 없었습니다. 이 결론을 보신 사용자분들은 이미 결론을 내리셨을겁니다.
이제 달라진 모습으로 찾아온 V3로 다시 갈아탈 시점입니다.

<별책부록>

<V3라이트의 인터페이스는 이렇듯 깔끔하다>


v3 라이트 다운로드

사이트가드는 웹서핑중에 사람을 좀 피곤하게 하는 경향이 있으므로 개인적으로는 이부분만 빼고 설치한다.
(불필요하게 피곤해지기를 원치 않는 사람들은 아래 그림처럼 사이트가드의 체크를 풀면된다.)

출처 : http://ozahir.net/508

---------------------------------------------------------------------------------------------------
안철수 연구소 제품 솔찍히 오진없다는것은 인정하지만... 검색률이 현저히 떨어진다는건... 어쩔수가 없는듯
써보진 않았지만.. 여러사람들이 좋다고 호평이 이어지고 있지만 여전히 믿는건 카스퍼스키뿐

그래도 무료니 한번 써봐야겠심

V3 lite 사이트 : http://www.v3lite.com/main.do

'정보공유' 카테고리의 다른 글

2090 바이러스 전용백신  (0) 2009.02.11
.pe.kr 도메인 2년 무료 등록!!  (0) 2008.12.11
Sonyericsson 의 블루투스 디지털액자  (0) 2008.10.29

 

 





알약은 루마니아 안티 바이러스 업체 소프트윈의 '비트디펜더(BitDefender)'라는 엔진을 빌려 사용하고 있다.

참고로 비트디펜더는 해외 백신 성장 테스트 자료에서도 카스퍼스키 등 유명 백신 엔진과 함께 상위를 기록할 정도로 품질이 좋다.(검색률이 세계상위 10위권안에 드는 제품이다)




알약의 기능은

바이러스 및 악성코드의 실행을 실시간으로 감지하여 치료하는 '실시간 감시 기능'과 백신 엔진정보를 최신 상태로 유지해 주는 '자동 업데이트 기능'으로 구성되어 있다.

또한 ‘시스템 정리’ 기능을 통해 불필요한 파일 정리 등 시스템 최적화를 할 수 있는 기능도 함께 제공한다.


[이스트소프트 알약]




-비트디펜더의 성능에 대한 참고 자료-


TopTenReview의 2007년 안티바이러스 소프트웨어 리뷰에서 1위
    http://anti-virus-software-review.toptenreviews.com/

     

바이러스 검출율 테스트 사이트에서 검출 순위 (53개 제품 중) 6위로 97.7%의

    검출율 기록

    
  Rank

 1. Kaspersky version 7.0.0.43 beta - 99.23% 

 2. Kaspersky version 6.0.2.614
- 99.13% 

 3. Active Virus Shield by AOL version 6.0.0.308 - 99.13% 

 4. ZoneAlarm with KAV Antivirus version 7.0.337.000 - 99.13% 

 5. F-Secure 2007 version 7.01.128 - 98.56% 

 6. BitDefender Professional version 10 -
97.70% 

 7. BullGuard version 7.0.0.23 - 96.59% 

 8. Ashampoo version 1.30 - 95.80%


출처 : www.virus.gr


 PCWorld 선정 2007년 바이러스 백신 8종에서 3위

    http://www.pcworld.com/article/id,130869-page,1/article.html


     

●  ICSA 2007 Certified  

    VB100% 2007 Certified 

    W.C.L Level 1 Certified

    W.C.L Level 2 Certified

------------------------------------------------------------------------------------

사용자 인터페이스나 그 능력으로 볼때 중급이상의 사용자의 경우는 카스퍼스키6
알툴즈의 알약은 초보자용으로 추천할만하겠다.

또한 알약은 개인사용자에 대해 무료~

 

+ Recent posts