[ 해킹 / 랜섬웨어 / 스팸광고 ] 당신의 컴퓨터를 지켜줄 최신 랜섬웨어 정보.JPG

[ 해킹 / 랜섬웨어 / 스팸광고 ] 당신의 컴퓨터를 지켜줄 최신 랜섬웨어 정보..JPG

해커들이 똑똑해지고 있다.

과거의 악성 광고 띄우기, 은행 사칭 피싱, 디도스 좀비피씨 만들기를 넘어서서

가장 효과적으로 안전하게 돈을 벌 수 있는 “파일 잠그기“를 하기 시도하는 것이다.

파일 삭제의 경우 표면 읽기, 흔적 스캔 등의 기법을 통해서 쉽게 복구할 수 있다.

복구 업체들도 위의 방법으로 복구한다.

하지만 파일을 암호화해서 수정 저장해버리면 복구 업체로써는 아무것도 할 수 없게 된다.

파일에 암호가 걸렸는데 풀 수 없는 것이다. (복구업체는 해커가 아니다!)

먼저 암호화 방식 3가지에 대해서 알아보자.
1. 대칭키 암호화 방식

데이터를 암호화 하는 키와 복호화 하는 키가 같다.

예를들어 123456 의 데이터를 111111 키를 사용해서 암호화하면 : 234567 이 된다.

이 값은 수신측에서 암호화 할 때 사용한 111111 키를 사용해서 : 123456 을 얻을 수 있다.

엑셀이나 워드에 암호를 걸고 푸는 것을 생각하면 된다.

2. 단방향 암호화 방식

풀 수 없게 암호화 하는 방식이다. 이걸 사용해서 암호화 하면 복호화 할 수 없다.

주로 원본데이터를 손실 시켜 암호화 한다. 1:1 암호화 방식이 아니어서 같은 암호화 결과물을 나타내는 것이 하나 이상 있을 수 있다.

하지만 일치문자를 찾을 확률이 로또보다 더 어렵다고 한다.

주로 비밀번호 암호화에 사용되고 항상 암호화된 결과물을 가지고 비교하게 된다.

3. 비대칭키 암호화방식

암호화를 수행하는 키와 복호화를 수행하는 키가 서로 다르다.

암호화 통신인 HTTPS 에서 사용한다.

http://ko.wikipedia.org/wiki/RSA_%EC%95%94%ED%98%B8

랜섬웨어.

컴퓨터 내에 저장된 문서, 이미지를 “비대칭키 암호화 방식“으로 암호화.

파일을 몽땅 암호화 하고 풀수있는 키는 해커가 가지고 있다.

1. 파일을 비대칭키 암호화방식으로 암호화.

2. 금전 요구.

3. 샘플파일 하나 풀어줌. -> 이때 해커는 이 파일의 암호화 공개키 확보.

4. 돈 지불. -> 확보한 암호화 키에 맞는 해독키를 보내줌.

5. 해독키가 입력된 암호화 푸는 프로그램 전송.

6. 암호화가 풀림.

랜섬웨어 감염경로.

1. 플래시 취약점.

플래시는 허가되지 않는 프로그램을 임시저장폴더에 저장하는 취약점이 있었음.

http://krebsonsecurity.com/2015/01/flash-patch-targets-zero-day-exploit/

http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/

2. IE 취약점.

모든 버전에 취약. IE 5~ IE 11 최신 까지.

vbscript 실행으로 인해 로컬파일을 실행할 수 있음.

https://blog.malwarebytes.org/exploits-2/2014/11/critical-bug-allows-drive-by-download-attacks-in-internet-explorer-3-through-11/

과거 IE에서는 이용자의 동의 없이 웹브라우져로 CD롬도 열고, 엑셀도 실행하고, 컴퓨터도 끄고, 바탕화면 바로가기도 만들 수 있었음.

이 망할 기능을 막았어야 했는데 최신버전인 IE 11까지도 지원하고 있음. MS가 이제 IE 개발 안하고 새로운 브라우져 만든다고 했음.

이 두개의 합작품이다.
FLASH 로 DLL 파일 다운받고, IE의 vbscript 기능을 사용해 그 파일을 로딩해서 실행하는 것이다.

– 취약한 플래시 버전을 설치했어도 다음의 경우엔 걸리지 않습니다.
1. 크롬, 파이어폭스 사용자.

vbsscript를 해석하지 않음. 웹브라우져가 PC 내의 데이터 접근할 수 없도록 차단.
2. 맥, 리눅스 사용자.

IE가 아예 안깔림.
— 요약 : 이번 사건은 Windows + IE + Flash 사용자에게만 일어남.

웹에라는게 브라우져 안에서 웹영역만 손댈 수 있게 샌드박싱을 해야하는데,

IE는 액티브X(vbscript)라는 악성정책으로 인해 피씨 자체를 제어하는 기능이 있음.

브라우져의 성능이 낮았을 때는 액티브X가 획기적인 것이었지만, 현재는 브라우져의 성능이 매우 빨라져서 이러한 액티브X가 필요 없게 되었다.

— 대처 방법

1. 이 바이러스에 걸렸다면, 컴퓨터 코드를 뽑아서 강제종료 후.. 안전모드로 부팅. 라엘이의 이 글 말고 다른 글을 검색하여 치료를 시도해 본다.

2. 바이러스에 안걸린 상태라면 윈도우 및 플래시, 자바등의 보안업데이트를 한다.

3. 아무것도 하기 싫다면, IE 안쓰면 된다.

4. 웹에서는 Active-x, Flash, Java Applet 을 설치하거나 실행시키지 않는다.

추신 : IBM X-Force팀이 지정한 이 취약점의 CVSS(심각성 정도)는 10점 만점에 9.3점이다. (매우 심각)

출처는 http://blog.lael.be/post/1179