페덱스 운송장 및 수원남부경찰서로 위장한 오토크립터 랜섬웨어 다수 등장

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.06.02 11:13 / 카테고리 : 랜섬웨어 예방 솔루션



5월에 일어났던 워너크라이 랜섬웨어 사태로 인해서 랜섬웨어에 대한 관심이 높아지고 있습니다. 비트코인 이라는 전자화폐를 통해서 지급받기 때문에 많은 해커들이 이를 모방하여 국내형 랜섬웨어 배포를 통해서 박리다매로 수익을 올리는 전략을 펼치고 있습니다.


이로 인해서 더 많은 랜섬웨어 피해가 생길 수 있습니다. 현재 이슈가 되고 있는 국내형, 피싱형 랜섬웨어 사례에 대해서 알려드리겠습니다. 


랜섬웨어로 암호화된 파일은 특수한 경우가 아니면 복호화가 불가능에 가까우며, 해커들에게 비트코인으로 돈을 지불하여도 암호화를 풀어주는 경우는 많지 않습니다. 그렇기 때문에 랜섬웨어는 사후조치가 아닌 사전예방이라는 점을 꼭 알아두시기 바랍니다. 


1. 페덱스 배송안내로 위장한 랜섬웨어 - 오토크립터(AutoCryptor)

서비스형 랜섬웨어의 일종으로 배송안내를 사칭한 이메일을 통해서 국내에 랜섬웨어를 다량 유포하고 있습니다. 다른 랜섬웨어가 많은 양의 비트코인을 요구하는 고가 전략을 펼치는 반면에 페덱스 배송안내로 위장한 오토크립터는 0.1 비트코인만을 요구하는 저가형 전략을 펼치고 있습니다. 



leemoonjung@gmail.com 이메일을 활용하여 페덱스 지원팀을 사칭하여 발송되고 있는 이메일로써 이메일 본문에는 첨부된 영수증과 운송장을 출력하여 물품을 방문하여 수령하라는 듯한 내용이 기재되어 있습니다. jpg 확장자로 파일이 되어 있지만 사실은 exe 실행파일이 위장하고 있습니다. 그렇기 때문에송장 파일과 영수증 이미지 파일은 절대 열어보면 안됩니다.


암호화 과정이 완료되게 되면 사용자의 바탕화면에 THIS_YOU_MUST_READ.txt 파일이 생성되고 복호화를 위한 안내문과 0.1 비트코인을 요구하는 내용이 적혀있습니다.


2. 수원남부경찰서를 사칭한 낚시형 랜섬웨어 - 오토크립터(AutoCryptor)

최근에는 경찰서 사칭 랜섬웨어도 발견되었습니다. 과거에 보이스피싱으로 사칭하던 공공기관을 이메일을 통해서 랜섬웨어를 태워 전송하는 방식으로 진화하였습니다. 사칭한 이메일 내용에는 아래와 같은 내용이 적혀있습니다. 



귀하의 차량이 법규위반한 사실이 확인되어 과태료 부과대상이 되었기에 통지합니다. 

(중략)

귀하의 개인정보 보호를 위하여 비밀번호가 설정되어 있습니다.

비밀번호 : 0000



첨부될 파일의 압축(과태료 부과통지서.egg)을 풀면, 바로가기 파일로 위장한 과태료부과고지서와 문서파일이 첨부되어 있습니다. 해당 파일을 실행하면 랜섬웨어가 동작하면서 사용자의 모든 파일을 암호화 합니다. 


이 경우에도 박리다매 형식으로 0.1 비트코인을 요구하고 있으며, 오토크립터의 변종으로 확인되고 있습니다. 위 택배사와 경우와 마찬가지로 유창한 한국어로 입금을 유도하는 게시물이 포함되어 있는게 특징입니다. 




[앱체크 안티랜섬웨어로 오토크립터 랜섬웨어 방어하는 영상]




3. 교통위반 범칙금 인터넷 납부 서비스 efine 사칭 랜섬웨어

해당 랜섬웨어는 5월 31일에 배포되었으며 해당 이메일의 이메일은 efine 교통범칙금 인터넷 납부에서 보낸 것으로 위장하고 있습니다. 


또한, "귀하의 차량이 법규위반한 사실이 확인되어 과태료 부과대상이 되었기에 통지합니다." 라는 내용을 담고 있어 앞서 설명드린 수원남부경찰서 사칭 이메일과 동일한 수법으로 보입니다. 


eFine 로고 및 경찰마스코트 및 업무를 안내하는 이미지의 내용이 포함되어 있어 잘 모르는 사용자에게는 클릭을 유도할 수 있습니다. 





최근 국내에서 박리다매, 피싱형 랜섬웨어가 계속 등장하고 있기에 랜섬웨어 사진 방어 솔루션은 필수 설치 프로그램이 되었습니다. 하지만, 많은 랜섬웨어 방어 솔루션 중에서 어떤 제품을 사용해야 하는지 고민이 많을 수 밖에 없습니다. 





랜섬웨어 방어 솔루션의 중요한 점으로 2가지가 있습니다. 

1. 랜섬웨어 사전 방어

2. 안전한 파일 백업 및 보존 


사전 방어 및 파일 백업의 기능을 동시에 가지고 있는 랜섬웨어 방어 솔루션으로 앱체크 안티랜섬웨어(AppCheck Anti Ransomware) 제품이 있습니다. 일반 버전과 프로버전으로 나뉘게 되며, 기업은 반드시 프로버전을 사용하셔야 합니다. 



또한, 기업 프로모션으로 처음 1개월은 앱체크 프로 제품의 무료라이선스를 발급해주는 프로모션을 진행하고 있습니다. 아래의 링크에서 앱체크 프로 1개월 무료사용 프로모션을 확인해주시기 바랍니다

※ 1개월 무료 라이선스 신청하기 : http://itblog.imarketkorea.com/325



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

랜섬웨어예방, 기업용 안티랜섬웨어 앱체크 프로 1달 무료 라이선스 신청

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.05.23 14:05 / 카테고리 : 랜섬웨어 예방 솔루션



최근, 워너크라이(WannaCry) 랜섬웨어 사태로 인해서 국내에서도 랜섬웨어에 대한 경각심이 높아지고 있습니다. 다행히 이번 워너크라이 사태에서는 공휴일이였다는 점과 유관기관의 빠른 대처로 인해서 생각보다 피해는 적었습니다. 하지만, 해외에서는 이번 사태로 국가 시설까지 랜섬웨어에 감염되어 기반 시설이 마비되는 큰 피해를 입었습니다. 



또한, 랜섬웨어 피해 기업은 보안이 부실한 기업이 낙인 찍힐 수 있기 때문에 걸리고서도 신고를 하지 않고 숨기는 경향이 많습니다. 따라서, 실제 피해는 더 클 것으로 보고 있습니다. 실제적으로 수치만 놓고 보면 워너크라이는 전 세계 150개 국에서 20만건이 넘는 피해를 일으킨 랜섬웨어 입니다. 


실제로 얼마전 5월 20일에는 한 토플 시험장에서 시험시작을 앞두고 시험용 컴퓨터에 랜섬웨어가 감염되여 시험이 취소되는 일이 일어났습니다. KISA에서 현장조치를 나갔지만 해당 시험 주관사는 해당 PC를 포맷처리 했다면서 KISA의 조치를 거부하였습니다. 


랜섬웨어에 감염되면, 현실적으로 파일 복구 방법은 없습니다. 해커가 비트코인 결제를 유도한 후 제공하는 복호화툴은 복호화될 것이라는 보장이 없으며, 대게는 비트코인을 입급하면 파일을 복호화 해주지 않습니다. 이번 워너크라이 감염시에 해커에게 돈을 입금한 많은 기업들이 있었지만 해커가 파일을 복구에 준 경우는 단 1건도 없는 것으로 나타났습니다.


랜섬웨어는 예방이 중요합니다. 랜섬웨어는 사후조치로 해결할 수 있는 악성코드가 아닙니다. 안전한 파일 백업과 랜섬웨어 사전차단이 가능한 안티랜섬웨어 솔루션을 설치하여 랜섬웨어를 방어하는 것이 가장 중요합니다. 


시중에 많이 출시되어 있는 랜섬웨어 백신들은 시그니처 기반(Signature Based) 랜섬웨어 백신입니다. 시그니처 기반은 기존에 있는 랜섬웨어 데이터베이스를 기반으로 대초하여 랜섬웨어를 판별하는 방식으로 기존 랜섬웨어 탐지에는 우수하나 신종과 변종 랜섬웨어는 탐지할 수 없기에 취약합니다. 


그 밖에 행위 기반(Behavior Based), 샌드박스(Sandbox), 네트워크(Network) 기반 랜섬웨어 탐지 솔루션이 있지만 모두 관련 데이터베이스가 있어야지 탐지가 가능하므로 신종과 변종에 취약하며 매번 업데이트를 진행해야 합니다. 



앱체크 프로 안티랜섬웨어 솔루션은 상황 인식 기반 랜섬웨어 탐지 기술을 적용하여 기존의 데이터베이스 없이도 랜섬웨어 이상 징후를 조기에 발견하여 차단할 수 있습니다. 이는 랜섬웨어 자체의 콘텐츠를 탐지하는 것이 아니고 파일의 변조 시점에 정상적 변경과 악의적 변경을 판단하기 때문에 별도의 업데이트 없이도 신종 랜섬웨어의 사전 탐지가 가능한 것입니다. 


이미 앱체크는 출시 이후, 많은 사용자 들의 검증을 받은 우수한 랜섬웨어 전용 백신입니다. 



앱체크 안티랜섬웨어는 국내에서 유일하게 랜섬웨어의 사전 방어와 실시간 백업, 자동 백업의 3중 보호 솔루션을 탑재한 PC용 안티랜섬웨어 제품입니다. 



#1. 시그니처 없는 랜섬웨어 방어 솔루션

자체 개발한 CARB 엔진은 단 하나의 시그니처 없이 알려지지 않은 랜섬웨어를 탐지하고 차단합니다.


#2. 랜섬웨어 및 생성파일 자동 삭제

랜섬웨어 및 훼손 파일을 삭제하고 원상 복귀시켜 업무 중단을 최소화합니다.


#3. 원격지에 자동 백업 및 복원으로 완벽한 보호

혹시 모를 위협에 대비하여 파일 훼손시에 실시간으로 백업하여 디스크 용량 걱정 없이 안심하고 사용할 수 있으며, 지정된 시간에 원하는 폴더를 주기적으로 원격지에 백업합니다. 


#4. 가볍고 효율적인 CARB 엔진

앱체크는 타 보안 솔루션 대비 리소스를 약 73% 덜 소비하여, 안정적 시스템 이용 및 효율적 서버 운영을 가능하게 합니다.


#5. 세계 유일 공유 폴더 보호 기능

공유된 폴더를 원격지에 훼손하더라도 이를 탐지 및 차단하고 손상된 파일을 자동으로 복구합니다.


#6. 세계 유일 서버용 랜섬웨어 솔루션

서버에서 공유된 폴더 내 파일을 원격지에서 훼손하더라도 이를 감지하고 접근을 차단하여 공유된 데이터를 안전하게 보호합니다.



다양한 사용자 환경과 GS 인증으로 검증된 안정성 보장

커널 레벨에서 동작하는 랜섬웨어의 상황인식 기반 엔진은 속도와 안전성 그리고 호환성을 보장해야 하며 제한된 환경에서 다양한 기능을 추가하는 일은 높은 기술적 난이도를 요구합니다. 앱체크는 월 15만의 활성 사용자를 보유하였고, 이를 통해서 다양한 사용자 환경에서 검증되었습니다. GS 인증 1등급 획득으로 제품의 안정성과 기술력을 인정 받았습니다. 







기업용 앱체크 프로 1개월 무료 라이선스 행사


아이마켓코리아에서는 기업용 안티랜섬웨어 솔루션인 앱체크 프로(AppCheck Pro) 버전 1달 무료 라이선스 제공 프로모션을 진행하고 있습니다. 아래 신청 양식에 내용을 적어주신 후 담당자 이메일(raykim7@imarketkorea.com)으로 보내주시면 기업용 1개월 무료 라이선스를 발급해드립니다. 많은 신청바랍니다. (최대 30 Copy)


[앱체크 프로 기업용 1개월 무료 라이선스 이메일 신청 양식]

- 기업명 : 

- 담당자 : 

- 이메일 : 

- 연락처 : 

- 회사 수량 : 

- 신청 수량 : 30 Copy

- 무료 기간 : 30일

- 비고 : 

※ 서버용 라이선스 요청시 서버라이선스도 10 Copy를 제공합니다. 


무료 라이선스 신청 이메일 보내실 곳 (김경일 과장)

이메일 : raykim7@imarketkorea.com

전화번호 : 02-3708-8254



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

워너크라이(WannaCry) 랜섬웨어 차단 동영상 및 예방법 안내

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.05.16 10:52 / 카테고리 : 랜섬웨어 예방 솔루션



최근에 가장 큰 이슈라고 하면 바로 랜섬웨어입니다. 사상 유래없는 랜섬웨어 감염사태로 인해 많은 기업과 기관을 피해를 입었습니다. 다행히 국내에서는 업무를 진행하지 않는 휴일에 퍼지기 시작한데다가 정부와 관련 기관의 발빠른 대처로 인해서 대부분의 조치사항을 완료한 이후에 업무를 시작하였기 때문에 피해가 예상보다 적었습니다.



하지만 워너크라이 랜섬웨어는 굉장히 위협적인 랜섬웨어로 현재 감염된 파일은 복구 방법이 없습니다. 감염된 파일은 비트코인을 지불하여도 해커는 파일을 복구해주지 않습니다. 이번 워너크라이 사태에서 해커가 돈을 받고 복구해준 사례는 단 1건도 없는 것으로 나타났습니다.


앱체크 안티랜섬웨어(AppCheck Anti-Ransomware) 제품에서는 별도의 업데이트없이 WannaCry 랜섬웨어(Ransomware)를 방어할 수 있습니다. 앱체크가 랜섬웨어 워너크라이를 방어하고 차단하는 동영상은 아래를 참고해주시기 바랍니다.




  • 배포 방식 : ETERNALBLUE 취약점으로 SMBv1 프로토콜을 통한 원격 접속 및 감염 ​​​​​​​
  • MD5 : 84c82835a5d21bbcf75a61706d8ab549
  • 주요 탐지명 : Trojan.Ransom.WannaCryptor.A (BitDefender), Ransom:Win32/WannaCrypt (Microsoft)
  • 파일 암호화 패턴 : .WNCRYT → .WNCRY
  • 주요 특징 : - 오프라인 암호화 - 한국어(Korean)를 포함한 28개 언어로 결제 안내 메시지 생성 - 바탕 화면 배경(C:\Users\%UserName%\Desktop\@WanaDecryptor@.bmp) 변경


동영상 내용과 같이 다른 별도의 조치 없이,체크만 설치하여도 예방이 가능합니다. 별도로 더 안전한 조치를 위해서는 아래에 랜섬웨어 예방 백신인 앱체크(AppCheck) 개발사가 공개한 랜섬웨어 워너크라이(WannaCry) 증상을 참조하시기 바랍니다.


[공지] SMB 취약점을 이용한 WannaCryptor 랜섬웨어(.WNCRY) 유포 주의

출처 - 앱체크 개발사 체크멀(Checkmal) 홈페이지

KISA에서 배포한 "SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법" 자료를 다음 링크에서 확인하실 수 있습니다.


2017년 5월 12일 전후로 전 세계를 대상으로 매우 짧은 시간 내에 역대 최고 수준의 WannaCry / WannaCryptor / WCry 랜섬웨어(Ransomware)를 이용한 파일 암호화 공격이 이루어지고 있기에 매우 주의가 요구됩니다. 


특히 유포 방식이 2017년 3월 Microsoft 정기 보안 업데이트를 통해 MS17-010 보안 패치가 이루어진 ETERNALBLUE 취약점을 통해 Worm 방식으로 전파되고 있으므로 보안 패치가 이루어지지 않은 환경에서는 피해가 예상됩니다. 


해당 보안 취약점은 미국 NSA에서 운영한 취약점으로 Shadow Brokers 해킹 그룹에 의해 공개되었으며 Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016 운영 체제 환경에서 MS17-010 보안 패치가 이루어지지 않은 경우 특수하게 조작된 메시지를 Windows SMBv1 서버에 보내서 원격 코드 실행이 가능한 Windows SMB 원격 코드 실행 취약점(CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148)입니다.



코드 실행이 이루어진 경우 문서, 사진, 영상, 음악, 압축 파일 등의 개인 데이터 파일을 .WNCRYT 확장명 형태로 암호화한 후 .WNCRY 확장명으로 최종 변경합니다. 


파일 암호화 과정에서 taskdl.exe 파일(SHA-1 : 47a9ad4125b6bd7c55e4e7da251e23f089407b8f)을 통해 다음과 같은 프로세스가 실행 중인 경우 자동 종료 처리하여 관련 데이터가 암호화될 수 있도록 처리합니다. 

  • taskkill.exe /f /im mysqld.exe 
  • taskkill.exe /f /im sqlwriter.exe 
  • taskkill.exe /f /im sqlserver.exe 
  • taskkill.exe /f /im MSExchange* 
  • taskkill.exe /f /im Microsoft.Exchange.* 


또한 모든 폴더 및 파일에 대한 접근 권한 획득 목적으로 "icacls . /grant Everyone:F /T /C /Q" 명령어를 실행합니다.



WannaCryptor 랜섬웨어는 파일 암호화 과정에서는 암호화 대상 원본 파일을 그대로 유지하며 암호화가 완료되는 시점에서 원본 파일을 자동 삭제하여 복구할 수 없도록 하며, 암호화 과정에서 임시 생성된 .WNCRYT 파일은 임시 폴더(%Temp%)로 <숫자>.WNCRYT 형태로 이동한 후 자동 삭제 처리합니다.



파일 암호화 완료 후 사용자에 의한 시스템 복원 및 복구 옵션 기능을 이용할 수 없도록 다음과 같은 명령어를 통해 VSS(볼륨 섀도 복사본 서비스) 및 부팅 복구 옵션을 삭제합니다.


  • vssadmin delete shadows /all /quiet
  • wmic shadowcopy delete
  • bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • bcdedit /set {default} recoveryenabled no
  • wbadmin delete catalog -quiet


이후 "Wana Decrypt0r 2.0" 랜섬웨어 메시지 창을 통한 Tor 통신 목적으로 https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip 파일을 다운로드하여 "C:\Users\%UserName%\AppData\Roaming\tor" 폴더에 파일을 압축 해제하여 "\\TaskData\Tor" 폴더에 관련 파일을 생성합니다.



최종적으로 생성된 "Wana Decrypt0r 2.0" 메시지 창은 사용자 운영 체제 언어에 따라 28개 언어로 표시되며, 일정 시간 내에 비트코인(Bitcoin)을 지불하도록 안내하고 있습니다.



그 외에도 @Please_Read_Me@.txt 랜섬웨어 결제 안내 파일 생성을 통해 지불 방법을 안내하고 있으며, 바탕 화면 배경을 @WanaDecryptor@.bmp 이미지 파일로 변경합니다.




이와 같이 랜섬웨어는 사후조치가 아닌 사전예방이 중요합니다. 랜섬웨어는 기업에게 돈을 받아낼 목적으로 기업의 주요 파일과 기밀정보를 암호화시켜 업무와 중요자산을 마비시키고 데이터를 인질삼아 돈을 받아내는 악질적인 공격 행위 입니다. 또한, 변조가 심하기 때문에 기존의 시그니처 기반(기존 랜섬웨어 데이터와 비교하여 판단) 방식은 예방에 많은 도움을 주지 못합니다. 


워너크라이와 같은 신종 랜섬웨어를 예방하기 위해서는 차세대 엔드포인트 안티 랜섬웨어 솔루션인 앱체크(AppCheck)를 설치하여야 합니다. 앱체크는 상황 인식 기반의 랜섬웨어 행위 탐지 엔진을 도입하였기 때문에 기존 랜섬웨어의 데이터베이스 없이도 랜섬웨어를 탐지가능하고, 신종과 변종 랜섬웨어까지 잡아낼 수 있습니다.


1. 상황 인식 기반 랜섬웨어 탐지 엔진은 사용자가 원하지 않는 파일의 변화를 탐지하여 방어합니다.

2. 매모리 맵핑 방식, 하드 링크 방식 등의 알려지지 않는 제로데이(Zero-Day) 랜섬웨어의 파일 파괴 행위를 탐지하고 차단합니다.

3. 자동의 훼손된 파일을 복구하고 랜섬웨어가 생성한 파일을 삭제하여 업무의 연속성을 유지할 수 있습니다. 


또한, 자동으로 중요한 정보의 자산을 보호할 수 있는 자동 파일 백업 기능인 랜섬가드 기능을 가지고 있습니다. 랜섬웨어로 파일 훼손시 원본 파일을 별도로 보관합니다.


1. 랜섬가드는 훼손되는 원본 파일만 별도로 보관하기 때문에 디스크 공간의 효율성을 높여줍니다.

2. 통합된 백업 스케쥴링을 통해 추가적인 보호막을 구성하여 랜섬웨어 탐지에 실패하더라도 복구할 수 있는 안전한 대한을 제공합니다.

3. 네트워크 공유 파일에 대해서 의도하지 않은 원격지로부터의 파일의 훼손을 차단하고 원상복구 합니다.


앱체크(Appcheck)는 개인과 비상업적인 용도는 무료이며, 기업과 기관, 영리단체는 반드시 유료버전인 앱체크 프로(AppCheck Pro) 버전을 구매하셔야 합니다.




아이마켓코리아에서는 앱체크 프로버전을 정가보다 더 저렴하게 구매하실 수 있는 기업 고객 특가 프로모션을 진행 중입니다. 대량 구매 및 장기 구매시 더 저렴한 가격으로 구입이 가능합니다. 자세한 가격은 아래의 아이마켓코리아 담당자에게 연락 주시면 견적을 전달해드리겠습니다. 


앱체크 프로 기업 버전 구매 상담 전화

02 - 3708 - 8254



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

업데이트 없이 랜섬웨어 차단! 앱체크 프로 (AppCheck Pro)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.02.23 19:47 / 카테고리 : 랜섬웨어 예방 솔루션

기존의 랜섬웨어 방어 솔루션들은 랜섬웨어에 대한 데이터베이스가 있어, 반드시 업데이트해야 방어가 가능하다는 단점이 있습니다. 앱체크 안티랜섬웨어는 업데이트 없이 랜섬웨어를 차단할 수 있는 상황 인식 기반 행위 탐지로 신종과 변종 랜섬웨어에도 대응할 수 있습니다. 





왜 앱체크 안티랜섬웨어로 방어해야 하나요?

위에서 설명하였듯이 기존의 탐지 기술은 악성코드의 정보가 없으면 방어가 불가능합니다. 그렇기 때문에 신종과 변종 랜섬웨어에 대해서 탐지가 어렵습니다.  이러한 단점을 보완하고자 개발된 비 콘텐츠 기반 기술도 한계가 존재하여 이러한 한계를 극복할 수 있는 원천적 탐지 기술이 절대적으로 필요합니다. 


이 모든 것을 해결한 랜섬웨어 탐지 기술이 바로 상황 인식 기반 엔진으로 실제 사용자 파일을 변조하는 상황을 종합적으로 판단하므로 새롭게 나타는 랜섬웨어의 훼손행위에 대해서도 시그니처 없이 정확한 탐지가 가능합니다.




상황 인식 기반 엔진이란? 

상황 인식 기반 랜섬웨어 탐지 기술은 파일의 변조시점에 정상적 변경과 악의적 변경을 판단하여 별도의 업데이트 없이 신종 랜섬웨어의 사전 탐지가 가능합니다. 또한, 상황 인식 기반 기술은 파일이 변경될 때 확인 되는 정보가 매우 다양하다는 점에 착안하여, 이를 추적하고 관리하여 정상적인 변경과 비정상적 변경을 구분합니다. 



기존 랜섬웨어 탐지 방식의 한계

1. 파일을 진단할 때 사용되는 탐지 방법으로는 주로 파일의 특정부분을 해시를 변환하여 참조하는 방법이기에 랜섬웨어 유포자가 인터넷에 알려져 있는 시그니처 테스트 후에 이를 우회하는 방법으로 공격한다면 탐지가 불가능합니다. 

2. 네트워크 상의 통신정보를 기반으로 악성코드를 탐지하는 방법도 암호화된 네트워크를 통해서 공격하게 되면 탐지가 어려우며 디코이 기반 탐지 기법도 랜섬웨어는 간단하게 우회가 가능합니다.



상황 인식 기반 엔진 동작 원리

1. 사용자의 파일을 모니터링하여 변경시점에 악성과 정상을 판단합니다.

2. 의심스러운 파일 변경이 발생하며 원본파일을 랜섬웨어 대피소로 백업하고 파일변경 프로세스를 지속적으로 모니터링 합니다.

3. 악성 프로세스 차단 및 삭제

지속적인 파일 훼손이 감지되면 해당 프로세스를 랜섬웨어로 간주하고 차단하여 프로세스가 생성한 파일을 삭제합니다. 

4. 훼손된 파일 복구

랜섬웨어로 인해 훼손된 파일을 모두 복구하고 사용자에게 알립니다.

5. 사용자 업무 지속

별도의 후속조치 없이 기존의 업무를 계속할 수 있습니다.




랜섬웨어 사전 방어 실패시 대처

랜섬웨어는 매우 높은 수준의 암호화 기법을 사용하기 때문에 한번 암호화된 데이터는 복구가 불가능합니다. 그래서 파일을 복호화하는 복원 방법보다는 실시간으로 원본을 백업하여 다시 복원하는 방법을 사용하게 됩니다. 

앱체크 랜섬웨어는 파일이 훼손되는 시점에서 자동으로 원본을 백업하고 복구가 가능한 기능을 탑재하고 있으며, 통합 백업 기능을 지원하여 만약 랜섬웨어 방어가 실패하여 랜섬웨어의 침입을 허용하여도 파일을 안전하고 복원할 수 있습니다.

앱체크에서는 위와 같은 파일 복원 기능인 랜섬웨어 대피소를 내장하고 있습니다.






앱체크 안티랜섬웨어 핵심 기능 소개


1. 자체 개발 CARB 엔진으로 랜섬웨어의 사전 방어

상황인식 기반 엔진(CARB)으로 알려지지 않은 랜섬웨어를 탐지 및 차단 합니다.


2. 랜섬웨어 및 생성 파일 자동 삭제 기능

랜섬웨어 및 훼손 파일을 삭제하고 원상 복귀시켜서 업무 중단 현상을 최소화 합니다. 


3. 원격지에 자동 백업 및 복원으로 완벽한 보호

혹시 모를 위협에 대비하여 파일 훼손시에 실시간으로 백업하여 디스크 용량 걱정없이 안심하고 사용할 수 있으며, 지정된 시간에 원하는 폴더를 주기적으로 원격지에 백업합니다. 


4. 가볍고 효율적인 CARB 엔진

앱체크는 타 보안 솔루션 대비 리소스를 약 73%덜 소비하여, 안정적 시스템 이용 및 효율적 서버 운영을 가능하게 합니다.


5. 세계 유일한 공유 폴더 보호 기능

공유된 폴더를 원격지에서 훼손하더라고 이를 탐지하고 차단할 수 있으며 손상된 파일을 자동으로 복구합니다.


6. 세계 유일 서버용 랜섬웨어 솔루션

서버에서 공유된 폴더 내 파일을 원격지에서 훼손하더라도 이를 감지하고 접근을 차단하여 공유된 데이터를 안전하게 보호합니다. 





랜섬웨어 사전 방어 기능과 자동 백업/복원 기능을 탑재한 앱체크 프로에 대해서 더 궁금한 점이 있으시면 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

기업 표적 랜섬웨어, 복구 보다 사전 방어가 중요!

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.12.23 15:38 / 카테고리 : 랜섬웨어 예방 솔루션


많은 기업들이 랜섬웨어 복구 비용으로 많은 지출을 소비

미국 IBM에서 랜섬웨어에 관련한 보고서를 발표했습니다. 해당 보고서는 성인 1,000명과 다양한 규모와 업종의 기업 임원들 600명을 대상으로 한 설문조사로써, 응답자 중 2명 중에서 1명은 지난해 랜섬웨어 공격으로 인해 기업이 피해를 입은 적이 있다고 응답하였습니다. 게다가, 70% 가량은 데이터 복구를 위해서 해커들의 요구에 순순히 응하여 데이터를 복구하였다고 응답하였습니다. 


만약, 랜섬웨어의 걸렸을 시에 해당 응답자들의 60%는 이전과 같이 비용을 지불하고 중요 데이터를 복구하겠다고 하여서 랜섬웨어 범죄는 쉽게 사라지지 않을 것으로 보입니다. 기업에서는 중요자료 때문에 돈을 지불하고서라도 복구를 해야한다는 의견이 대다수인 반면에, 일반인은 랜섬웨어 공격자들에게 돈을 지불할 의사가 적은 것으로 나타났습니다.



인텔 시큐리티에서 발표한 보고서에서도 랜섬웨어 샘플의 수가 2016년 3/4분기 총 400만건으로, 올해 초 보다 80% 가량 증가하였다는 사실이 보고되었습니다. 또한, 공격수법도 다양해지고 있습니다. 현재 가장 많은 공격 방법은 디스크 암호화, 웹사이트 암호화, 각종 잇스플로잇 킷과 같은 다양한 공격 기법으로 위협하고 있습니다. 



랜섬웨어, 복구가 아니라 사전 방어가 중요합니다.

바로 돈이 되는 해킹 방법인 만큼, 기업을 상대로하는 랜섬웨어 타겟 공격은 앞으로도 더 거세질 전망입니다. 많은 기업들은 앞으로도 많은 비용을 랜섬웨어 해커에게 지불할 것이고, 랜섬웨어 공격은 사전방어를 통해서 막지 않는 한 기업에 막대한 지출을 가져오게 할 수 있습니다.


랜섬웨어에 감염된 파일을 복구하는 것은 더 이상 해답이 아닙니다. 가장 좋은 해결책은 바로 사전 방어와 중요 파일에 대한 안전한 백업입니다.



이미 한번 랜섬웨어에 감염되면, 같은 패턴의 공격으로 재 감염될 위험이 높습니다. 랜섬웨어 전용 사전방어 솔루션으로 방어를 하게되면, 이러한 랜섬웨어 침입을 원천적으로 차단하고, 침입시에 원본파일을 안전한 장소에 2중 백업 함으로써 만일의 사태에 대비할 수 있습니다. 


일반적인 상용 백신 소프트웨어로는 랜섬웨어 침입에 대비할 수 없습니다. 이는 랜섬웨어는 신종과 변종이 많은 악성코드이기 때문입니다. 일반적인 백신은 시그니쳐 방식으로 한번 해당 악성코드의 데이터가 있어야, 분석하고 대비하고 차단할 수 있기 때문에 신종과 변종 랜섬웨어에는 전혀 대처할 수 없습니다.



 


앞으로 가장 필요한 랜섬웨어 방어 수단은 업데이트 없이도 신종과 변종 랜섬웨어에 대응이 가능해야 하고, 중요파일에 대한 자동 백업을 지원하여 만일의 사태에 대비할 수 있는 여건이 갖추어져야 합니다.





앱체크 랜섬웨어 솔루션은 사전 방어, 2중 백업이 가능한 랜섬웨어 종합 방어 솔루션입니다.

시중에 여러가지 랜섬웨어 솔루션이 많이 있지만, 사전 방어와 파일 백업 기능을 가지고 있는 랜섬웨어 방어 솔루션은 앱체크 (AppCheck)가 유일합니다.  앱체크는 개인용과 기업용으로 나뉘어져 있으며 개인용은 무료로 배포하고 기업용은 더욱 강화된 기능을 추가하여 기업용 유료버전인 앱체크 프로(AppCheck Pro) 버전을 유통하고 있습니다.


아까도, 소개해 드린 앱체크 솔루션 강점 중 하나인 DB 업데이트 없이도 가능한 변종/신종 랜섬웨어에 대한 방어는 CARB 엔진이라는 아키텍쳐로 이루어집니다.  




위의 사전에서 알수 있듯이, 다양한 요소를 통해 파일이 변경되는 것을 감지하여, 이를 추적하고 관리하여 정상적인 파일의 변경과 비정상적인 파일의 변조를 구분하여 랜섬웨어 침입여부를 판단하기 때문에 랜섬웨어의 데이터베이스가 없이도 랜섬웨어 감지가 가능합니다.




CARB 엔진은 3개월간의 업데이트 없이 신종 랜섬웨어를 방어하는 실험을 실시하여, 30개 중에서 27개를 방어에 성공하여, 업데이트 없이 사전 방어율 90%라는 놀라운 결과를 보여주었습니다. 기존 백신 소프트웨어에서 이와 같은 결과를 얻으려면 업데이트를 약 400번 이상 진행해야 가능한 방어율입니다.




앱체크는 사전 방어뿐만 아니라 사후 방어도 가능합니다. 파일 훼손 행위의 발생시 자동으로 랜섬웨어 대피소 백업 폴더에 원본 파일을 저장함으로써 원본이 훼손되어도 복사본이 생성되기에 손쉬운 복구가 가능합니다. 해당 랜섬웨어 파일을 복호화하는 복구 방법보다 기존의 원본 파일을 안전하게 백업하는 것이 더 효율적인 사후 방어 방법입니다. 



또한, 주기적으로 지정된 폴더 내의 파일을 자동으로 백업 폴더에 히스토리 방식으로 저장하는 2중 백업 보호기능을 통해서 만일의 사태에 대비 할 수 있습니다. 이 뿐만이 아니라, 랜섬웨어 대피소와 자동 백업 폴더 내에 저장되는 파일에 대한 변경 및 삭제를 원천적으로 차단하는 폴더 보호 기능을 내장하고 있습니다. 


※ 앱체크는 BackUp(AppCheck) 폴더에 안전하게 자동저장하는 기능을 가지고 있습니다.





랜섬웨어 사전 방어 및 파일 백업 솔루션인 앱체크 프로(기업용) 버전 구입문의는 아래 아이마켓코리아 담당자에 연락주시면 도입 부터 견적까지 안내해드립니다. 감사합니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

카카오톡 랜섬웨어 README 사전 방어 "앱체크 프로"

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.12.16 14:56 / 카테고리 : 랜섬웨어 예방 솔루션



README 랜섬웨어, 카카오톡으로 위장한 랜섬웨어

랜섬웨어는 외국에서만 제작한다는 말이 많았습니다. 하지만 국내에서 직접 제작한 랜섬웨어가 유포되기 시작하였습니다. 카카오톡 아이콘으로 위장하여 실행시키는 해당 랜섬웨어는 README 랜섬웨어라고 불리고 있지만 정식명칭은 [Korean 랜섬웨어]입니다. 아이콘 생김새가 카카오톡과 같기 때문에 카카오톡 랜섬웨어라고 불리우기도 합니다. 



파일이 암호화 되면 Readme.txt 파일을 생성하게 되고 랜섬웨어 암호를 복호화 하기 위한 결제를 유도하는 메시지를 출력합니다. 


또한, 결제를 위해서 토르브라우저를 통해서 암호 해독 서비스를 접속하라고 유도하여 고객에게 결제를 유도하게 됩니다. 




README 랜섬웨어 치료 백신, 체크멀 앱체크

해당 Readme 랜섬웨어는 체크멀의 앱체크 랜섬웨어 전용 솔루션을 통해서 완벽한 사전차단이 가능하기에 꼭 앱체크 랜섬웨어를 통해서 안전하게 PC를 보호해야 합니다. 


앱체크는 위와 같이 랜섬웨어를 사전에 탐지하여 차단할 뿐만 아니라 소중한 자료를 수시로 백업하여 안전한 저장소에 카피를 하기 때문에 안전성면에서 매우 뛰어납니다. 개인용은 무료로 사용가능하고 기업용은 전용 라이센스와 무료버전에서는 사용할 수 없는 강력한 부가기능을 사용할 수 있습니다. 



기업용 앱체크 Pro 버전과 CMS, 비즈니스 상품은 아이마켓코리아 IT 담당자에게 연락주시기 바랍니다.

02-3708-8254


중앙집중화된 기업 업무환경에도 적용할 수 있도록 '앱체크 프로 CMS' 버전과 클라우드 버전을 지원하기에 관리자의 업무부담을 해소하고 중앙통제가 가능한 엔드포인트 랜섬웨어 보안을 위해서는 앱체크 CMS 상품을 추천하고 있습니다. 



다른 랜섬웨어 솔루션과는 다르게 DB를 업데이트 하지 않아도 최신 랜섬웨어 탐지가 가능하다는 장점을 가지고 있습니다. 이는 앱체크 만의 기술인 CARB 엔진에서만 가능한 기술입니다. 




CARB 엔진은 3개월간 업데이트 없이 신종의 랜섬웨어 30종 중에서 27개 방어를 성공하여 90%에 육박하는 놀라운 사전 방어율을 보였습니다. 이는 기존의 DB 데이터 기반의 시그니쳐 방식 엔진의 약 400회를 업데이트 해야지 가능한 수치입니다.





CARB 엔진은 상황인식 기반 탐지 엔진으로 랜섬웨어가 파일을 변조시킬때의 행동패턴을 분석하여 파일에 이상이 생길 시에 이를 직접 감지하여 랜섬웨어를 차단하고, 파일을 안전하게 랜섬웨어 대피소에 저장하여 파일 손실을 피할 수 있습니다. 



최근 랜섬웨어의 트렌드는 기업을 노리는 해킹범죄의 수단으로 각광을 받고 있습니다. 해커들은 랜섬웨어를 이용하여 기업의 중요 정보를 암호화하고 이를 인질로 삼아 거액의 돈을 탈취하고 있습니다.


공공기관과 금융권, 기업의 보안담당자를 대상으로 한 설문조사에서는 10명 중에서 5명이 랜섬웨어가 가장 위험하다고 대답하였으며, 올해에도 가장 치명적인 위협의 대상이 된다고 예측하였습니다. 



2016년 6월 경에는 국내 대형 커뮤니티에 서비스되는 광고 서버가 해킹되어 이를 통하여 트립토 트리플X 랜섬웨어가 유포되는 사고가 발생하였습니다. 


웹페이지 접속만으로 감염이 되기 때문에 치명적인 랜섬웨어도 많은 사용자 피해가 발생한 사건 사고 였습니다. APT 공격뿐만 아니라 다수 유포도 가능한 특성을 지니고 있기 때문에 랜섬웨어 방어 솔루션은 반드시 필요합니다. 




기업용 랜섬웨어 솔루션인 앱체크 프로 버전 및 CMS 제품군 도입 및 견적 문의는 아래의 아이마켓코리아 보안담당자에게 연락주시면 상담해드립니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

앱체크 CMS, 기업용 랜섬웨어 백신 통합관리 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.12.07 16:46 / 카테고리 : 랜섬웨어 예방 솔루션



랜섬웨어에 대한 방어, 대비하고 있습니까?

최근 랜섬웨어 공격은 APT 방식과 합쳐서서 더욱 무서운 형태로 진화하고 있으며, 돈이 되는 기업을 상대로 노리고 있기 때문에, 이제는 개인사용자 보다는 기업에서 랜섬웨어를 경계하고 방어해야 합니다. 아래의 체크리스트를 확인하여 랜섬웨어에 대비하고 있는지 확인해 보시기 바랍니다.


- Unknown 랜섬웨어도 업데이트 없이 탐지 및 방어 여부

- 랜섬웨어의 탐지, 치료, 백업, 복원의 통합 관리가 가능한가

- 방어 실패시 대안이 있는가?


AppCheck 안티랜섬웨어는 CARB 엔진을 이용하여 랜섬웨어 행위탐지시 자동으로 악성프로세스 차단 및 파일을 자동복구하는 기능을 가지고 있으며, 상황 인식기반으로 업데이트 없이도 랜섬웨어 행위를 탐지할 수 있습니다. 또한, 랜섬웨어 대피소 기능을 통해서 파일 훼손 행위 발생시에 자동으로 랜섬웨어 대피소 폴더에 원본파일 저장을 통해서 데이터를 보호합니다. 


추가로, 국내 랜섬웨어 솔루션 중 유일하게 원격지에서 공유된 폴더를 보호할 수 있는 공유 폴더 보호기능을 가지고 있습니다.



앱체크 CMS, 랜섬웨어 통합 중앙관리 솔루션

업데이트 없이 랜섬웨어 사전방어가 가능하고 안전한 파일 백업, 고성능을 한번에 보유하고 있는 앱체크 랜섬웨어 솔루션을 통합하여 중앙관리 할 수 있는 솔루션이 출시되었습니다. 


AppCheck CMS는 업무용 PC 안티랜섬웨어 AppCheck Pro를 중앙에서 손쉽게 관리할 수 있는 엔드포인트 중앙관리 솔루션으로써 엔드포인트에 보유하고 있는 중요한 자산을 랜섬웨어로부터 보호하고 중앙에서 효율적으로 관리할 수 있습니다.


[AppCheck CMS Cloud 제품 스크린샷]



앱체크 CMS를 통해서 엔드포인트의 랜섬웨어 방어 환경을 구현하고 엔드포인트의 백업을 중앙화 할 수 있는 환경 구현이 가능하며, HTML5 기반의 관리 콘솔로 PC 및 모바일 환경에서도 대응할 수 있습니다. 


[AppCheck CMS Business 제품 스크린샷]


또한, 내부의 보안 정책에 따라서 일괄 적용하고 관리를 할 수 있는 기능을 제공하며, 효과적인 랜섬웨어 대응을 수행 할 수 있습니다.


1. 엔드포인트 중앙관리

엔드포인트 보유하고 있는 중요한 자산을 랜섬웨어로부터 보호하고 중앙에서 효율적으로 관리



2. 모니터링

대시보드, 로그관리, 실시간 랜섬웨어 탐지 정보 제공


3. 리포트

기간별 보고서 및 통계 및 로그를 제공하여 손쉽게 리포트 작성 가능


4. 중앙백업

사용자 PC의 파일을 중앙 서버로 백업하여 보관하는 기능

* 해당 기능은 CMS Enterprise 전용 기능입니다.



AppCheck CMS는 CMS Cloud 와 CMS Business, CMS Enterprise 제품의 3가지가 존재하고 있으며, 그 차이점은 아래와 같습니다.


구분 

운영체제

 클라우드 방식으로 별도의 

셋업 및 자원이 불필요

 CentOS 7 이상

하드디스크

 최소 : 64GB 이상의 여유공간

 권장 : 128GB 이상의 여유공간

메모리

 최소 : 4GB 이상의 메모리

 권장 : 8GB 이상의 메모리

데이터베이스

 My SQL 5.5 이상




앱체크, 랜섬웨어 사전탐지 및 차단 동영상

AppCheck 안티랜섬웨어 제품이 .BTC 파일 확장명으로 암호화를 수행하는 BTCLocker 랜섬웨어 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다. 앱체크의 성능을 직접 확인해 보시기 바랍니다.


- 유포 방식 : 미확인

- 파일 정보(MD5) : d72b941bb16af216d1b1ae28fe4dc8ef

- 대표 진단명 : Trojan/Win32.Locky.R190204 (AhnLab V3), Ransom_PROTOBTC.A (Trend Micro)

- 변경 파일 확장명 : .BTC 

- 랜섬웨어 결제 안내 파일명 : BTC_DECRYPT_FILES.txt 

- 특징 : 오프라인 암호화(Offline Encryption), 명령 프롬프트(cmd.exe) 방식으로 실행되어 파일 암호화 수행


※ 더 많은 랜섬웨어 차단 영상 : https://www.checkmal.com/page/resource/video/



고객사 레퍼런스

앱체크 솔루션은 다양한 기업들에서 채택하여 랜섬웨어를 사전방어하고 중요파일을 안전하게 백업하여 랜섬웨어의 위협에서 안전하게 보호하고 있습니다. 


- 롯데건설

- 국회도서관

- 경희의료원

- 유한양행

- LIS

- (주)효석

- 셀렙

- 한발매스테크(주)

- 주식회사 유니웰

- (주)씽크윈텍

- (유)신한회계법인



기업용 랜섬웨어 솔루션인 앱체크 프로 버전 및 CMS 제품군 도입 및 견적 문의는 아래의 아이마켓코리아 보안담당자에게 연락주시면 상담해드립니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/09   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

방문자 통계

  • 전체 : 366,854
  • 오늘 : 12
  • 어제 : 331
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.