윈도우즈 서버 랜섬웨어 백신/보호 솔루션, Appcheck Pro for Windows Server

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.11.24 19:07 / 카테고리 : 랜섬웨어 예방 솔루션



기업 서버도 이제 랜섬웨어의 안전지대가 아닙니다.

최근 랜섬웨어는 개인보다는 확실하게 돈이 되는 기업을 표적으로 삼고 있습니다. 기존에는 기업의 연구소나 업무용 PC에 설치되어 중요 기밀 문서 및 업무 파일을 암호화시켜 회사 내부의 업무를 마비시키는 것으로 피해를 입혔습니다. 


하지만, 최근에는 랜섬웨어의 다양화로 인해 웹서비스를 하는 회사의 서버를 감염시키고 있습니다. 회사의  서버는 특히 정보도 중요하지만 회사가 직접적으로 운영하는 서비스를 마비시키고 복구 불능을 만들어버리기 때문에 피해규모는 상상도 할 수 없습니다.


이러한 맹점을 알기에 서버가 랜섬웨어에 감염된다면, 기존 업무용 PC가 랜섬웨어에 감염되었을 때와는 비교할 수 없을 만큼의 비용을 랜섬웨어 해커에게 지불해야 합니다. 엄청난 인질을 잡히게 된 셈입니다. 


서버 해킹 피해 사례

최근 사례를 보면, 미국에서는 할리우드 장로병원 랜섬웨어 감염사고는 서버가 마비되어 병원의 의료장비와 시스템이 모두 마비되는 결과를 가져왔습니다. 한 보안업체 관계자의 말에 따르면 서버도 이제는 랜섬웨어의 안전지대가 아니며 서버상의 데이터파일, SQL파일, 웹페이지 등의 파일이 오히려 가장 쉽게 공격대상이 될 수 있다고 말하기도 하였습니다. 


러시아 해커그룹은 우리나라 군내 메일서버에 대량의 해킹을 시도하여 랜섬웨어형 해킹 메일 12만 9800여건을 보내는 사건이 있었고 최근 종료된 미국 대선기간 중에서도 러시아 해커들이 미국 공공기관 서버를 해킹하여 랜섬웨어를 유포한 것으로 알려졌습니다. 


국내에서는 6월에 국내 유명 커뮤니티에 서비스되는 광고 서버가 해킹당해 CryptoXXX 랜섬웨어가 유포되어 대량으로 감염되는 사태가 일어났습니다. 웹서비스 서버의 경우 해킹 당하면 불특정 다수를 감염시키고 피해량도 커지게 되는 만큼 기업의 입장에서 배상해야할 금액도 커지게 됩니다.




랜섬웨어의 가장 이상적인 대응방법은 바로 사전방어 입니다. 사전 방어는 랜섬웨어의 동작을 미리 차단하고 방어하기 때문에 가장 이상적인 기술로 알려져 있습니다. 하지만 아직까지는 원천적으로 랜섬웨어를 사전적으로 방어하는 것은 불가능합니다.  그렇기 때문에 백업을 통한 파일의 안전한 보호가 현재 랜섬웨어 대처법에 있어서 가장 유효한 방법입니다.




사전방어와 백업은 상호보완적으로 2중으로 가는 것이 랜섬웨어 대응에 효과적인 방법입니다. 앱체크는 백업의 단점을 보완하고 랜섬웨어를 방어하기 위한 상황인식기반 랜섬웨어 사전 방어 기술이 탑재되어 있습니다.



정상 프로그램과 악성코드를 구분하여면 악성코드만 사용하는 URL, 파일이름, 레지스트리 값, 경로 등의 다양한 식별 콘텐츠를 활용해야 합니다. 기존의 탐지 기술은 기존의 DB 정보를 참조하기 때문에 기존의 데이터에 없는 신종과 변종 랜섬웨어가 출현시에는 탐지가 불가능한 한계가 있습니다. 




앱체크는 상황인식 기반의 탐지기술로써 기존의 데이터베이스 기반의 탐지 기술의 단점이던 변종과 신종 랜섬웨어를 사전에 탐지하고 방어할 수 있습니다. 파일의 변조 시점에 정상적인 변경과 악의적인 변경을 판단하기 때문에 데이터베이스 업데이트 없이도 패턴을 파악하고 신종과 변종 랜섬웨어를 탐지할 수 있는 기술을 가지고 있습니다. 




앱체크에 탑재된 CARB 엔진은 상황인식 랜섬웨어 행위 기반 엔진으로 불리며, 파일이 변경될 시에 확인 할 수 있는 다양한 정보를 통해서 비정상적인, 악의적인 파일 변경을 탐지하여 랜섬웨어 탐지여부를 판별합니다. 



무료버전 출시 이후 많은 사용자들에게 긍정적인 피드백과 그 효과에 대해서 입증하였습니다. 



주요 기능 요약


국내 랜섬웨어 유일 사전 방어

캅(CARB) 엔진을 이용한 랜섬웨어 행위 탐지시 자동으로 악성프로세스 차단 및 훼손된 파일 자동 복구 기능

◈ 상황인식 기반 엔진

◈ 알려지지 않은 랜섬웨어 탐지 및 차단

◈ 훼손된 파일 자동 복구

◈ 결제 안내 파일 자동 삭제


랜섬웨어 대피소 기능

파일 훼손 행위 발생 시 자동으로 랜섬웨어 대피소 백업 폴더에 원본 파일 저장을 통한 데이터 보호 기능 제공

◈ 랜섬웨어 미탐지시 1차 대안

◈ 훼손 전 원본 파일 백업

◈ 훼손되는 파일만 백업 (대용량 디스크 공간 불필요)

◈ 백업 폴더 쓰기 금지 보호기능 (Driver Level)


국내 유일, 공유 폴더 보호 기능

원격지에서 공유된 폴더를 훼손하더라도 탐지 및 보호하는 기능

◈ 상황인식 기반 엔진

 원격지 Host의 접근을 차단

 훼손돤 파일 자동 복구


스케쥴링 자동 백업 기능

주기적으로 지정된 폴더 내의 파일을 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 2중 보호 기능

◈ 랜섬웨어 미탐지시 2차 대안

◈ 주기적인 백업으로 피해 최소화

◈ 유연한 백업 옵션 (확장자 지정 및 외)

◈ 네트워크 공유폴더로 백업 가능 (백업 중앙화)




랜섬웨어 파일 사전탐지 및 복구 동영상 (CryptoMix 랜섬웨어)




하단에 링크를 통해서 더 많은 랜섬웨어 탐지 및 파일 복구 사례를 보실 수 있습니다.

https://www.checkmal.com/page/resource/video/





윈도우즈 서버의 랜섬웨어를 사전 탐지, 방어하고 파일을 안전하게 백업하는 랜섬웨어 토털 솔루션인 AppCheck for Windows Server에 대한 문의는 아래의 아이마켓코리아 IT 담당자에게 연락주시면 친절하게 상담해드립니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

crypz 복구 (CryptXXX 랜섬웨어) 백신, 앱체크 프로

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.10.25 10:04 / 카테고리 : 랜섬웨어 예방 솔루션







AppCheck 안티랜섬웨어 제품이 .crypz 파일 확장명으로 파일을 암호화하는 CryptXXX 랜섬웨어 행위를 차단 및 일부 훼손된 파일을 자동 복원하는 영상입니다.


앱체크 프로 버전(AppCheck Pro)은 explorer.exe 프로세스의 확장명을 더 빠르게 차단하는 기능을 가지고 있습니다.


앱체크 프로 구매 문의 전화 : 02-3708-8254

(기업/기관 대량 구매 문의)



- 유포 방식 : 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염

- 파일 정보 (MD5) : 7a6211b79a64106dedbd30957d8359f3

- 대표 진단명 : Trojan/Win32.CryptXXX.R182894 (AhnLab V3), Win32/Filecoder.CryptProjectXXX.F (ESET)

- 변경 파일 확장명 : .crypz

- 악성 파일 생성 위치 : 임시 폴더(%Temp%) 내의 임의의 위치에 랜덤(Random)한 파일명을 가진 DLL 파일 (암호화 후 재부팅 시 자동 삭제)

- 랜섬웨어 결제 안내 파일명 : !90A75BBB7462.bmp / !90A75BBB7462.html / !90A75BBB7462.txt

- 특징 : 오프라인 암호화(Offline Encryption), DLL 파일 + 시스템 프로세스(rundll32.exe) 방식, 파일 암호화 후 Lock Screen 기능을 통한 윈도우 실행 차단, 작업 관리자(Taskmgr.exe) / 명령 프롬프트(cmd.exe) 실행 차단, 바탕 화면 배경(C:\ProgramData\!90A75BBB7462.bmp) 변경






Crypz, Cryp1 파일 확장명으로 변경하는 랜섬웨어

이미 국내 유명 커뮤니티 사이트인 뽐뿌와 클리앙에서 퍼진 것으로 유명한 Crypz 랜섬웨어는 원래는 Crypt XXX 랜섬웨어라는 이름을 가지고 있으나, 파일 확장명이 .crypz 로 변경되는 특징이 있기에 많이 Crypz 랜섬웨어로 부르고 있습니다.



뽐뿌의 경우에는 보안업데이트가 안되어 있는 Adobe Flash Player와 윈도우, 그리고 익스플로러와 같은 웹 브라우저를 통해서 침투하게 되고 .crypz 확장자로 파일이 변환되어 복구가 불가능해 지는 사고 사례가 있었습니다.



클리앙에서는 크립토락커 Crypt0L0cker 랜섬웨어가 퍼지는 사고가 발생하였으며, 취약점을 이용한 유포가 발생하였습니다. 클리앙의 경우에도 뽐뿌와 같이 다수의 사용자가 많이 이용하는 커뮤니티인 만큼 크 피해규모가 컸습니다. 



지속적으로 업데이트와 변조가 이루어지는 랜섬웨어이기 때문에 사전방어가 어려우며, 감염되면 복구가 불가능하기에 치명적인 랜섬웨어입니다. 


피해범위는 하드디스크, 외장하드, USB드라이브, 네트워크 공유 폴더를 대상으로 하기 때문에 잘못 감염이 되면 회사와 같이 로컬네트워크로 데이터를 공유하는 시스템이라면 피해규모가 엄청나게 늘어나게 됩니다. 


이를 통해서 기업에게 돈을 요구하여, 제한 시간 내에 돈을 지불하지 않으면 돈이 2배로 상승한다는 식의 협박 창을 통해 결제를 유도하는 방식으로 피해를 입히게 됩니다.




특이하게도 악성코드가 파일을 전부 암호화하게 되면 crypz 랜섬웨어는 스스로 실행파일을 삭제하게 되어 더 이상 암호화는 이루어지지 않지만 이미 감염된 파일들은 완전하게 암호화된다는 특성이 있습니다. 


위와 같이 이미 한번 감염된 파일은 암호화되어 복구가 어렵게 되므로 사전에 랜섬웨어를 탐지하고 동작하지 못하게 철저하게 사전 방어하는 것이 중요합니다. 하지만, 수시로 변종과 신종으로 업데이트 되고 있으므로 백신 업체의 DB가 업데이트 되기 전에 신형 랜섬웨어를 접하게 된다면 속수무책으로 당할 수 밖에 없습니다.


백신의 업데이트 없이 신종과 변종의 랜섬웨어를 사전에 방어할 수 있을까요?
앱체크 안티랜섬웨어로 가능합니다.


앱체크는 다양한 파일 암호화 및 악성코드에 의한 파일 훼손 행위만을 탐지하여 사전에 차단하기 때문에 업데이트 없이도 랜섬웨어에 대한 사전 대응 및 방어가 가능합니다. 


앱체크에 적용된 CARB 엔진이 있기에 가능한 일입니다. CARB 엔진은 상황 인식 기반 엔진을 바탕으로 파일의 변조가 의심되는 패턴이 감지되면 랜섬웨어로 간주하고 차단할 수 있습니다.



또한, 랜섬웨어 대피소 기능을 통해서 자동적으로 원본 파일을 쉽게 백업하고 복구할 수 있는 기능을 지원합니다. 앱체크에 의한 자동백업이 이루어지면 아래와 같이 Backup(AppCheck) 폴더가 생성되고 해당 폴더에 자동으로 파일이 백업되기 때문에 안전합니다.


앱체크는 무료버전과 유료버전(프로버전)의 2가지 라이센스가 있습니다. 개인은 무료버전과 유료버전을 선택하여 구매할 수 있으나, 기업과 기관은 반드시 프로버전을 구입해야 합니다.


또한 유료버전에서는 무료버전에 없는 기능인 부팅시 가장 먼저 실행되는 프로그램 보호 및 자동 치료, 자동 백업 등의 추가 기능이 추가 됩니다. 


특히, 자동백업 기능은 주기적으로 지정된 폴더 내의 파일을 파일 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 2중 보호 기능으로써 데이터를 안전하게 보호하는데 최적인 기능입니다. (유료버전만 가능)



앱체크 제품 라이선스 및 기능 차이

무료 버전과 유료 버전이 있으며 기업이나 관공서는 반드시 유료버전을 구매하셔야합니다. 

앱체크 프로 대량 구매 문의 전화 : 02-3708-8254




랜섬웨어 사전 차단 및 백업/복구가 가능한 랜섬웨어 통합 솔루션 앱체크 프로에 대한 도입 문의 및 견적 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다.




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

랜섬웨어ZEPTO, Locky 증상 및 치료 백신과 복구 방법

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.10.20 10:03 / 카테고리 : 랜섬웨어 예방 솔루션



ZEPTO 확장자로 바꾸는 Locky 랜섬웨어 치료법

아이마켓코리아에서 유통하는 랜섬웨어 전문 백신 앱체크를 통해서 ZEPTO랜섬웨어를 차단할 수 있습니다. ZEPTO랜섬웨어의 정확한 명칭은 Locky 랜섬웨어이며 스팸메일을 보내서 첨부된 JS 스크립트 파일을 실행하게 하여 .locky 또는 .zepto 확장자로 변환하고 암호화시키는 랜섬웨어 입니다.



AppCheck 안티랜섬웨어 제품이 (Random 파일명).zepto 형태로 파일 암호화를 수행하는 Locky 랜섬웨어 변종 행위를 차단 및 일부 훼손된 파일을 자동 복원하는 영상입니다.






AppCheck 안티랜섬웨어가 Windows 스크립트 파일(.wsf) 실행 시 .zepto 확장명으로 파일 암호화하는 Locky 랜섬웨어 변종 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.






AppCheck 안티랜섬웨어 제품이 .zepto 파일 확장명으로 암호화하는 Locky 랜섬웨어 변종에 대해 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.




ZEPTO 랜섬웨어 감염 증상

.zepto 확장명으로 파일 암호화를 수행하며 최근 변종된 ZEPTO 랜섬웨어는 아래와 같이 메일 첨부파일에 js파일 확장자 파일을 포함하고 있습니다. 이 파일을 스팸메일로 보냄으로써 실행을 유도하고 파일을 다수 감염시키고 있습니다.



첨부된 ZIP 압축 파일을 다운로드하여 내부의 JS 스크립트 파일을 실행할 경우 "C:\Windows\System32\

WScript.exe" 시스템 파일을 통해 난독화된 코드를 읽어 다음과 같은 외부 서버에서 파일을 자동 다운로드할 수 있습니다.



성공적으로 C&C 서버와의 통신이 이루어질 경우 동영상, 문서, 사진, 압축, 음악 등 중요 개인 파일을 .zepto 파일 확장명으로 변경하여 암호화가 진행됩니다.


암호화된 파일은 .zepto 확장자를 가진 파일로 변경되며 현재까지 Locky 랜섬웨어를 무료로 복구할 수 있는 방법은 존재하지 않습니다.




또한 파일 암호화 과정에서 금전 요구를 위한 랜섬웨어 메시지 파일(_[숫자]_HELP_instructions.html / _HELP_instructions.bmp / _HELP_instructions.html) 생성 및 바탕 화면 배경을 변경합니다.





AppCheck 안티랜섬웨어 제품은 기존의 .locky 확장명으로 암호화하는 Locky 랜섬웨어와 .zepto 확장명으로 암호화하는 Locky 랜섬웨어 변종에 대하여 추가적인 업데이트 없이 암호화 행위 차단 및 일부 훼손된 원본 파일을 자동 복원할 수 있습니다.




앱체크 제품 라이선스 및 기능 차이

무료 버전과 유료 버전이 있으며 기업이나 관공서는 반드시 유료버전을 구매하셔야합니다. 

앱체크 프로 대량 구매 문의 전화 : 02-3708-8254




ZEPTO, LOCKY 랜섬웨어 차단 및 복구가 가능한 앱체크 프로에 대한 도입 문의 및 견적 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다.




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

랜섬웨어 급증, 국내에서 1년간 1,300여건 이상 신고 접수

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.10.18 15:29 / 카테고리 : 랜섬웨어 예방 솔루션



랜섬웨어 1년간 급증, 2016 전반기 피해액 2억 9백만 달러

한국인터넷진흥원에서 제출 받은 자료에 따르면, 2013년 부터 악성코드는 13,000건 이며 2013년에는 1,356건이였지만, 2015년에는 4,426건으로 밝혀져 악성코드의 수량 자체가 3배 이상 증가하고 있는 것으로 나타났습니다. 가장 중요한 것은 그 중에서 랜섬웨어의 경우에는 2015년 770건 이였던 것이 올해 7월 기준으로 벌써 600건이 넘어, 올해 말에는 1,000건은 더 넘을 것으로 예상하고 있습니다.


※ 한국인터넷 진흥원 랜섬웨어 신고 현황 (2015.04월 ~ 2016년 7월)


랜섬웨어는 사용자의 파일을 인질로 삼고 협박을 하여 돈을 받아내는 방식의 악성코드로써 인질의 Ransom과 Software의 합성어로 돈을 목적으로 하기 때문에 기업을 노리고 고의적으로 이를 배포하는 경우가 가장 많습니다. 


그렇기 때문에, 피해를 숨기고자 신고를 하지 않고 돈으로 해결하는 경우가 많아 실제적인 피해 건수는 신고된 내용보다 훨씬 더 많을 것으로 예상하고 있습니다.


기존의 방화벽, IPS, AV, 심지어 가상화 기반의 APT 대응 솔루션이 있다고 해도, 랜섬웨어는 다양한 우회를 통하여 들어오기 때문에 사용자의 파일 및 데이터를 훼손시키기 용이합니다. 그렇기에 업무에 심각한 지장을 초래할 수 있는 무서운 위협입니다.



글로벌로 보면, 실제로 랜섬웨어 공격은 올해 1월부터 하루에 4천번이 넘게 발생했다고 하며, 작년에 비해서 300%가 증가한 무시무시한 수치입니다. 한 글로벌 보안 업체에 따르면 랜섬웨어로 인해서 피해 입은 손실은 2016년도 전반기에만 2억 9백만 달러에 이른다고 말하고 있습니다. 


랜섬웨어를 통해서 혼란을 야기한 후에는 다른 악성코드와 디도스 공격들을 혼합하여 피해를 더 가중시키기도 합니다. 


랜섬웨어 예방을 위해서는 2가지가 가장 중요합니다. 랜섬웨어에 대한 사전 방어와 중요 자료의 백업입니다. 이 2가지만 잘 되어 있다면, 랜섬웨어를 통해 들어온 해커에게 돈을 건네지 않고 랜섬웨어를 예방하거나 피해를 입더라도 잘 보존된 데이터로 복구가 가능합니다.  (실제적으로 백업을 한 기업의 경우에는 랜섬웨어의 복구 성공률이 75%이라는 높은 수치를 보여주고 있었습니다.)



국내 유일의 랜섬웨어 사전방어 및 자동 복구, 백업 통합 솔루션

랜섬웨어 예방의 가장 좋은 방법은 사전탐지 및 방어, 백업입니다. 아이마켓코리아에서 유통하는 랜섬웨어 전용 보안 솔루션인 앱체크 프로(AppCheck Pro)는 이미 많은 일반 사용자에게 검증을 받은 제품의 기업용 버전으로 랜섬웨어 방어에 필요한 필수 기능을 한데 묶었습니다.

가장 중요한 부분은 다른 랜섬웨어의 취약점으로 알려진 신종과 변종 랜섬웨어에 대한 사전탐지 및 방어 부분을 완전 해결한 랜섬웨어 전용 보안 솔루션이라는 것입니다.


현 랜섬웨어 백신의 문제점

1. 실제 랜섬웨어는 전 세계 백신 1~2가지를 제외하고는 미탐지 상태에서 유포되어 탐지가 어려움

2. 기존 백신의 범용적인 행위 탐지는 쉽게 우회되고 지속적인 변종에 대한 방어가 어려움


앱체크는 캅(CARB)엔진을 통해서 랜섬웨어에 대한 탐지 및 차단을 완벽하게 해낼 수 있습니다. CARB 엔진은 파일 변조 상황에서 랜섬웨어에 의한 파일 훼손 여부를 정교하게 인식할 수 있는 독보적인 엔진으로 상황 인식 기반 엔진이라고도 합니다. 


이를 통해서 파일 훼손 행위를 추적 → 탐지 → 차단 → 복구까지 완벽하게 프로세스화 할 수 있는 것입니다.


앱체크 프로는 기존의 시그니처 방식과 행위 기반의 솔루션으로 해결 할 수 없는 다양한 신종/변종 랜섬웨어 위협으로 부터 엔드포인트를 보호하며, 자동 백업과 복구로 데이터를 안전하게 보호합니다.





앱체크 프로의 기능을 간략하게 정리하면 아래와 같습니다.


1. 파일의 암호화 및 훼손 행위를 정교하게 탐지하고 차단

2. 자동복구 및 실시간 백업, 스케쥴 자동백업 및 폴더 보호 기능

3. 상황인식 기반 엔진 탑재를 통한 신종, 변종 랜섬웨어 탐지



2015년 12월 상황 인식 기반 기술로 동작하는 앱체크 (AppCheck 1.0) 제품을 무료로 출시한 이후로 7개월 동안 기술의 안정성과 사업의 가능성을 확인하였습니다. 






앱체크의 가장 큰 장점중 하나인 상황인식 기반 엔진은 3개월 간, 단 한번도 업데이트 없이 신종 랜섬웨어 30개 중에서 27개를 사전 방어하는 놀라운 성능을 보여주었습니다. 





Troldesh 랜섬웨어(.id-[Random].grand_car@aol.com.xtbl) 차단 영상

AppCheck 안티랜섬웨어 제품이 .id-(Random).grand_car@aol.com.xtbl 파일 확장명으로 암호화를 수행하는 Troldesh 랜섬웨어 변종 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다. 


참고로 자동 복원 과정에서 일부 원본 파일이 복원되지 않거나 0 바이트(Byte) 처리되는 경우에는 랜섬웨어 대피소<Backup(AppCheck)>에 백업된 원본 파일을 찾아 직접 복원하시기 바랍니다.




- 유포 방식 : 미확인 파일 정보(MD5) : e83e9cccb333ada83ceb81f93fe9e3b5 

- 대표 진단명 : a variant of Win32/Filecoder.Crysis.H (ESET), Ransom.Troldesh (Malwarebytes) 

- 변경 파일 확장명 : .id-(Random).grand_car@aol.com.xtbl 

- 악성 파일 생성 위치 - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\(Random).exe - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instuctions.txt - C:\Windows\System32\(Random).exe

- 랜섬웨어 결제 안내 파일명 : Decryption instructions.jpg / Decryption instuctions.txt 

- 특징 : 오프라인 암호화(Offline Encryption), CrySis 랜섬웨어 계열, 바탕 화면 배경(C:\Users\%UserName%\Decryption instructions.jpg) 변경



랜섬웨어 통합 보안 솔루션인 앱체크 프로에 대한 도입 문의 및 견적 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다.




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

케르베르 (Cerber) 랜섬웨어 변종 치료 백신 동영상

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.10.10 18:09 / 카테고리 : 랜섬웨어 예방 솔루션



케르베르(Cerber) 랜섬웨어 변종 출현

2016년 3월에 처음 등장하고 유명해진 랜섬웨어인 케르베르 랜섬웨어(Cerber Ransomware)의 변종이 나타났습니다. 




이번에 발견된 변종 Cerber 랜섬웨어는 파일을 암호화 한후에 텍스트 음성 변환(TTS) 기능을 활용하여 여성의 목소리로 암호화 사실을 출력하는 특징을 지닌 랜섬웨어로써 별명이 '말하는 랜섬웨어'라고 알려져 있습니다. 


우선적으로 기존에 유포된 Cerber 랜섬웨어는 총 3종의 암호화된 파일 패턴을 가지고, 스팸 메일에 첨부된 스크립트 파일 또는 웹사이트 접속 시에 취약점을 공격하는 방식으로 감염하는 특징을 가지고 있었습니다. 


하지만, 최근에는 10월에 접어든 이후부터 4자리의 랜덤한 확장명 패턴으로 파일을 암호화하는 변종으로 진화하였습니다. 해당 방식으로 최초 감염이 이루어지게 되면 디도스(DDoS) 공격을 시도하는 것으로 알려져 있습니다. 


이후에는 특정 명령어를 통해서 시스템 복원을 하지 못하도록 파일을 삭제처리 한 후에 프라인 암호화 형태로 파일 암호화를 수행하는 것으로 나타났습니다. 


랜섬웨어의 파일 암호화가 완료 되면, 바탕화면 배경 그림을 강제로 변경하고 TTS (텍스트 음성 변환) 기능을 이용해서 암호화 사실을 음성으로 알려주게 됩니다. 



[이미지 출처 : 울지 않는 벌새 블로그 : http://hummingbird.tistory.com/6477]



다행스럽게도 한글 워드문서(*.hwp)가 암호화 타겟이 아니기 때문에 우리나라를 집중적으로 타겟한 랜섬웨어는 아닌 것으로 판명 되었습니다.


이러한 신종과 변종 랜섬웨어는 기존 시그니처 방식 랜섬웨어 백신& 솔루션으로를 막을 수 없습니다!




변종 랜섬웨어 탐지, 차단, 백업 통합 솔루션 "Appcheck"

아이마켓코리아에서 유통하는 랜섬웨어 통합 보안 솔루션인 앱체크는 엔진의 업데이트 없이 변종 및 신종 랜섬웨어를 탐지하고 차단하며, 고객의 소중한 파일은 백업하는 기능을 전부 포함하고 있습니다. 





Cerber 랜섬웨어([Random 파일명].[4자리 Random 확장명]) 차단 영상

AppCheck 안티랜섬웨어 제품이 (Random 파일명).(4자리 Random 확장명) 파일 형태로 암호화를 수행하는 Cerber 랜섬웨어 변종 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.



  • 유포 방식 : 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염

  • 파일 정보(MD5) : 7c2c729c1ce1edb4ffc094da20440997

  • 대표 진단명 : Ransomer.LZF (AVG), Win32/Filecoder.Cerber.B (ESET)

  • 변경 파일 확장명 : (Random 파일명).(4자리 Random 확장명) (※ 예시 : .8ce2 / .9ca1 / .ba99)

  • 랜섬웨어 결제 안내 파일명 : README.hta

  • 특징 : 오프라인 암호화(Offline Encryption), 31.184.234.0 ~ 31.184.234.255 / 31.184.235.0 ~ 31.184.235.255 UDP 통신, 텍스트 음성 변환(TTS) 기능을 이용한 암호화 안내, 바탕 화면 배경(C:\Users\%UserName%\AppData\Local\Temp\tmp[Random].bmp) 변경



이는 상황인식 기반의 랜섬웨어 탐지 기술 기반의 캅(CARB)엔진을 탑재하였기 때문에 가능한 일입니다. 

실제적으로 자체 테스트 결과, CARB 엔진은 3개월간 업데이트가 없이 30종의 신종 랜섬웨어 중 27개를 사전 방어에 성공하여 90%의 사전 방어율을 보여주고 있었습니다. 





타사의 랜섬웨어 솔루션은 시그니쳐 방식을 기반으로 하고 있으며, 시그니쳐 방식은 엔진 업데이트를 통해서 신종과 변종을 구별할 수 있는 구조입니다. 위 실험의 결과롤 볼때, 타 랜섬웨어 솔루션이 앱체크와 같은 성능을 보여주려면 엔진 업데이트를 400회 이상 진행해야 합니다. 


상황 인식 기반 랜섬웨어 탐지 기술은 랜섬웨어의 소스를 분석하여 탐지하는 것이 아니고, 파일의 변조 시점에 정상적인 변경과 악의적인 변경을 판단하여 랜섬웨어의 침입 여부를 판단합니다. 이런 구조로 인해서 별도의 업데이트가 반드시 필요한 시그니쳐 방식의 랜섬웨어와는 달리 업데이트 없이도 신종과 변종의 랜섬웨어를 탐지할 수 있는 것입니다. 



파일은 기본적으로 아래와 같은 구조로 되어 있습니다. 파일 헤더의 변경 부분과 파일 본문의 구조, 그리고 파일 업데이트 및 이름 변경 등의 다양한 감시 포인트가 존재합니다. 


CARB 엔진의 상황 인식 기반 탐지 기술은 이 세부적인 요소들을 집중적으로 감시하여 랜섬웨어의 존재여부를 탐지하기 때문에 더 정확하고 신종/변종을 가리지 않는 것입니다. 




앱체크 (AppCheck)는 상황 인식 기반의 행위 탐지 기술로 파일 변조 시점의 상황을 판단하여 전후 시점을 파악하기 때문에 기존의 솔루션에서 불가능하였던 파일의 변화를 실시간으로 분석하는 기술로 알려지지 않는 랜섬웨어의 탐지가 가능합니다.


그리고, 일반적으로 많이 사용하는 컴퓨터 바이러스 백신, APT 방어 솔루션, 백업 및 복구 솔루션과 파일 서버, 문서 중앙화 솔루션이 하지 못하는 대부분의 기능을 소화하고 있습니다. 




랜섬웨어 통합 보안 솔루션인 앱체크 프로에 대한 도입 문의 및 견적 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다.

invalid-file




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

랜섬웨어 통합 보안 솔루션 앱체크 프로(Appcheck Pro) 소개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.09.28 10:23 / 카테고리 : 랜섬웨어 예방 솔루션



앱체크 프로는?

1. 국내 유일의 랜섬웨어 사전방어 / 자동복구 / 백업 기능을 통합한 솔루션입니다.

2. 파일 훼손 행위를 추적 → 탐지 → 차단 → 복구 완벽 프로세스를 지원합니다. 

3. 독보적 상황 인식 기반의 "CARB" 엔진을 적용하였습니다.



AppCheck Pro 특장점

상황 인식 기반 엔진을 바탕으로 고도화된 랜섬웨어 위협에 노출되어 있는 지적 자산 및 데이터를 안전하게 보호하는데 필요한 종합적인 기능을 제공하는 랜섬웨어 대응 솔루션입니다.



Appcheck Pro 온라인 카탈로그 다운로드

엡체크 프로 아이마켓 160906.pdf







주요 기능 소개

1. 랜섬웨어 사전 방어

- CARB 엔진을 이용한 랜섬웨어 행위 탐지 시 자동으로 악성 프로세스 차단 및 웨손된 파일 자동 복구 기능

2. 랜섬웨어 대피소

- 파일 훼손 행위 발생시에 자동으로 랜섬웨어 대피소에 있는 백업 폴더에 원본 파일 저장을 통한 데이터 보호 기능

3. 랜섬웨어 차단 후 자동 치료

- 랜섬웨어 행위 탐지를 통해 차단 및 생성된 관련 파일에 대한 선별적 자동 치료(삭제) 기능

4. 로그 정보 세분화

- 시스템 검사 결과, 검역소, 위협 로그,일반 로그 세분화 및 세부적인 복원/제거 로그 제고

5. 자동 백업

- 주기적으로 지정된 폴더 내의 파일을 파일 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 2중 보호 기능

6. 폴더 보호

- 랜섬웨어 대피소와 자동 백업 폴더에 저장된 파일에 대한 변경 및 삭제를 원천 차단하는 폴더 보호 기능



도입 효과

1. 급격히 진화하는 랜섬웨어 위협에 국내 유일의 사전 방어 기술을 탑재하여 랜섬웨어 위협으로부터 소중한 디지털 자산을 보호

2. 시그니처 기반 제품이 아닌 프로세스 기반 제품으로 다양한 공격에 능동적 대응 및 복구 기능

3. 사전 방어에서 자동 백업까지 통합된 SW 방식으로 가장 저렴하게 구축 가능

4. 최적화된 드라이버로 동작하여 리소스 소모가 적고 저사양 하드웨어 환경에서도 적용 및 운용 가능

5. 제품 설치 파일의 경량화 및 패턴 업데이트가 필요하지 않아 대규모 배포, 설치, 적용이 쉬움

6. 백신 등 각종 보안 제품과 충돌 없이 상호 보완적으로 보안 강화가 가능

7. 주요 데이터 및 폴더에 대한 보호와 더불어 자동 백업 및 복구 가능

8. 멀티 엔진 적용으로 각종 보안 위협에 유연하고 강화된 대응 가능




랜섬웨어란?

기존의 방화벽, IPS, AV, 심지어 가상화 기반의 APT 대응 솔루션도 다양한 탐지 우회를 통하여 사용자의 파일 및 데이터를 훼손시켜 업무/비업무에 심각한 지장을 초대하는 고도화된 보안 위협입니다. 





캅 엔진이란?

시그니쳐/단순 행위 기반의 솔루션으로는 랜섬웨어와 같은 고도화된 다양한 보안 위협으로부터 시스템을 보호한다는 것은 현실적으로 불가능합니다. 


1. 실제 랜섬웨어는 전 세계 백신 1~2가지를 제외하고는 미탐지 상태에서 유포됨 (Virustotal 기준)

2. 기존 백신의 범용적인 행위 탐지는 쉽게 우회되고 지속적인 변종에 대한 방어가 어려움


캅(CARB) 엔진은 이러한 문제점이 존재하는 시그니처/단순 행위 기반의 탐지 방식이 아닌, 파일 변조 상황에서 랜섬웨어에 의한 파일 훼손 여부를 정교하게 인식할 수 있도록 제작된 독보적 엔진입니다.




동작 방식

다양한 파일 암호화 및 훼손 행위만을 단계별로 추적하여 정교하게 탐지 및 차단, 자동 복구 기능을 제공하며, 특히 타 솔루션과는 차별적으로 안전한 데이터 보호를 위한 실시간 백업, 스케쥴 자동 백업 및 폴더 보호 기능을 통합하여 최고 수준의 통합 랜섬웨어 솔루션으로 고객의 자산을 보호합니다. 




캅 엔진 특장점



랜섬웨어 통합 보안 솔루션인 앱체크 프로에 대한 도입 문의 및 견적 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다.


엡체크 프로 아이마켓 160906.pdf




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

기업 랜섬웨어 복구툴 - 앱체크 안티랜섬웨어 (아이마켓코리아)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.09.22 18:56 / 카테고리 : 랜섬웨어 예방 솔루션



랜섬웨어 피해 급증, 기업 표적형 APT 형태로 진화

최근 시스코가 내놓은 보안 위협 동향 보고서인 "Cisco 2016 Midyear Cyber Security Report"에 따르면, 랜섬웨어는 수익 극대화를 위해 다양한 변종을 내놓으면서 진화하는 것으로 나타났습니다. 취약한 보안 인프라와 허술한 네트워크와 탐지 솔루션의 부재 및 노후화로 인해서 신종, 변종 랜섬웨어에 대응하는 것이 가장 힘들다고 조사되었습니다.


랜섬웨어는 목적이 돈을 얻어내는 것이기에 가장 효과적인 공격 방법을 택하며, 다양한 변종으로 인해 대응이 어려운 것이 특징입니다. 랜섬웨어 방어에 있어서 가장 효과적인 방법은 자료 백업, 랜섬웨어 변종에 대한 사전탐지 및 대응입니다. 


최근에는 업종과 지역을 불문하고 공격을 가하기 때문에 표적 대상이 광범위 할 뿐더러, 아예 기업을 노리고 전문적으로 활동하는 랜섬웨어도 있습니다. 특히 지능형, 표적형으로 진화한 APT 공격으로 대상을 확보하고 랜섬웨어 악성코드를 투입함으로써 개인정보와 민감한 기밀이 많은 기업을 대상으로 하는 표적형 랜섬웨어 범죄가 급증하고 있습니다. 


[랜섬웨어 테슬라크립트 감염시 나타나는 페이지]


글로벌 보안업체 시만텍에 따르면 랜섬웨어 감염의 43%가 기업입니다. 랜섬웨어 공격으로 요구하는 몸값도 올 상반기 기준으로 약 77만원까지 올랐습니다. 2015년, 국내에서 일어난 랜섬웨어 공격이 총 4천 400건 에 달해서 더 이상 대한민국도 랜섬웨어 안전지대가 아닙니다.


예전에는 기술을 과시하려던 10대 들의 해킹, 랜섬웨어 범죄가 많았지만 최근에는 80%의 해커는 범죄조직과 협력하여 조직적으로 움직이는 기업형 조직이고, 사이버 조직 범죄 유형의 40%는 이미 35살 이상의 성인이 저지르는 것으로 조사되었습니다. 




랜섬웨어 변종 탐지/방어, 실시간 파일 백업 - 앱체크

아이마켓코리아에서는 별도의 DB 업데이트 없이 "상황 인식 기반 행위 탐지 기술"을 통해서 랜섬웨어 변종을 탐지하고 방어하는 안티랜섬웨어 툴인 앱체크 안티랜섬웨어를 판매하고 있습니다. 



랜섬웨어 백신에서 가장 중요한 것은 바로 탐지 능력입니다. 특히 변종이 많은 랜섬웨어의 경우에는 수시로 DB 업데이트를 할 수 없기 때문에 DB 업데이트로 변종을 탐지하기란 불가능에 가깝습니다. 또한, 기존 방식의 랜섬웨어 솔루션은 신종 랜섬웨어에 대한 방어가 불가능합니다.


앱체크 프로는 상황 인식 기반 행위 탐지 기술을 통해 변종은 물론, 알려지지 않은 신종 랜섬웨어까지 탐지가 가능합니다. 


랜섬웨어 사전 방어 뿐만아니라 기업의 중요한 데이터를 자동 백업하여 보호하는 자동 복구 및 자동 백업 기술을 지원합니다. 이를 통해서 어떠한 상황에서도 완벽하게 데이터를 보호할 수 있습니다. 



앱체크 프로 - 랜섬웨어 탐지 및 차단 영상


 




3개월 간 업데이트 없이 신종 랜섬웨어 90% 이상 탐지!

앱체크는 3개월간 단 한번의 업데이트 없이신종 랜섬웨어 30개 중에서 27개의 사전 방어에 성공 90%)하였습니다. 기존의 랜섬웨어 백신은 시그니쳐 방식으로 해당 시그니쳐 방식의 백신은 3개월간 업데이트 없이 단한건의 신종 랜섬웨어를 탐지하지 못하였습니다. 

시그니쳐 기반의 랜섬웨어 백신으로 앱체크 랜섬웨어의 탐지 성능을 따라잡으려면 DB 업데이트를 약 400회 이상 진행하여야 합니다.





주요 특징 정리

1. 랜섬웨어 사전 방어 및 자동 복구
상황 인식 기반 랜섬웨어 행위 탐지 기술을 이용한 정교한 사전 방어와 자동 복구를 동시에 제공합니다.


2. 랜섬웨어 대피소

파일 훼손 시 자동백업을 수행하여 더욱 안전하게 원본 파일을 보호하는 기능을 지원합니다.


3. 자동 백업 및 폴더 보호

파일 히스토리 방식의 데이터 자동 백업을 통해 추가 보호 및 안전한 폴더 보호를 지원합니다.





엡체크 프로의 랜섬웨어 사전 탐지 원리


앱체크의 상황 인식 기반 랜섬웨어 탐지 기술은 기존 방식처럼 랜섬웨어 콘텐츠를 보는 것이 아니고 파일의 변조 시점에 정상적 변경과 악의적 변경을 판단하기 때문에 별도의 업데이트 없이도 신종 랜섬웨어의 사전 탐지가 가능합니다.


이를 가능 하게 하는 것은 바로 CARB 엔진(Context Awareness Ransomware Behavior detection engine : 상황인식 랜섬웨어 행위 기반 엔진)입니다. 


파일이 변경될 때, 확인 할 수 있는 정보는 생각보다 다양하고 많습니다. 앱체크 프로는 이를 추적하고 관리하여 정상적인 파일의 변경과 비정상적인 파일의 변경 구분이 가능합니다. 이를 통해, 랜섬웨어의 악의적인 파일 변조 기능으로 소중한 파일이 손상되는 것을 방지합니다. 









앱체크 프로는 타 랜섬웨어 백신과 비교시 다양한 기능을 지원합니다.





시스템 부하 테스트 


앱체크 프로는 벤치마킹 툴인 PCMark7을 이용한 시스템 부하 측정시에도 시스템 영향이 가장 적은 것으로 나타나 앱체크의 CARB 엔진의 우수성을 보여주었습니다. 아래의 표시에 확인이 가능하며 가장 높은 점수를 보여주는 것이 시스템의 부하가 적은 상태입니다. 




앱체크 프로 특장점 요약

1. 국내 유일 랜섬웨어 사전 방어 솔루션

- CARB 엔진을 이용하여 탐지시 자동으로 악성 프로세스 차단 및 훼손된 파일 자동 복구 기능 지원


2. 랜섬웨어 대피소

- 파일 훼손 발생 시 자동으로 랜섬웨어 대피소 백업 폴더에 원본 파일 저장을 통한 데이터 보호 기능


3. 자동 백업 

- 주기적으로 지정된 폴더 내의 파일을 파일 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 이중보호 기능


4. 자동 치료

- 랜섬웨어 행위 탐지를 통해서 차단 및 생성된 관련 파일에 대한 선별적인 자동치료 (삭제) 기능


5. 폴더 보호

- 랜섬웨어 대피소와 자동 백업 폴더 내에 저장된 파일에 대한 변경 및 삭제를 원천 차단하는 폴더 보호 기능


6. 상세 내역

- 시스템 검사 결과, 검역소, 위협 로그, 일반 로그 세분화 및 세부적인 복원/제거 로그 제공



상황 인식 기반 랜섬웨어 보안 솔루션인 앱체크 프로버전의 견적 및 프로모션 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다. 



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090







AppCheck Pro 영업 파트너 문의02-3708-8254로 연락주시기 바랍니다.

Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/09   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

방문자 통계

  • 전체 : 366,405
  • 오늘 : 242
  • 어제 : 350
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.