조치 가이드

시스템 오류로 위장한 기술 지원 사기 주의

최근 온라인 광고 사이트를 통해서 시스템 오류로 위장한 기술 지원 사기가 유행하고 있습니다.  [기술 지원 사기(Tech Support Scams)] 시스템 또는 소프트웨어의 문제가 발생한 것처럼 위장한 뒤, 사용자에게 이를 수리하기 위한 기술 지원 비용을 요구하는 기법 최근 인터넷 뉴스 사이트에 포함된 광고 네트워크에서 기술 지원 사기 웹 사이트가 발견되었습니다. 이러한 웹 사이트는 시스템 오류가 발생한 것처럼 위장하여 팝업창을 출력합니다.  [그림] 기술 지원 사기 웹 사이트 발견된 기술 지원 사기 웹 사이트는 다음과 같이 두가지 종류의 팝업창을 사용합니다. 이미지와 HTML을 이용하여 Windows에서 발생하는 오류로 위장 [그림 1-1] Windows에서 발생하는 오류 위장 [그림 1-1]은 ‘Windows 시스템 손상’, ‘Win Erx03’, ‘소프트웨어 버전 손상’ 등의 문구를 포함하고 있어 Windows에서 발생하는 오류창으로 착각할 수 있으나 실제로는 이미지와 HTML을 이용하여 웹 페이지에 출력되는 화면입니다. [그림 1-2] 이미지와 HTML으로 제작된 웹 페이지 자바스크립트의 경고(Alert)창을 이용…

보안취약점을 이용한 악성코드 감염 예방 방법

최근 운영체제와 응용프로그램의 취약점을 이용한 악성코드가 유행하고 있습니다. 악성코드에 감염되면 파일 암호화, 개정보 유출 등의 피해를 입을 수 있습니다. 악성코드로부터의 피해를 예방하기 위해서는 운영체제 및 응용프로그램의 보안 업데이트를 최신 상태로 유지해야 하고 V3 제품의 실시간 감시, 행위 기반 진단, Active Defense 기능을 설정하여 사용하시기를 권장합니다.  [주요 OS 및 애플리케이션 보안 패치 업데이트 안내] * Adobe Flash Player : http://get.adobe.com/kr/flashplayer/ * Microsoft : http://update.microsoft.com/ (Windows 정품인증 필요) * Adobe Acrobat Reader : http://get.adobe.com/kr/reader/ * Java(JRE) : http://www.java.com/ko/   [V3제품 환경설정 안내] – V3 Lite [환경설정] – [Active Defense 설정] – [Active Defense 사용] 옵션 선택 – V3 365 Clinic [환경설정] – [Active Defense 설정] – [ASD 네트워크 참여] – [Active Defense 사용] 옵션 선택  [그림 1] V3제품의 환경설정 옵션 버튼 [그림 2] V3제품의 Active Defense 옵션 설정하기 (클릭하면 큰 이미지로 보실 수 있습니다.) 이미 악성코드에 감염이 되어 V3 제품군이 정상적으로 실행되지 않는 사용자분들은 아래의 전용백신을 통해 검사하기를 권장합니다.   [전용백신 사용 시 주의사항]1….

GandCrab v1, v4, v5 복구툴 배포 (Bitdefender)

어제인 10월 25일 Bitdefender에서 GandCrab 버전 1, 4, 5에 대한 복구툴을 배포하였다. 해당 복구 툴은 아래 Bitdefender 페이지에서 다운로드 할 수 있으며, 자사에서 확인한 결과 지역에 상관없이 위 버전으로 암호화 된 모든 파일이 정상적으로 복구될 수 있음을 확인하였다. (국내 사용자에게도 유효) –  https://labs.bitdefender.com/2018/10/bitdefender-law-enforcement-solve-for-multiple-versions-of-gandcrab-with-new-decryptor/ 자사에서 이전에 GandCrab의 암호화 방식을 설명하였던 게시글의 내용처럼 GandCrab 버전 4, 5는 랜섬노트 내부에는 파일 복구를 위한 핵심 키인 로컬 개인키를 암호화 한 Salsa 키, 벡터 쌍이 존재한다. 다만 이 쌍이 공격자의 공개키로 암호화되어있고, 공격자 개인키는 공격자만이 알고 있기 때문에 복구가 불가능했다. [그림1] – GandCrab 버전 4, 5 암호화 방식 따라서 Bitdefender에서 공개한 복구툴은 [그림2]의 3번처럼 랜섬노트가 존재하지 않으면 복구가 불가능 하다는 Fail문구를 나타내고, 피해 시스템의 랜섬노트 내용을 확인하여 Bitdefender 서버와 연결하여 검증 작업을 거친 후 검증 성공시 복구를 진행한다. 따라서 [그림2]의 2번처럼 네트워크가 비활성화 된 시스템에서는 복구를 진행 할…

시리아 지역을 대상으로한 GandCrab 복구툴 배포

지난 10월 17일 컴퓨터 보안 및 기술 관련 정보를 제공하는 해외 리소스 사이트 Bleeping Computer에서 시리아 희생자를 위해 GandCrab 제작자가 키를 공개하였다는 기사를 업로드하였다. – https://www.bleepingcomputer.com/news/security/gandcrab-devs-release-decryption-keys-for-syrian-victims/ 자사 블로그(http://asec.ahnlab.com/1153)에서 언급하였듯이 GandCrab에 암호화 된 파일들은 공격자의 개인키를 알아야 복호화를 진행 할 수 있으며, [그림1]처럼 공격자는 파일 복호화를 위해 지불한 피해 사용자에게 자신만이 알고 있는 키 쌍을 통해 사용자의 개인키를 제공하여 복호화를 진행 할 수 있도록 한다. 또한 이 키는 시스템마다 다르게 생성되기 때문에 한 피해 사용자에게 공격자로부터 제공받은 키를 알고있다 할지라도 다른 시스템에서 암호화 된 파일들은 복호화가 불가하다. [그림1] – 공격자로 부터 제공되는 로컬 개인키 공격자가 어떤 기준으로 키 관리를 하고 있는지는 알 수 없지만, GandCrab 기능상 피해 시스템의 IP정보를 전송하는 기능이 존재하기 때문에 공격자가 IP를 정보를 토대로 시리아 지역의 키를 따로 분류할 수…

Magniber 랜섬웨어 복구툴 (랜덤벡터 복구기능 포함)

기존의 메그니베르(Magniber) 랜섬웨어 복구툴을 GUI형태로 개선하였으며, 4월 8일부터 확인된 가변적 벡터로 인해 복구가 불가능한 부분을 지원한다. (단, 확장자, 키 정보와 함께 암호화/복호화 파일 쌍이 존재하는 경우로 제한) 새로운 복구툴은 아래와 같은 화면이며, 암호화 확장자 정보만 입력하면 해당하는 키(Key), 벡터(IV)정보가 보여지는 구조를 갖는다. 확장자에 대한 키, 벡터정보는 복구툴 내부에 “magniber.db” 이름의 데이터베이스 파일로 관리되며 지속적으로 업데이트하여 제공할 예정이다. (2019년 10월 현재는 종료함) 만약, 확장자 입력 후 키, 벡터정보가 보여지지 않으면 복구가 불가능한 것으로 “magniber.db” 파일이 업데이트가 되어야 한다. [복구툴 사용방법] 1) 감염된 PC에 “MagniberDecrypt.exe” 파일을 다운로드 및 실행합니다. – 복구 시 드라이브를 자동으로 탐색하기 때문에 설치 경로는 중요하지 않습니다. 2) 복구툴 실행 시, 같은 경로에 설치파일이 포함된 폴더가 생성되고, 자동으로 프로그램이 실행됩니다. 프로그램 창이 뜨면 암호화 확장자를 입력하는 부분에 암호화된 파일의 확장자를…