<div><blockquote style="border:1px dashed rgb(102,102,102);padding:5px 10px;background-color:#ffffff;"><font size="2"><b><font color="#ff0000">경고!</font><font color="#c00000"> </font></b>이글에서는 랜섬웨어의 개요, 감염경로, 증상, 예방등은 다루지 않습니다. <br><span style="line-height:1.5;">애초에 재수없으면 걸립니다 (플래쉬 안쓸꺼야? 그냥 리눅스씁시다.)<br><br></span><span style="color:#333333;line-height:21.6px;font-family:gulim, Dotum, Helvetica, AppleGothic, sans-serif;background-color:#f9f9f9;">♚♚리눅스 민트 하모니카 로☆사♚♚설치시$$전원 리브레오피스☜☜100%증정※ ♜♜클레멘타인 무료증정￥ 특정조건 §§한글2014§§★리눅스뷰어★획득기회@@@ 즉시이동<a target="_blank" href="http://http//hamonikr.org/%EB%AC%B4%EB%A3%8C" style="color:#0000ff;text-decoration:none;background-color:transparent;">http://http://hamonikr.org/무료</a> 다운로드/윈도우10급 시설/★【하모니카】★ 24시간 다운 연중무휴 </span><a target="_blank" href="http://hamonikr.org/" style="color:#0000ff;text-decoration:none;line-height:21.6px;font-family:gulim, Dotum, Helvetica, AppleGothic, sans-serif;background-color:#f9f9f9;">http://hamonikr.org/</a></font></blockquote><blockquote style="border:1px dashed rgb(102,102,102);padding:5px 10px;background-color:#ffffff;"><b><font color="#0070c0">참고!</font></b> 2016년 1분기 상위 3개 랜섬웨어는 Teslacrypt(58.4%), CTB-Locker(23.5%), Cryptowall(3.4%)입니다.(출처 카스퍼스키랩)<br></blockquote></div> <div><br></div> <div><b><font size="3">1. 랜섬웨어 종류들</font></b></div> <div><b>1.1 나부커(NsbLocker)</b> : 가장 초기단계의 랜섬웨어로서, v3등 어지간한 백신으로도 복호화 해제가능.</div> <div><br></div> <div><b>1.2 크립토라커(CryptoLocker/Crypt0L0cker) : </b></div> <div> <div style="text-align:left;"><img src="http://thimg.todayhumor.co.kr/upfile/201605/1463906366c6b719ca1c884f039837eb58924c0f9b__mn494763__w500__h449__f39548__Ym201605.jpg" width="500" height="449" alt="001_fynAof3.jpg" style="border:none;"></div><br></div> <div>코드 RSA-2048를 사용하여 암호화 되었다라고 하며, *.encrypted 확장자로 암호화 함. <span style="font-size:9pt;line-height:1.5;">한국어화되어 있음.</span></div> <div><span style="font-size:9pt;line-height:1.5;">몇몇 백신이 복호화 해준다라는 소리가 있습니다만 복호화율이 저조합니다.</span></div> <div><span style="font-size:9pt;line-height:1.5;">파이어폭스에서 복호화툴을 내놓았다가 지금은 변종우려로 서비스 되지않고있습니다.</span></div> <div><span style="font-size:9pt;line-height:1.5;">해커에게 돈주면 80%가량 복호화 해줍니다. <strike>(물론 해준다라고 장담이 안되므로 함부러 따라하지맙시다. )</strike></span></div> <div><br></div> <div><embed src="http://videofarm.daum.net/controller/player/VodPlayer.swf" width="608" height="342" type="application/x-shockwave-flash" flashvars="vid=vd2a9cgaz2gtjggad22zDhc&playLoc=undefined&alert=true"><br></div> <div><br></div> <div><br></div> <div>h<span style="font-size:9pt;line-height:1.5;">ttp://kinlife.tistory.com/entry/%EC%A7%80%EC%98%A5%EC%9D%98-%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C-%ED%81%AC%EB%A6%BD%ED%86%A0%EB%9D%BD%EC%BB%A4Cryptolocker-%EA%B2%B0%EC%A0%9C%ED%95%98%EB%A9%B4-%EC%96%B4%EB%96%BB%EA%B2%8C-%EB%90%A0%EA%B9%8C</span></div> <div><br></div> <div><br></div> <div> <div style="text-align:left;"><b>1.3 크립토월(CryptoWal)</b></div> <div style="text-align:left;"><img border="0" alt="" src="http://image.ahnlab.com/comm/info/1406245917563490.JPG" width="589" height="248" style="border:0px;font-size:0px;line-height:0;vertical-align:top;color:#707070;font-family:'留묒� 怨좊뵓', 'Malgun Gothic', '�뗭�', Dotum, Arial, 'Apple Gothic', sans-serif;letter-spacing:-1px;"></div> <div style="text-align:left;">3.0 까지는 복호화 툴이 나온것으로 알고있습니다 (신종/변종)4.0 부터는 불가능.</div> <div style="text-align:left;">크립토라커의 후계자를 자청하고 있습니다(<strike>후계자는 씨1발 지1랄하고자빠졌네 시1발놈들이</strike>)</div> <div style="text-align:left;">*.CCC 확장자 방식으로 암호화 하기때문에 CCC 바이러스라고도 불립니다.</div> <div style="text-align:left;"><br></div> <div style="text-align:left;"><b>1.4 테슬라크립트(TeslaCrypt</b><b style="font-size:9pt;line-height:1.5;">)</b></div> <div style="text-align:left;"><img title="1511275761303387.PNG" src="http://image.ahnlab.com/img_upload/editor/1511275761303387.PNG" style="border:0px;font-size:0px;line-height:0;vertical-align:top;color:#707070;font-family:'留묒� 怨좊뵓', 'Malgun Gothic', '�뗭�', Dotum, Arial, 'Apple Gothic', sans-serif;letter-spacing:-1px;text-align:center;" alt=""><span style="color:#707070;font-family:'留묒� 怨좊뵓', 'Malgun Gothic', '�뗭�', Dotum, Arial, 'Apple Gothic', sans-serif;font-size:14px;letter-spacing:-1px;line-height:24px;text-align:center;"> </span></div> <div style="text-align:left;">테슬라 크립트는 "*.ecc, <span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">ezz, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">exx, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">xyz, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">zzz, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">aaa, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">abc, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">ccc, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">vvv, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">xxx, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">ttt, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">micro, </span><span style="font-size:9pt;line-height:1.5;">*.</span><span style="font-size:9pt;line-height:1.5;">mp3"방식으로 확장자를 변경시켜</span></div> <div style="text-align:left;"><span style="font-size:9pt;line-height:1.5;">암호화 시킵니다. 암호화코드는 RSA-2048이라는 방식이라고 하는데 이젠 의미없습니다 <strike>(숭악한놈들 꺼져라꺼져)</strike></span></div> <div style="text-align:left;">테슬라크립트는 아주 악명이 높았습니다만, 해커가 복호화 마스터키를 풀면서 대부분의 파일이 복호화가 가능한것으로 알고있습니다.</div> <div style="text-align:left;">복호화 방법은 아래 참고</div> <div style="text-align:left;"><br></div> <div style="text-align:left;"><b>1.5 크립트XXX(CryptXXX</b><b style="font-size:9pt;line-height:1.5;">)</b></div> <div style="text-align:left;"><img src="http://images.kbench.com:8080/kbench/article/2016_05/k162982p1n1.jpg" alt=""></div> <div style="text-align:left;">카스퍼스키가 암호코드 RSA-4096이며, <span style="font-size:9pt;line-height:1.5;">암호화 되는 확장자는 *.crypt 입니다. </span><span style="font-size:9pt;line-height:1.5;"> </span></div> <div style="text-align:left;"><span style="font-size:9pt;line-height:1.5;">카스퍼스키가 복보화툴을 내놓았습니다. (</span><strike style="font-size:9pt;line-height:1.5;">그러나...2주만에 변종이 발견되었습니다.)</strike></div> <div style="text-align:left;"><br></div> <div style="text-align:left;"><b><br></b></div> <div style="text-align:left;"><b>1.6 록키(Locky)랜섬웨어</b></div> <div style="text-align:left;"><img class="sm-image-c" src="http://www.ddaily.co.kr/data/photos/20160311/art_1458263049.jpg" style="border:0px;margin:0px auto;clear:none;float:none;display:block;text-align:center;vertical-align:middle;color:#333333;font-size:16px;line-height:28px;" alt=""></div> <div><br></div> <div style="text-align:left;">국내가 타겟이며 현재 국산백신업체들이 가장 신경을 곤두서고있는 랜섬웨어이기도합니다.</div> <div style="text-align:left;">*.hwp(한글)파일도 암호화 시키는것으로 유명하며, 주로 스팸 <span style="font-size:9pt;line-height:1.5;">메일을 통해 유포된다고하며(스스로에게 보낸 메일인척함.).</span></div> <div style="text-align:left;">암호화된 확장자는 *.Locky , 암호코드는 RSA-2048, AES-128 이라고 뜹니다.</div> <div style="text-align:left;"><br></div> <div style="text-align:left;"><b>1.7 코인볼트(CoinVault) 및 비트크립토(Bitcryptor)</b></div> <div style="text-align:left;">코인볼트(CoinVault) 및 비트크립토(Bitcryptor) 는 일단 네델란드 경찰에 해커가 체포되면서 다 풀렸습니다<strike>(니네들 좆됬어 개1갞끼들아)</strike></div></div> <div style="text-align:left;">카스퍼스키에 따르면 총 1만 4천개가량의 복호화키가 피해자들에게 전달되었고 경찰이 서버에서 복호화키를 압수하였기때문에 가능해진 일이라고하네요. </div> <div style="text-align:left;"><br></div> <div style="text-align:left;"><br></div> <div><font size="3"><b>2. 현재까지 복호화 불가능한 변종 랜섬웨어</b></font></div> <div><span style="font-size:9pt;line-height:1.5;"><b>2.1 크립트XXX변종</b></span></div> <div>카스퍼스키가 암호코드 RSA4096에대해서는 복보화툴을 내놓았는데 2주뒤에 변종된 <span style="font-size:9pt;line-height:1.5;">RZA4096이 나오면서 무력화 되었습니다.</span></div> <div><br></div> <div><b>2.2 크립토락커 변종</b></div> <div>크립토라커의 변종이 20가지가 넘는것으로 확인되었고, 실제 파이어폭스팀에 제공하던 복보화툴도 변종생산을 부축인다하여</div> <div>더이상 서비스 되지않고 있습니다.</div> <div><b><br></b></div> <div><b>2.3 크립토월 변종</b></div> <div>크립토월(CryptoWall)은 2,048비트 공개키 암호화 방식으로 암화화 되어 있기 때문에 최신 수퍼컴퓨터를 이용해서 복호화를 시도해도 수 년 이상 소요가 된다고 합니다. </div> <div><br></div> <div><b>2.4 크리트로니(<span style="font-size:9pt;line-height:1.5;">CTB-Locker</span><span style="font-size:9pt;line-height:1.5;">)</span></b></div> <div><span style="font-size:9pt;line-height:1.5;">암호코드는 </span>AES-256 입니다. 찾아보니 없네요. </div> <div><br></div> <div><font size="3"><b>3. 복호화 방법</b></font><br><blockquote style="border:1px dashed rgb(102,102,102);padding:5px 10px;background-color:#ffffff;"><font color="#ff0000"><b>주의! </b></font><br>반드시 백업된 복사본으로 하시길 바랍니다.<br>파일의 변형/깨짐등은 책임지지 않습니다.<br>각각 랜섬웨어의 복호화 툴이 다르기 때문에 맞는것을 사용하시길 바랍니다.<br>무조건 되는게 다 성공하는게 아닙니다. 실패하면 빨리 포기하고 포맷하세요 포맷</blockquote><br></div> <div><b>3.1 테슬라크립트</b></div> <div> <div style="text-align:left;"><img src="http://thimg.todayhumor.co.kr/upfile/201605/14639079367299726f01684197bf188e12a42d46ee__mn494763__w1022__h696__f108498__Ym201605.jpg" width="800" height="545" alt="테슬라.jpg" class="chimg_photo" style="border:none;"></div><br></div> <div>테슬라크립트는 "쏘리"와 함께 해커가 마스터를 키를 공개하면서 대부분의 파일이 복보화 가능해졌습니다.</div> <div>마스터키  : <span style="font-family:'굴림', gulim, helvetica, sans-serif;font-size:9pt;line-height:1.5;"><i><u>440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE</u></i></span></div> <div><span style="font-family:'굴림', gulim, helvetica, sans-serif;font-size:9pt;line-height:1.5;">복보화툴 : </span><font face="굴림, gulim, helvetica, sans-serif"><a target="_blank" href="http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/" target="_blank">http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/</a><br><br><b>3.2 크립토XXX</b></font></div> <div><font face="굴림, gulim, helvetica, sans-serif"></font> <div style="text-align:left;"><img src="http://thimg.todayhumor.co.kr/upfile/201605/1463907877882aa2505630413fbed2b696eeceacef__mn494763__w1680__h950__f127975__Ym201605.jpg" width="800" height="452" alt="noransom_kaspersky_com_20160522_180353.jpg" class="chimg_photo" style="border:none;"></div><br></div> <div><font face="굴림, gulim, helvetica, sans-serif">크립토XXX는 </font><span style="font-size:9pt;line-height:1.5;">RSA-4096과 관련하여 아래의 사이트에서 복호화툴을 다운로드 받으실수 있습니다. </span><span style="font-size:9pt;line-height:1.5;"> </span></div> <div><span style="font-size:9pt;line-height:1.5;">RakhniDecryptor 를 다운받으시면됩니다.</span></div> <div><span style="font-size:9pt;line-height:1.5;">바이러스체이서가 저용량 파일 몇몇개를 복구해주기도 합니다.</span></div> <div><a target="_blank" href="http://support.kaspersky.com/viruses/utility" target="_blank">http://support.kaspersky.com/viruses/utility</a></div> <div><br></div> <div><b>3.3 크립토라커 일부</b></div> <div><img src="http://support.kaspersky.com/images/11718_0213-258593.png" alt=""></div> <div>이것 또한 카스퍼스키에서 서비스를 제공하고있습니다만 전체적으로 되는것은 아닙니다.</div> <div>다운로드 툴은 <a target="_blank" href="http://support.kaspersky.com/viruses/disinfection/11718" target="_blank">http://support.kaspersky.com/viruses/disinfection/11718</a></div> <div>확장자 *.encrypted에 한해서 복호화를 제공하고있습니다.</div> <div>테스트는 안해봤습니다만 트렌드마이크로에서도 복호화 툴을 제공하고있습니다. </div> <div><a target="_blank" href="http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3136/goz-and-cryptolocker-malware-affecting-users-globally" target="_blank">http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3136/goz-and-cryptolocker-malware-affecting-users-globally</a></div> <div><br></div> <div><br></div> <div><b><font size="3">4. 랜섬웨어 대응센터</font></b></div> <div><b>4.1 카스퍼스키랩 대응센터 :</b> </div> <div><span style="font-size:9pt;line-height:1.5;">(링크1) : <a target="_blank" href="http://support.kaspersky.com/viruses/utility" target="_blank">http://support.kaspersky.com/viruses/utility</a></span></div> <div><span style="font-size:9pt;line-height:1.5;">(링크2) : </span><a target="_blank" href="https://noransom.kaspersky.com/" target="_blank">https://noransom.kaspersky.com/</a></div> <div><br></div> <div><b>4.2 안랩 대응센터 :</b></div> <div>(링크1) : <a target="_blank" href="http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do" target="_blank">http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do</a></div> <div>(링크2) : <a target="_blank" href="https://www.ahnlab.com/kr/site/download/product/productVaccineView.do" target="_blank">https://www.ahnlab.com/kr/site/download/product/productVaccineView.do</a></div> <div>(링크3) : <a target="_blank" href="https://www.ahnlab.com/kr/site/download/product/productVaccineView.do" target="_blank">https://www.ahnlab.com/kr/site/download/product/productVaccineView.do</a></div> <div><b><br></b></div> <div><b>4.3 하우리 랜섬웨어 대응센터</b></div> <div>(링크1)  : <a target="_blank" href="http://www.hauri.co.kr/Ransomware/" target="_blank">http://www.hauri.co.kr/Ransomware/</a><br><br><b>4.4 한국랜섬웨어침해대응센터</b></div> <div>(링크1) : <a target="_blank" href="https://www.rancert.com/" target="_blank">https://www.rancert.com/</a></div> <div><br></div> <div><b>4.5 한국트렌드마이크로</b></div> <div><span style="font-size:9pt;line-height:1.5;">(링크1) : </span><a target="_blank" href="http://www.trendmicro.co.kr/kr/security-intelligence/ransomware/" target="_blank">http://www.trendmicro.co.kr/kr/security-intelligence/ransomware/</a></div> <div><font size="3"><b><br></b></font></div> <div><font size="3"><b>5. 개인적으로 권하는 방어시스템</b></font></div> <div><b>5.1 하우리APT쉴드</b></div> <div><a target="_blank" href="http://www.hauri.co.kr/download/apt_free.html" target="_blank">http://www.hauri.co.kr/download/apt_free.html</a></div> <div><br></div> <div><img src="http://thimg.todayhumor.co.kr/upfile/201605/146384115260055bd3a2c947549c55251ace7a6a6b__mn494763__w515__h283__f46415__Ym201605.jpg" width="515" alt="APT.jpg" filesize="46415" style="border:none;vertical-align:middle;max-width:800px;height:auto;color:#333333;font-family:gulim, Dotum, Helvetica, AppleGothic, sans-serif;line-height:21.6px;"><br><br></div> <div><b>5.2 앱체크 안티랜섬웨어 시스템</b></div> <div><a target="_blank" href="https://www.checkmal.com/appcheck" target="_blank">https://www.checkmal.com/appcheck</a></div> <div><br></div> <div> <div style="text-align:left;"><img src="http://thimg.todayhumor.co.kr/upfile/201605/1463908119f396bb0191214eac913f148f56a8faac__mn494763__w600__h445__f57280__Ym201605.jpg" width="600" height="445" alt="앱체크.jpg" style="border:none;"></div><br></div> <div><b><br></b></div> <div><b>5.3 바이러스체이서, 바이로봇인터넷시큐리티 1년권 등 방어벽이기능이 포함되어있는 무료백신사용 or 카스퍼스키랩, V3 365 AVG등 유료백신사용</b></div> <div><b><strike>(알약 V3Lite 네이버백신 다음클리너좀쓰지마요)</strike></b></div> <div><a target="_blank" href="https://www.viruschaser.com/" target="_blank">https://www.viruschaser.com/</a></div> <div><br></div> <div><img src="http://thimg.todayhumor.co.kr/upfile/201605/14638411496604af20a1c34c4da7f5356eccfbfdd5__mn494763__w665__h553__f83094__Ym201605.jpg" width="665" alt="바이러스체이서.jpg" filesize="83094" style="border:none;vertical-align:middle;max-width:800px;height:auto;color:#333333;font-family:gulim, Dotum, Helvetica, AppleGothic, sans-serif;line-height:21.6px;"></div> <div><br></div> <div>5.4 물리적으로 격리시키거나, 아니면 감염이 되었다라고 판단되면 일단 컴퓨터를 끕니다.</div> <div>혹은 발자국 3.0과 같은 가상백업공간 프로그램등을 사용합시다.</div> <div><br></div> <div><b><font size="3">6. 개인적인 복호화 경험</font></b></div> <div><br></div> <div> <div style="text-align:left;"> <div style="text-align:left;"><img src="http://thimg.todayhumor.co.kr/upfile/201605/14639063373452da58eb5d44fb85144bf13df54009__mn494763__w1920__h1040__f135749__Ym201605.jpg" width="800" height="433" alt="이게뭐야1111111111.jpg" class="chimg_photo" style="border:none;"></div></div><br></div> <div>크립토라커와 크립토XXX감염된적이 있었는데요. </div> <div>크립토라커는 포맷직후에 백신도 안깔고 구글로 인터넷 서핑하다가 감염 되었습니다. 한글화 된것으로 보니 국내사이트인것으로.</div> <div>그래서 이건 그냥 포맷하였습니다. (<strike>내 야동 십새들아 ㅠ</strike> )</div> <div>크립토XXX는 아침에 복호화를 시도하였는데요.</div> <div>일단 APT쉴드가 약 40%가량 행위차단을 하여서 랜섬웨어감염을 예방하였습니다.</div> <div>또 나머지 20%는 암호화 되는것은 막았습니다만 파일이 크랙킹(깨짐)이 되어서 복구불능이 되었습니다.</div> <div>또 나머지 30%정도는 AVG가 랜섬웨어로 판단하여 파일들을 전부 자동삭제... 해버렸고</div> <div>10%가량은 바이러스 체이서가 암호화 해제해줬습니다. </div>