crypz 복구 (CryptXXX 랜섬웨어) 백신, 앱체크 프로

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.10.25 10:04 / 카테고리 : 랜섬웨어 예방 솔루션







AppCheck 안티랜섬웨어 제품이 .crypz 파일 확장명으로 파일을 암호화하는 CryptXXX 랜섬웨어 행위를 차단 및 일부 훼손된 파일을 자동 복원하는 영상입니다.


앱체크 프로 버전(AppCheck Pro)은 explorer.exe 프로세스의 확장명을 더 빠르게 차단하는 기능을 가지고 있습니다.


앱체크 프로 구매 문의 전화 : 02-3708-8254

(기업/기관 대량 구매 문의)



- 유포 방식 : 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염

- 파일 정보 (MD5) : 7a6211b79a64106dedbd30957d8359f3

- 대표 진단명 : Trojan/Win32.CryptXXX.R182894 (AhnLab V3), Win32/Filecoder.CryptProjectXXX.F (ESET)

- 변경 파일 확장명 : .crypz

- 악성 파일 생성 위치 : 임시 폴더(%Temp%) 내의 임의의 위치에 랜덤(Random)한 파일명을 가진 DLL 파일 (암호화 후 재부팅 시 자동 삭제)

- 랜섬웨어 결제 안내 파일명 : !90A75BBB7462.bmp / !90A75BBB7462.html / !90A75BBB7462.txt

- 특징 : 오프라인 암호화(Offline Encryption), DLL 파일 + 시스템 프로세스(rundll32.exe) 방식, 파일 암호화 후 Lock Screen 기능을 통한 윈도우 실행 차단, 작업 관리자(Taskmgr.exe) / 명령 프롬프트(cmd.exe) 실행 차단, 바탕 화면 배경(C:\ProgramData\!90A75BBB7462.bmp) 변경






Crypz, Cryp1 파일 확장명으로 변경하는 랜섬웨어

이미 국내 유명 커뮤니티 사이트인 뽐뿌와 클리앙에서 퍼진 것으로 유명한 Crypz 랜섬웨어는 원래는 Crypt XXX 랜섬웨어라는 이름을 가지고 있으나, 파일 확장명이 .crypz 로 변경되는 특징이 있기에 많이 Crypz 랜섬웨어로 부르고 있습니다.



뽐뿌의 경우에는 보안업데이트가 안되어 있는 Adobe Flash Player와 윈도우, 그리고 익스플로러와 같은 웹 브라우저를 통해서 침투하게 되고 .crypz 확장자로 파일이 변환되어 복구가 불가능해 지는 사고 사례가 있었습니다.



클리앙에서는 크립토락커 Crypt0L0cker 랜섬웨어가 퍼지는 사고가 발생하였으며, 취약점을 이용한 유포가 발생하였습니다. 클리앙의 경우에도 뽐뿌와 같이 다수의 사용자가 많이 이용하는 커뮤니티인 만큼 크 피해규모가 컸습니다. 



지속적으로 업데이트와 변조가 이루어지는 랜섬웨어이기 때문에 사전방어가 어려우며, 감염되면 복구가 불가능하기에 치명적인 랜섬웨어입니다. 


피해범위는 하드디스크, 외장하드, USB드라이브, 네트워크 공유 폴더를 대상으로 하기 때문에 잘못 감염이 되면 회사와 같이 로컬네트워크로 데이터를 공유하는 시스템이라면 피해규모가 엄청나게 늘어나게 됩니다. 


이를 통해서 기업에게 돈을 요구하여, 제한 시간 내에 돈을 지불하지 않으면 돈이 2배로 상승한다는 식의 협박 창을 통해 결제를 유도하는 방식으로 피해를 입히게 됩니다.




특이하게도 악성코드가 파일을 전부 암호화하게 되면 crypz 랜섬웨어는 스스로 실행파일을 삭제하게 되어 더 이상 암호화는 이루어지지 않지만 이미 감염된 파일들은 완전하게 암호화된다는 특성이 있습니다. 


위와 같이 이미 한번 감염된 파일은 암호화되어 복구가 어렵게 되므로 사전에 랜섬웨어를 탐지하고 동작하지 못하게 철저하게 사전 방어하는 것이 중요합니다. 하지만, 수시로 변종과 신종으로 업데이트 되고 있으므로 백신 업체의 DB가 업데이트 되기 전에 신형 랜섬웨어를 접하게 된다면 속수무책으로 당할 수 밖에 없습니다.


백신의 업데이트 없이 신종과 변종의 랜섬웨어를 사전에 방어할 수 있을까요?
앱체크 안티랜섬웨어로 가능합니다.


앱체크는 다양한 파일 암호화 및 악성코드에 의한 파일 훼손 행위만을 탐지하여 사전에 차단하기 때문에 업데이트 없이도 랜섬웨어에 대한 사전 대응 및 방어가 가능합니다. 


앱체크에 적용된 CARB 엔진이 있기에 가능한 일입니다. CARB 엔진은 상황 인식 기반 엔진을 바탕으로 파일의 변조가 의심되는 패턴이 감지되면 랜섬웨어로 간주하고 차단할 수 있습니다.



또한, 랜섬웨어 대피소 기능을 통해서 자동적으로 원본 파일을 쉽게 백업하고 복구할 수 있는 기능을 지원합니다. 앱체크에 의한 자동백업이 이루어지면 아래와 같이 Backup(AppCheck) 폴더가 생성되고 해당 폴더에 자동으로 파일이 백업되기 때문에 안전합니다.


앱체크는 무료버전과 유료버전(프로버전)의 2가지 라이센스가 있습니다. 개인은 무료버전과 유료버전을 선택하여 구매할 수 있으나, 기업과 기관은 반드시 프로버전을 구입해야 합니다.


또한 유료버전에서는 무료버전에 없는 기능인 부팅시 가장 먼저 실행되는 프로그램 보호 및 자동 치료, 자동 백업 등의 추가 기능이 추가 됩니다. 


특히, 자동백업 기능은 주기적으로 지정된 폴더 내의 파일을 파일 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 2중 보호 기능으로써 데이터를 안전하게 보호하는데 최적인 기능입니다. (유료버전만 가능)



앱체크 제품 라이선스 및 기능 차이

무료 버전과 유료 버전이 있으며 기업이나 관공서는 반드시 유료버전을 구매하셔야합니다. 

앱체크 프로 대량 구매 문의 전화 : 02-3708-8254




랜섬웨어 사전 차단 및 백업/복구가 가능한 랜섬웨어 통합 솔루션 앱체크 프로에 대한 도입 문의 및 견적 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다.




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

방문자 통계

  • 전체 : 361,297
  • 오늘 : 56
  • 어제 : 53
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.