Crysis 랜섬웨어, 최근 확산율 높아 

[보안뉴스 김태형] 최근 랜섬웨어가 기승을 부리고 있는 가운데 Crysis 랜섬웨어 및 변종이 전 세계적으로 확산되고 있어 주의가 필요하다. ESET(이셋)의 국내 법인인 이셋코리아(대표 김남욱, www.estc.co.kr)는 Crysis 랜섬웨어와 변종 랜섬웨어가 전 세계적으로 확산되고 있어 각별한 주의가 필요하다고 전했다.


※ 보안뉴스

http://www.boannews.com/media/view.asp?idx=50929&kind=&sub_kind=

Posted by n3015m
:



최근 전 세계적으로 랜섬웨어 감염에 의한 피해가 속출하고 있습니다. 다른 악성프로그램과 달리 문서나 그림파일 영상등을 암호화 해서 사용하지 못하게 만들어 그 피해가 기업과 개인에게 매우 가혹한거 같습니다.


관련 업무를 하는중에 랜섬웨어에 관심을 갖고 보니 최근 보안업체 등에서 제공하는 암호 해제툴과 예방 법을 알게되어 간략하게 정리해 봤습니다.



※ 랜섬웨어란?


몸값을 뜻하는 ransom과 제품을 뜻하는 ware의 합성어로 사용자 동의 없이 컴퓨터에 불법으로 설치되어 컴퓨터의 정상적인 이용을 방해하고 이를 해제하기 위해 돈을 요구며, 사용자의 파일을 인질로 잡는 악성 프로그램을 말한다.


- 참고 사이트

  http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do#cont4 

  http://www.trendmicro.co.kr/kr/security-intelligence/ransomware/definition/index.html
  https://namu.wiki/w/%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4



※ 랜섬웨어가 왜 위협적인가?


랜섬웨어로부터 입는 가장 큰 피해는 데이터를 사용할 수 없게 된다는 것입니다. 


백신으로 랜섬웨어 악성코드를 제거해도 암호화된 파일은 복구하기가 어렵습니다. 왜냐하면 암호화된 파일을 복원하기 위해서 암호 해독키가 필요한데 대부분 공격자의 서버에 저장되어 있기 때문입니다. 또한 피해자가 공격자의 요구에 따라 대가를 지불해도 파일 복구가 된다는 보장이 없습니다. 


특히 최근 랜섬웨어 공격은 백신 프로그램을 우회하기 위해서 다양한 신∙변종 악성코드를 활용하는 지능형 위협 공격의 양상을 띠고 있습니다.

- 출처 안랩 -


현실적으로 백업본 없는 오랫동안 누적한 가족의 사진과 개인이 장기간에 걸쳐서 작성한 문서 등 여러 종류의 자료를 접근할 수 없다는 겁니다. 


운영체제가 손상되었다면 복구를 하던지 재설치를 하던지 개인파일은 복구 시도할 여지와 기회가 있지만 랜섬웨어는 암호해제 외에는 딱히 복구 방법이 마땅치 않습니다. 이런 점에서 가혹하다는 표현을 위에서 썻습니다.



※ 랜섬웨어 종류 확인방법


확장자로 구분하는 방법과 관련 사이트를 이용하는 방법등이 있지만 정확한 확인을 위해 온라인 사이트를 소개합니다.


사이트 주소 : https://id-ransomware.malwarehunterteam.com/


- Ransom Note 

  랜섬웨어의 결제 안내 파일 텍스트 파일을 업로드하면 해당 파일을 식별하여 감염된
  랜섬웨어의 정보를 알려줌


- Sample Encrypted File 

  랜섬웨어에 암호화된 파일을 업로드하면 해당 파일을 식별하여 감염된 랜섬웨어의

  정보를 알려줌





※ 보안업체별로 공개한 복호화 툴


- CISCO의 TESLACRYPT(테슬라크립트), ALPHACRYPT(알파크립트) 복호화 툴


Download : http://www.talosintel.com/teslacrypt_tool/


시스코 TALOS에서 공개한 TESLACRYPT DECRYPTION TOOL로 2016.06.09에 "TESLACRYPT: THE BATTLE IS OVER" 제목으로 게시하여 인상 깊습니다.


Version 1.0 is able to decrypt all the files encrypted by all version of TeslaCrypt and AlphaCrypt:

  • TeslaCrypt 0.x - Encrypts files using an AES-256 CBC algorithm
  • AlphaCrypt 0.x - Encrypts files using AES-256 and encrypts the key with EC
  • TeslaCrypt 2.x - Same as previous versions, but uses EC to create a weak Recovery key. The application is able to use factorization to recover the victim's global private key.
  • TeslaCrypt 3 & 4 - The latest versions. Able to decrypt thanks to the C&C server EC private key which was recently released.



- TREND MICRO의 "크립토 랜섬웨어 파일 복호화 툴"


Downlaod : http://www.trendmicro.co.kr/kr/tools/crypto-ransomware-file-decryptor-tool/index.html


트랜드마이크에서 제공하는 랜섬웨어 복호화 툴입니다.


랜섬웨어 종류 및 버전파일명 및 확장자
CryptXXX V1, V2, V3*{원본파일명}.crypt
TeslaCrypt V1**{원본파일명}.ECC
TeslaCrypt V2**{원본파일명}.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3{원본파일명}.XXX or TTT or MP3 or MICRO
TeslaCrypt V4파일명과 확장자명 변경 없음
SNSLocker{원본파일명}.RSNSLocked


- Ahnlab(안철수연구소)의 랜섬웨어 복구 툴


Download : http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do


국내 우수한 보안업체 안랩에서도 아래와 같은 복구툴을 공개하였습니다.


  • 크립트엑스엑스엑스(CryptXXX) 3.x 버전, 2.x 버전, 
  • 나부커(Nabucur)
  • 테슬라크립트(TeslaCrypt)의 일부



※ 랜섬웨어 예방툴


안랩의 랜섬웨어 피해 예방을 위한 7대 보안 수칙


1. 백신 소프트웨어를 설치하고, 엔진 버전을 최신 버전으로 유지

2. 운영체제, 브라우저 및 주요 애플리케이션의 최신 보안 업데이트 적용

3. 발신자가 명확하지 않은 이메일에 포함된 의심스러운 파일 실행 자제

4. 보안이 취약한 웹사이트 방문 자제

5. 업무 및 기밀 문서, 각종 이미지 등 주요 파일의 주기적인 백업

6. 중요 파일을 PC외에 외부 저장 장치를 이용한 2차 백업

7. 중요 문서에 대해서 ‘읽기 전용’ 설정


예방법으로 여러 매체에서 백신 최신화 등 방법을 안내하고 있지만 신종 및 변종일 경우는 쉽지 않아 보입니다. 가장 좋은건 6번의 중요한 파일은 별도의 USB 등의 저장 매체에 백업하는 것이 좋은거 같습니다.  


이 방법 외 랜섬웨어 예방 툴이 있어 몇 가지를 소개합니다.


- 앱체크(AppCheck)

  체크멀(주)에서 제공하는 안티랜섬웨어 툴입니다. 개인 사용자는 무료입니다.

  https://www.checkmal.com/page/product/appcheck/


- 하우리 RansomProtector

  록키(Locky), 크립트엑스엑스엑스(CryptXXX)랜섬웨어 예방해주는 하우리 툴입니다.

  http://www.hauri.co.kr/Ransomware/


- 발자국 v3.0

  한국랜섬웨어대응센터에서 제공하는 파일로 개인은 무료인거 같습니다.

  https://www.rancert.com/barzakook.php

위의 예방툴은 아직 사용해 보지 않아서 테스트하면 후기를 갱신해 보겠습니다.



※ 참고사이트 


- 한국랜섬웨어 침해대응센터 : 사설기관, 이노티움과 명정보기술이 합작으로 개설

  https://www.rancert.com/index.php


- 랜섬웨어 복구 프로그램 종류와 원리

  http://story.malwares.com/82


- 하우리 랜섬웨어 정보센터

  http://www.hauri.co.kr/Ransomware/


- 매경 : 몸값(Ransom)을 요구하는 최악의 악성코드 랜섬웨어란?

  http://premium.mk.co.kr/view.php?no=15116


- 랜섬웨어 복구프로그램 모음(3가지)

  http://freeroute.tistory.com/134


- 안랩, 랜섬웨어 예방 '보안 수칙' 간단히 따라하기

  http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq=24298


※ List of Known Ransomware Families

- 출처 :  http://www.trendmicro.com/vinfo/us/security/definition/ransomware

Family Name

Aliases

Description

ACCDFISA

Anti Cyber Crime Department of Federal Internet Security Agency Ransom

First spotted early 2012; Encrypts files into a password-protected; Cybercriminals behind this ransomware asks payment thru MoneypakPaysafe, or Ukash to restore the files and unlock the screen; Known as a multi-component malware packaged as a self-extracting (SFX) archive; May come bundled with third party applications such as Sdelete and WinRAR

ANDROIDOS_LOCKER

 

First mobile ransomware spotted; Uses Tor, a legitimate service that allows anonymous server connections; Users with mobile devices affected by this malware may find the files stored in their mobile device rendered useless and held for ransom

CRIBIT

BitCrypt

Similar to CRILOCK with its use of RSA-AES encryption for target files; Version 1 uses RSA-426; Version 2 uses RSA-1024; Appends the string bitcryp1 (for version 1) and bitcrypt2 (for version 2) to the extension name of the files it encrypts

CRILOCK

CryptoLocker

Employs Domain Generation Algorithm (DGA) for its C&C server connection; October 2013 - UPATRE was found to be the part of the spam mail that downloads ZBOT, which further downloads CRILOCK

CRITOLOCK

Cryptographic locker

Uses advanced encryption standard (AES-128) cryptosystem; The word Cryptolocker is written in the wallpaper it uses to change an affected computer's wallpaper

CRYPAURA

PayCrypt

Encrypts files and appends the corresponding email address contact for file decryption; PayCrypt version appends .id-{victim ID}-paycrypt@aol.com to files it encrypts

CRYPCTB

Critroni, CTB Locker, Curve-Tor-Bitcoin Locker

Encrypts data files; Ensures there is no recovery of encrypted files by deleting its shadow copies; Arrives via spam mail that contains an attachment, actually a downloader of this ransomware; Uses social engineering to lure users to open the attachment; Uses Tor to mask its C&C communications

CRYPDEF

CryptoDefense

To decrypt files, it asks users to pay ransom money in bitcoin currency

CRYPTCOIN

CoinVault

Encrypts files and demands users to pay in bitcoin to decrypt files; Offers a one-time free test to decrypt one file

CRYPTFILE

 

Uses unique public key generated RSA-2048 for file encryption and also asks users to pay 1 bitcoin to obtain private key for decrypting the files

CRYPWALL

CryptoWall, CryptWall, CryptoWall 3.0, Cryptowall 4.0

Reported to be the updated version of CRYPTODEFENSE; Uses bitcoin currency as mode of payment; Uses Tor network for anonymity purposes; Arrives via spam mail, following UPATRE-ZBOT-RANSOM infection chain; CryptoWall 3.0 comes bundled with FAREIT spyware; Cryptowall 4.0 encrypts file name of files it encrypts and follows an updated ransom note, it also comes from spam as a JavaScript attachment, and may be downloaded by TROJ_KASIDET variants

CRYPTROLF

 

Shows troll face image after file encryption

CRYPTTOR

 

Changes the wallpaper to picture of walls and asks users to pay the ransom

CRYPTOR

batch file ransomware

Arrives thru DOWNCRYPT; A batch file ransomware capable of encrypting user files using GNU Privacy Guard application

DOWNCRYPT

batch file ransomware

Arrives via spam email; Downloads BAT_CRYPTOR and its components such as a decoy document

VIRLOCK

VirLock, VirRansom

Infects document files, archives, and media files such as images

PGPCODER

 

Discovered in 2005; first ransomware seen

KOLLAH

 

One of the first ransomware that encrypts files using certain extension names; Target files include Microsoft Office documents, PDF files, and other files deemed information-rich and relevant to most users; Adds the string GLAMOUR to files it encrypts

KOVTER

 

Payload of the attack related to YouTube ads that lead to the Sweet Orange exploit kit

MATSNU

 

Backdoor that has screen locking capabilities; Asks for ransom

RANSOM

 

Generic detection for applications that restrict the users from fully accessing the system or encrypts some files and demands a ransom in order to decrypt or unlock the infected machine

REVETON

Police Ransom

Locks screen using a bogus display that warns the user that they have violated federal law; Message further declares the user's IP address has been identified by the Federal Bureau of Investigation (FBI) as visiting websites that feature illegal content

VBUZKY

 

64-bit ransomware; Attempts to use Shell_TrayWndinjection; Enables TESTSIGNING option of Windows 7

CRYPTOP

Ransomware archiver

Downloads GULCRYPT and its components

GULCRYPT

Ransomware archiver

Archives files with specific extensions; Leaves a ransom text file containing the instructions on who to contact and how to unpack the archives containing user's files

CRYPWEB

PHP ransomware

Encrypts the databases in the web server making the website unavailable; Uses HTTPS to communicate with the C&C server; Decrypt key is only available in the C&C server

CRYPDIRT

Dirty Decrypt

First seen in 2013 before the emergence of Cryptolocker

CRYPTORBIT

 

Detection for images, text, and HTML files which contain ransom notes that are indicators of compromised (IOC)

CRYPTLOCK

TorrentLocker

Poses as CryptoLocker; newer variants displaycrypt0l0cker on the affected computer; uses a list of file extensions that it avoids encrypting, compared to usual ransomware that uses a list of file extensions to encrypt - this allows CRYPTLOCK to encrypt more files while making sure the affected computer still runs, ensuring users know that their files are encrypted and access to the Internet to pay the ransom is still present

CRYPFORT

CryptoFortress

Mimics TorrentLocker/CRYPTLOCK user interface; Uses wildcards to search for file extensions; encrypts files in shared folders

CRYPTESLA

TeslaCrypt

User interface is similar to CryptoLocker; encrypts game-related files; Versions 2.1 and 2.2 appends encrypted files with .vvv and .ccc; Version 3.0 has an improved encryption algorithm and appends .xxx, .ttt, and .mp3 to files it encrypts

CRYPVAULT

VaultCrypt

Uses GnuPG encryption tool; downloads hacking tool to steal credentials stored in web browsers; uses sDelete 16 times to prevent/hinder recovery of files; has a customer support portal; is a batch script crypto-ransomware

CRYPSHED

Troldesh

First seen in Russia; added English translation to its ransom note to target other countries; aside from appending .xtbl to the file name of the encrypted files, it also encodes the file name, causing affected users to lose track of what files are lost

SYNOLOCK

SynoLocker

Exploits Synology NAS devices' operating system (DSM 4.3-3810 or earlier) to encrypt files stored in that device; has a customer support portal

KRYPTOVOR

Kriptovor

Part of a multi-component infection; aside from its crypto-ransomware component, it has an information stealing component that steals certain files, processes list, and captures desktop screenshot; uses an open source Delphi library called LockBox 3 to encrypt files

CRYPFINI

CryptInfinite, DecryptorMax

Arrives via spam with macro attachment, the spam mail usually pretends to be a job application linked to a Craigslist post; Appends .crinf files

CRYPFIRAGO

 

Uses Bitmessage for communication with its creators; Appends .1999 or .bleep to files it encrypts

CRYPRADAM

Radamant

May arrive via exploit kits; Appends .rdm to files it encrypts

CRYPTRITU

Ransom32

Known as the JavaScript ransomware

CRYPBOSS

CrypBoss

Appends .crypt to files it encrypts

CRYPZUQUIT

Zuquitache, Fakben

Known as the ransomware-as-a-service (RaaS) malware

CRYPDAP

PadCrypt

Has live chat support for affected users; Arrives via spam

CRYPHYDRA

HydraCrypt

Based on leaked source code of CrypBoss; Arrives via spam

LOCKY

Locky

Renames encrypted files to hex values; Appends .locky to files it encrypts; Arrives via spam with macro-embedded .DOC attachment, similar to the arrival of DRIDEX malware

CERBER

Cerber

Encrypts the file name and appends it with .cerber; Drops a .VBS file that makes the computer speak to the victim

CRYPSAM

SAMSAM

Uses exploits on JexBoss open source server application and other Java-based application platforms to install itself in targeted Web application servers

PETYA

Petya

Causes blue screen and displays its ransom note at system startup

WALTRIX

CRYPTXXX, WALTRIX, Exxroute

Arrives as a .DLL file; Distributed by the Angler Exploit Kit; Locks screens and encrypts all files; Appends the extension .crypt

CRYPSALAM

Salam

Encrypts files and drops a ransom note formatted as {month}-{day}-{year}-INFECTION.TXT; Asks the users to contact the ransomware creator via email to decrypt the files

 

Posted by n3015m
:

BLOG main image
'네오이즘'의 보안LAB 블로그입니다........... n3oism@gmail.com by n3015m

카테고리

분류 전체보기 (228)
[ HappyDevTool ] (29)
[ HappyToolRelease ] (4)
[Book] (6)
[ Security Studies ] (0)
- CII (2)
- BigData (2)
- Web Hacking (10)
- SQL Injection (25)
- Mobile Security (9)
- Network (6)
- OperatingSystem (4)
- Malware & Reversing (4)
- Phishing (5)
- Compliance (0)
- Programming (13)
- Tools (13)
- IoT (6)
- etc (21)
[Pentration Testing] (3)
[OS X] (4)
[ Security Trends ] (16)
[ Fixing Guideline ] (7)
My Way, My Life (34)
About Me (2)

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백

Total :
Today : Yesterday :