제목

글쓴이

랜섬웨어의 주요 유통 경로는 메일과 불특정계시판을 통해 유포 됩니다.

랜섬웨어가 작동할려면 일단 윈도우라는 운영체제에 의해 로드된후 실행이 돼야 한다는 전제조건이 이루어져야 합니다.
즉 랜섬웨어를 걸리게 하는 파일명이 a.exe 라고 하면 이 파일이 사용자의 엑션에 의해 실행이 돼야.. 동작을 하는 것이죠.

그냥.. 사용자가 아무 행위도 하지 않는데.. 걸리지는 않습니다. 그런 방법이 있다면 전세계에 빅 이슈감이죠.. ㅎㅎ

뭐 버스정류소의 안내화면이 랜섬웨어에 결렸네 하는 뉴스기사를 보며.. 어.. 이거 그냥 인공지능적으로 해서 걸리는거 아냐
많은 사람들이 랜섬웨어 무섭다.. 전지전능 이라고 할수 있지만..

버스정류소의 버스도착안내 시스템도 자세히 따지면.. 운영체제에서 지원하는 웹컨트롤 모듈을 이용해 제작된 소프트웨어 입니다.
즉 버스정류소 도착안내만 되는 전용웹브라우저라고 보면 되죠 ^^

그러면 이 웹브라우저라는 놈은 대부분이 자바라고 하는 스크립트 언어를 지원하는데.. 바로 특정사이트에 자바스크립트로 짜여진 놈이 이식이 돼 있다가.. (일종의 감염된 상태라고 봐야죠..) 이걸 사용자가 클릭을 한다던지 하여 사용자의 웹브라우저로 로딩이 되면 해당 프로그램이 실행되면서.. 요놈이.. 특정 위치에 있는 랜섬웨어 기능을 하는 파일을 다시 사용자의 컴퓨터로 다운로드하여 이것을 사용자 몰래 백그라운드로 실행하여.. 사용자의 pc에 저장된 주요 파일들을 암호화 시키고..
만약 이 사용자의 pc가 다른 컴퓨터에 연결된 정보(공유정보)가 있다면 이 연결된 pc들의 파일들(파워포인트, 엑셀, 워드 문서등등등)도 감염을 시키는 것이죠..

그러니 사용자는 수상한 메일은 즉시 열지말고 지우고.. 웹브라우저로 구글이나 포털에서 검색시 특정 게시판이나 블로그등에
링크된 것들을 클릭시 주의를 하면 거의 99% 이상은 예방이 가능 합니다.

전 윈도우xp sp3 사용하고 있는데요.. 안걸렸고.. 또 저희 회사도 멀쩡 함돠...
물론 회사같은 기업체들은 망분리를 해놓고 있어야겠지요...

그런데 오늘 뉴스기사에서 처럼 버스도착 알림 시스템 같은 장치가 랜섬웨어에 걸렸다는 건..
이 장치가 참조하는 웹서버에 해당 스크립트가 이식된 상태라고 봐야겠죠..

그래서 버스도착 알림 시스템이 동작시 해당 랜섬웨어실행파일을 다운로드 하고 실행시키키는 스크립트 프로그램이 동작돼서
해당 장치가 감염이 된것입니다.

즉.. 이건 해당 서비스를 개발한 업체 또는 해당서비스를 하고 있는 서버를 운영하고 있는 쪽이 해킹에 의해 해당 스크립트파일이 이식이 됐다라고 봐야겠지요.... ^^


랜섬웨어가 작동되는 원리를 간단히 정리하면
-------------------------------------------------------------------
1.특정 사이트 게시판에 누군가가 랜섬웨어를 다운로드하고 실행시키는 스크립트 프로그램을 이식.
2.사용자가 웹브라우저나 메일클라이언트 프로그램(윈도우 라이브 메일, outlook)을 실행하여
웹브라우저에 링크된 특정 부분을 클릭 하거나 첨부된 파일을 실행
3.1차 스크립트 프로그램은 실제 랜섬웨어 기능을 동작하는 파일을 자신이 원격지에 심어놨던 곳에서 다운로드후
실행.
4.해당 랜섬웨어 소프트웨어가 사용자의 pc에 다운로드되고 실행되는데.. 이게 백그라운드로 실행
(화면으로는 안보이고 프로세서 서비스단위로 실행되게끔 되어 있음)
5.해당 랜섬웨어 프로그램이 사용자pc에 저장된 jpb,bmp,pdf, dwg, hwp, ppt, xls 파일등을 암호화 시킴..
6.암호화가 끝났으면 돈을 요구하는 화면을 띄워 사용자 겁박.

이런식으로 동작 함돠...

자세한 설명 감사드립니다.
결론은 제가 이해한대로 뭔가 사용자의 액션이 있어야 컴퓨터바이러스가 작동되는거 맞네요.
전, 대비책으로 네트웍케이블을 분리시켜 부팅시킨후에 블라블라... 글구 다시 연결하라는 설명을 보고서 컴퓨터의 백그라운드 프로세서를 통해 들어오는 줄 알고서 옴마야 이거 큰일이네 하고 심쿵하였습니다^^

    랜선을 뽑으라고 기사에 나온것은 혹시 이미 감염된 것을 전재로.. 내려진 조치에요..
절대.. 사용자의 액션이 없는한 랜섬웨어는 걸리지 않습니다. ^^

제가 컴맹 주제에^^ 태클이 아니라 박진수님 2번 관련해서요,
예전 랜섬웨어는 배너 광고를 클릭해야 걸렸다는데
이번 것은 그냥 광고 해킹된 사이트에만 들어가도 걸린다는 것 같습니다만.

"워나크라이'라는 랜섬웨어는 네트워크 웜을 이용해
첨부 파일을 열지 않아도 인터넷에 연결만 돼 있으면 감염된다고 합니다."

같은 네트워크에 연결만 되면 감염되는 것은 아닌지,
이 내용이 그런 내용이 아닌지,저도 궁금합니다.

    물론 광고 해킹된 사이트 들어가도 걸립니다. 그 광고게시물 않에 해당 스크립트 파일이 있으니까요..

그래서 게시물 주의 하라고 말씀 드린거에욤...

흠. 어쩌면 반은 맞고 반을 아닐 수도 있겠네요. 사실 컴퓨터를 켜고 사용자의 아무런 행위 없이도 램썸웨어에 감염된다는 것은 방화벽 아래단의 사설IP를 사용하는 일반 유저로써는 거의 불가능하지요? 왜냐면 외부의 해커는 사설IP의 피씨가 안보이니까요.
그러나 Drive-by-download라는 기법의 공격은 단지 인터넷 접속만으로도 랜썸웨어에 감염되게 합니다.
피씨를 사용하는 입장에서 웹접속은 하지않을 수 없으니 그런 것 자체가 이미 감염을 유도했다고 봐야하니 능동적 효과를 낸것이라 확대해석 할 수 있습니다. 이 공격에 대한 설명은 아래 url이 제일 쉽게 되어있네요.
http://beatsloth.tistory.com/m/73
다만 이것도 좀 세부적으로 해석을 하면 웹사이트 접속만으로는 피씨를 장악할 수는 없습니다. 피씨에 있는 프로그램상의 버그, 취약점을 이용하여 랜썸웨어 프로새스를 구동시키는 것입니다. 그래서 보안패치는 OS뿐 아니라 한글, Adobe등 최신 패치를 적용해주어야 합니다.
다만 이번 아너크라이 랜썸웨어는 흔히 특별한 세팅이 없는 한 SMB 프로토콜이 활성화되어있는 것을 악용하여 동일 네트워크로 전파하는 것으로 추정됩니다. SMB원격코드취약점으로 아무런 행위없이도 감염이 된다는 건... 같은 네트워크 내에 감염자가 있을 경우 가능한지는 솔직히 모르겠습니다(동작방식을 모르겠군요)

    제가 근무하고 있는 회사에 2년전 랜섬웨어 초기 버전을 조치 해 봤고 작년 같은 경우는
윈도 파일공유로 걸려 있는 컴의 파일까지 감염된 상황을 조치한 경험으로 적은 겁니다.

사용자가 작성한 파일을 암호화 시키는 랜섬웨어도 앱실행파일이고.. 이게 작동하려면 기본적으로 액션이취해저서 운영체제의 로더모듈에의해 메모리에 올려져야 동작을 하지요.

그러면 해당 앱실행파일이 당한사람의 컴까지 유입이 되려면 단순히 랜선을 꼽았다고 해서 실행앱이 컴에 설치될수가 없겟죠. 감염시킬 컴퓨터에서 특정액션 일어나야 하고..
이것은 피싱스크립트 프로그램에 의해 유도되어져 설치가 될수 밖에 없습니다.

즉 단순히 네트워크에 컴퓨터가 연결이 되어 있다고 해서 앱실행 파일이 저절로 복사 될수는 없습니다.

그래서 오늘 관련기사에서 랜선을 뽑으라고 한정부기관의 조치는 이미 해당컴퓨터가 감염됐을 것이라는 전재하에 내려진 조치가 되는 것이지요. 랜섬앱에 의해 공유컴퓨터에 연결된 파일들이 손상되는 것을 막기위한 조치

문제는 사용자의 액션이 있어야 한다는것이 맞지만, 요즘은 홈피 접속만으로 감염될수 있습니다. 다양한 경로로 감염될수 있다는게 변수같습니다. 그리고 더욱 심각한것은 사무용 컴퓨터는 대부분 네트워크로 연결되어 있습니다. 무서운것은 네트워크로 연결된 서브 컴퓨트와 같이 연결된 모든 컴퓨터를 동시에 감염시킵니다.

    이경우는 해당 홈피를 돌리는 서버가 해킹이나 아니면 내부자에 의해 감염이 된 상황이죠.
일예가 바로 뉴스기사 사진처럼 버스도착 안내 장비가 감염된 사레지요. 그건 해당웹서비스를 제공하는 서버가 이미 해킹이나 내부자에 의해 감염된 것이지요.. 그리고 버스도착정보 안내 프로그램이 순수한 네이티브 프로그램이 아닌 MS에서 제공하는 웹컨트롤 모듈을 이용해 처리하고 있다라고 봐야죠. 이경우 해당 버스도착앱은 일종의 이기능만 하는 전용웹브라우저가 되는 샘이죠. 그런데 전 왠지 이 부분을 지켜 보면서 작당모의 하고 벌인 쑈같다는 의구심이 들더군요. 이게 어지간해선 일어날수가 없을텐데 말이죠.

저희 회사는 서버를 두개씩 두고 있습니다만, 네트워크를 타고들어가서 모든 연결된 컴퓨터를 감염시켜 버렸습니다. 밤새 무시무시한 복제 속도로 전 서버의 수십년간 보관한 데이터 파일을 전부 암호화시켜서 잠궈버립니다. 바탕화면에 이틀안에 돈을 입금시키지 않으면 모두 영구히 잠궈버린다는 협박메시지를 남기고 어떤 연락처도 없습니다.

    제말은 해당 앱이 연결된 서버에 엑셀문서나 여타의 문서를 감염시킨 것이지 해당 랜섬웨어 앱이 각컴퓨터를 돌아가며 랜섬웨어 앱 자체를 설치하고 실행할수 없다는것입니다. 즉 이미 이권님네 회사의 누군가는 불특정 메일을 열면서 감염이 됐으며 그 피씨가 그피씨랑 연결된 컴퓨터의 공유 폴더의 파일들을 감염시킨 사레지요. 저희 회사는 15년 전부터 퍼브릭망과 사내망 분리를 했고 각 게이트웨이는 별도의 보안관련 소프트웨어를 돌리고 또 각 개인 피씨는 상용 클라이언트 백신을 돌리고 있지만..
내부자가 특정 사이트를 접속하거나 메일에 의한 유도에 넘어가 사용자가 액션을 취해 랜섬웨어 앱이 실행되는 경우는 걍 무용지물이 되지요. 특히나 해당 랜섬웨어 앱이 보안소프웨어에 의해 검출되지 안는 최신 앱이라면...

저의 회사는 아주 운수가 좋은 케이스 입니다. 사이버 머니로 입금시켰더니 몇시간안에 풀어줬습니다. 그후 대대적으로 네트워크 보안 공사를 했습니다만, 작업자들이 바쁘고 귀찮아서 보안을 원칙대로 지키지 않고 느슨하게 풀어버리면 또 감염될수 있어서 문제입니다. 소비자의 파일을 하루에도 수십번 메일로 받아야 하는 업무 특성상 대단히 신경쓰이는 것이 랜섬웨어입니다.

    혹시 웹메일을 쓰시나요?
웹메일을 쓰시건 ms아웃룩이나 라이브메일을 쓰시건.. 별도의 메일 알림프로그램을 각 사용자 피씨에 설치후 해당 알림프로그램을 통해서 이상메일 여부를 선 확인후 이상시 해당메일 삭제후 왭메일이건 메일클라이언트건 이용하는게 보다 안전합니다.

http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201705151712001&code=970201

이번 워너크라이는 미국 nsa에서 유출된 해킹 기술이 적용된 것이라네요.
nsa에서 안보 목적으로 윈도우 취약점을 연구해서 개발한 해킹 기술인데
해커들이 nsa를 해킹,유출되었는데 이번 워너크라이에 적용된 것이 발견되었다고 합니다.

기사에는 없는데 라디오에서 보안 전문가 말로는 네트워크를 돌아다니며
스스로 변종,공격해서 기존 악성코드들과는 수준이 다르다고 합니다.
기존 것이 재래식 무기이면 이번 것은 크루즈 미사일급이라는 것 같습니다.

    그 보안전문가의 말이 현실이 되려면 컴퓨터 프로그램(줄여서 앱)의 특성상 반드시 해당 컴퓨터의 메모리에 로드가 돼야 프로그램이 실행되는것인데.. 컴퓨터a와 b가 있다고 가정하여 a가 감염됐고(여기서 감염이라는 말은 사용자가 작성한 일반문서파일뿐 아니라 랜섬웨어 앱이 탑재되고 로드돼 실행이 된상태를 의미) b가 감염이 안됐을경우 a컴퓨터는 b컴퓨터가 네트워크 공유서비스를 이용해 공유한 파일들에 한해서만 피해를 주는것이지 b컴퓨터에서 아무런 액션이 취해지지 않은 상황에서 랜섬웨어 앱까지 b컴에 카피해 실행시키는 상황까지 간다는것은 랜섬웨어 감염을 떠나 MS 자체의 존립에 영향을 줄수 있을정도로 심각한 문제입니다.

한마디로 도범님 컴퓨터의 운영체제인 윈도우에는 이미 ms가 사용자 몰래 백도어 프로그램을 설치해
모든 것에 대해 직간접적으로 관여해왔고 관여 할수 있다는것을 의미하며.. 이건 중대한 범죄 행위로 ms는 모든 사용자로 부터 집단소송을 당해 파산은 물론이거니와 해당국가인 미국은 엄청난 외교적 파장에 몰리거나 자칫 전쟁까지 불사하는 데 까지 직면 할수 있기 때문입니다.

한마디로 도범님컴에 원격제어 as프로그램이 이미 설치돼 있다는것을 의미 하는 것입니다. 도범님의 동의 여부와는 상관없이 말이죠..

이러한 조건이 되지 않는한 랜섬웨어 앱이 감염되지 않는 b컴에 랜섬웨어 앱까지 복사해 b컴퓨터에서 실행될수가 절대 없습니다.

미래에 혹시 해커들이 인공지능을 해킹해서,
터미네이터처럼 인류 종말을 가져올 가능성이 있을것도 같네요.

그그게 고대 교수라는 분이였는데 저는 그냥 그런가보다 하고 있다는 것입니다^^

http://www.yonhapnews.co.kr/bulletin/2017/05/16/0200000000AKR20170516030000009.HTML?input=1195m
오늘은 북한 쪽이라는 뉴스도 있네요.

    전지 전능한 북한이에유.. 북한은 못하는게 없군요...

랜섬웨어 하나로 전 세계를 공포의 도가니(?)로 몰아 넣고.. ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ

육.해.공은 물론이와 핵공격 능력에.. ㅎㄷㄷ 한 사이버전 공격까지..

암튼 미친 썅종자 연합 기래기와 교수 새끼 입니다.. ㅉㅉㅉ

그래도 그분야 고대 교수 분인데 신뢰도는 높다고 봅니다.
정치적 의견은 아니였고 문외한이지만 충분히 좋은 의견였던 것 같네요.

그리고 북한 관련설은 믿을만한 외신과 구글,카스퍼스키등에서
나온 것이여서 가능성이 있다고 보고 지켜보는 것이 좋을듯 싶네요.

정권도 바뀌었으니 정치성 조작은 없을겁니다.