WannaCry 랜섬웨어에 대한 Kaspersky Lab

카스퍼스키랩 전문가들은 지난 5월 12일 전 세계 기업들이 접한 '워너크라이(WannaCry)' 랜섬웨어 감염 정보를 분석했다.

카스퍼스키랩 전문가들은 지난 5월 12일 전 세계 기업들이 접한 '워너크라이(WannaCry)' 랜섬웨어 감염 정보를 분석했다. 분석 결과, 공격은 잘 알려진 Microsoft Security Bulletin MS17-010 네트워크 취약점을 통해 발생한 것으로 나타났습니다. 그런 다음 감염된 시스템에 루트킷이 설치되어 사이버 범죄자들이 암호화 프로그램을 시작했습니다.

모든 Kaspersky Lab 솔루션은 이 공격에 사용된 이 악성코드를 다음과 같은 판정으로 탐지합니다.

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic(이 맬웨어를 탐지하려면 시스템 모니터 구성 요소를 활성화해야 함)

데이터를 복호화하기 위해 공격자는 비트코인 ​​암호화폐로 600달러의 몸값을 요구합니다. 현재까지 카스퍼스키 랩은 전 세계 74개국에서 약 45,000건의 공격 시도를 기록했습니다. 러시아에서 가장 많은 감염 시도가 관찰됩니다.

파일이 암호화되어 있으면 인터넷에서 제공되거나 이메일로 수신된 암호 해독 도구를 사용하는 것이 절대적으로 불가능합니다. 파일은 강력한 암호화 알고리즘으로 암호화되어 복호화할 수 없으며, 다운로드한 유틸리티는 잠재적으로 악의적이며 전염병의 새로운 물결을 목표로 하기 때문에 컴퓨터와 조직 전체의 컴퓨터에 더 큰 피해를 줄 수 있습니다.

컴퓨터가 감염된 것을 발견하면 컴퓨터를 끄고 부서에 연락해야 합니다. 정보 보안추가 지침을 위해.

• 설치공식 패치마이크로소프트 , 공격에 사용된 취약점을 닫습니다(특히, 업데이트는 이미 버전에 사용할 수 있습니다.창XP그리고창2003);
• 네트워크의 모든 노드에서 보안 솔루션이 활성화되어 있는지 확인하십시오.
• Kaspersky Lab 보안 솔루션을 사용하는 경우 해당 버전에 시스템 모니터 구성 요소가 포함되어 있고 활성화되어 있는지 확인하십시오.
• Kaspersky Lab 보안 솔루션의 중요 영역에 대한 검사 작업을 실행하여 탐지 감염 가능성가능한 한 빨리(그렇지 않으면 24시간 이내에 자동으로 감지됩니다)
• Trojan.Win64.EquationDrug.gen을 탐지한 후 시스템을 재부팅하십시오.
• 앞으로 이러한 사고를 방지하기 위해 위협 정보 서비스를 사용하여 가장 위험한 표적 공격 및 가능한 감염에 대한 데이터를 적시에 받을 수 있습니다.

WannaCry 공격에 대한 자세한 내용은 Kaspersky Lab 보고서를 참조하십시오.

수십 년 동안 사이버 범죄자들은 ​​취약점과 취약점을 성공적으로 악용했습니다. 월드 와이드 웹... 그러나 최근 몇 년 동안 공격 횟수와 비율이 증가했습니다. 공격자는 더욱 위험해지고 있으며 악성 코드는 이전에 볼 수 없었던 속도로 확산되고 있습니다.

소개

우리는 2017년에 놀라운 도약을 하여 전 세계 수천 개의 조직에 피해를 입힌 랜섬웨어에 대해 이야기하고 있습니다. 예를 들어, 호주에서는 WannaCry 및 NotPetya와 같은 랜섬웨어 공격이 정부의 우려를 불러일으키기까지 했습니다.

올해 랜섬웨어 "성공"을 요약하기 위해 가장 위험하고 가장 피해를 주는 조직 10곳을 살펴보겠습니다. 바라건대 내년에는 우리가 교훈을 얻고 이러한 종류의 문제가 우리 네트워크에 들어가는 것을 방지할 수 있기를 바랍니다.

NotPetya

랜섬웨어 공격은 우크라이나에서 금지된 1C를 대체한 우크라이나 회계 소프트웨어 M.E.Doc에서 시작되었습니다. 불과 며칠 만에 NotPetya는 100개 이상의 국가에서 수십만 대의 컴퓨터를 감염시켰습니다. 이 악성코드는 NotPetya 공격이 WannaCry 공격과 동일한 익스플로잇을 사용한 것을 제외하고는 이전 Petya 랜섬웨어의 변종입니다.

확산되면서 NotPetya는 전체 IT 시스템을 일시적으로 폐쇄해야 했던 태즈메이니아의 Cadbury 초콜릿 공장과 같은 호주의 여러 조직에 영향을 미쳤습니다. 랜섬웨어는 또한 최대 3억 달러의 수익을 잃은 것으로 알려진 Maersk 소유의 세계 최대 컨테이너 선박에 침투하는 데 성공했습니다.

울고 싶다

규모면에서 무시무시한 이 랜섬웨어는 사실상 전 세계를 장악했습니다. 이 공격은 악명 높은 EternalBlue 익스플로잇을 사용하여 Microsoft SMB(서버 메시지 블록) 프로토콜의 취약점을 악용했습니다.

WannaCry는 첫날에만 150개국 200,000대 이상의 시스템에서 피해자를 감염시켰습니다. 우리는 이 선정적인 맬웨어를 게시했습니다.

록키

Locky는 2016년에 가장 인기 있는 랜섬웨어였지만 2017년에도 계속 작동했습니다. Diablo 및 Lukitus라고 불리는 Locky의 새로운 변종이 올해 등장했으며 동일한 피싱 벡터를 사용하여 익스플로잇을 표적으로 삼았습니다.

Locky는 Australian Post 이메일 스캔들의 배후에 있었습니다. 호주 경쟁 및 소비자 보호 위원회(Australian Competition and Consumer Protection Commission)에 따르면 이 사기로 인해 시민들은 8만 달러 이상을 잃었습니다.

크라이시스

이 인스턴스는 RDP(원격 데스크톱 프로토콜)를 능숙하게 사용하는 데 탁월했습니다. RDP는 사이버 범죄자가 전체 조직을 제어하는 ​​시스템을 손상시킬 수 있으므로 가장 널리 사용되는 랜섬웨어 배포 방법 중 하나입니다.

CrySis 피해자는 파일 복구를 위해 455~1,022달러를 지불해야 했습니다.

네무코드

Nemucod는 배송 인보이스처럼 보이는 피싱 이메일을 사용하여 유포됩니다. 이 랜섬웨어는 손상된 웹사이트에 저장된 악성 파일을 다운로드합니다.

피싱 이메일 측면에서 Nemucod는 Locky에 이어 두 번째입니다.

재프

Jaff는 Locky와 유사하며 유사한 기술을 사용합니다. 이 랜섬웨어는 파일을 배포하거나 암호화하는 원래 방법으로 볼 때 눈에 띄지 않지만 가장 성공적인 사례를 결합합니다.

그 배후의 공격자들은 암호화된 파일에 액세스하기 위해 최대 3,700달러를 요구했습니다.

스포라

이러한 유형의 랜섬웨어를 확산하기 위해 사이버 범죄자는 합법적인 사이트에 JavaScript 코드를 추가하여 해킹합니다. 이러한 사이트를 방문하는 사용자에게는 업데이트하라는 팝업 경고가 표시됩니다. 크롬 브라우저사이트 탐색을 계속하려면 이른바 크롬 폰트팩(Chrome Font Pack)을 다운로드한 후 사용자들은 스포라에 감염됐다.

케르베르

Cerber가 사용하는 많은 공격 벡터 중 하나는 RaaS(Ransomware-as-a-Service)입니다. 이 계획에 따르면 사이버 범죄자는 트로이 목마 배포 비용을 지불하고 이를 위해 받은 돈의 일정 비율을 약속합니다. 이 "서비스"를 통해 사이버 범죄자는 랜섬웨어를 보낸 다음 다른 공격자에게 배포할 도구를 제공할 수 있습니다.

크립토믹스

다크 웹 내에서 사용할 수 있는 특정 유형의 결제 포털이 없는 몇 안 되는 랜섬웨어 중 하나입니다. 영향을 받는 사용자는 사이버 범죄자가 지침을 이메일로 보낼 때까지 기다려야 합니다.

크립토믹스 피해자는 29개국 사용자로 최대 3000달러를 지불해야 했다.

실톱

2016년에 활동을 시작한 목록의 또 다른 맬웨어. Jigsaw는 Saw 영화 시리즈의 광대 이미지를 스팸 이메일에 삽입합니다. 랜섬웨어는 사용자가 이미지를 클릭하는 즉시 파일을 암호화할 뿐만 아니라 사용자가 150달러 규모의 랜섬머니를 지불하는 데 시간이 너무 오래 걸리는 경우 파일을 삭제합니다.

결론

보시다시피, 최신 위협은 잘 보호된 네트워크에 대해 점점 더 정교한 익스플로잇을 사용합니다. 직원의 인식을 높이면 감염의 영향에 대처하는 데 도움이 될 수 있지만 기업은 스스로를 보호하기 위해 기본적인 사이버 보안 표준을 넘어서야 합니다. 오늘날의 위협을 방어하려면 위협의 동작과 컨텍스트를 이해하는 것을 포함하는 학습 엔진을 기반으로 하는 실시간 분석 기능을 활용하는 사전 예방적 접근 방식이 필요합니다.

활성화되면 모든 항목을 암호화하는 악성 프로그램입니다. 개인 파일문서, 사진 등과 같은 수량 유사한 프로그램매우 크고 매일 증가합니다. 최근에야 수십 가지 암호화 옵션을 접했습니다: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff 등. 이러한 랜섬웨어 바이러스의 목적은 사용자가 암호를 해독하는 데 필요한 프로그램과 키를 종종 많은 돈을 들여 구매하도록 하는 것입니다. 자신의 파일.

물론 바이러스 제작자가 감염된 컴퓨터에 남긴 지침에 따라 암호화된 파일을 복원할 수 있습니다. 그러나 대부분의 경우 암호 해독 비용이 매우 중요하므로 일부 랜섬웨어 바이러스는 나중에 암호를 해독하는 것이 불가능한 방식으로 파일을 암호화한다는 점도 알아야 합니다. 물론 자신의 파일을 복구하기 위해 비용을 지불하는 것은 답답합니다.

아래에서는 랜섬웨어 바이러스, 피해자의 컴퓨터에 침투하는 방법, 랜섬웨어 바이러스를 제거하고 암호화된 파일을 복원하는 방법에 대해 자세히 설명합니다.

랜섬웨어 바이러스가 컴퓨터에 침투하는 방법

랜섬웨어 바이러스는 일반적으로 이메일... 편지에는 감염된 문서가 포함되어 있습니다. 이러한 이메일은 이메일 주소의 거대한 데이터베이스로 전송됩니다. 이 바이러스의 작성자는 사용자가 편지에 첨부된 문서를 열도록 속이기 위해 오해의 소지가 있는 머리글과 편지 내용을 사용합니다. 일부 편지는 청구서를 지불해야 할 필요성에 대해 알려주고, 다른 편지는 최신 가격표를 보겠다고 제안하고, 다른 편지는 재미있는 사진을 열도록 제안합니다. 어쨌든 첨부 파일을 열면 컴퓨터가 암호화 바이러스에 감염됩니다.

랜섬웨어 바이러스란?

랜섬웨어 바이러스는 Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10과 같은 최신 버전의 Windows 운영 체제를 감염시키는 악성 프로그램입니다. 이러한 바이러스는 가능한 한 가장 강력한 암호화 모드(예: RSA-2048)를 사용하려고 시도합니다. 키 길이가 2048비트인 경우 직접 파일을 해독하기 위한 키를 선택할 가능성이 사실상 배제됩니다.

컴퓨터를 감염시키는 동안 랜섬웨어 바이러스는 % APPDATA% 시스템 디렉터리를 사용하여 자체 파일을 저장합니다. 컴퓨터가 켜질 때 자동으로 시작하기 위해 랜섬웨어는 다음 항목을 생성합니다. 윈도우 레지스트리: HKCU \ 소프트웨어 \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

바이러스는 시작 직후 네트워크를 포함하여 사용 가능한 모든 드라이브를 검사하고 클라우드 스토리지암호화할 파일을 정의합니다. 랜섬웨어 바이러스는 파일 이름 확장자를 암호화할 파일 그룹을 결정하는 방법으로 사용합니다. 다음과 같은 일반적인 파일을 포함하여 거의 모든 유형의 파일이 암호화됩니다.

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, 지갑, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

파일이 암호화된 직후 파일은 랜섬웨어의 이름이나 유형을 식별하는 데 자주 사용할 수 있는 새 확장자를 받습니다. 이러한 악성 프로그램의 일부 유형은 암호화된 파일의 이름을 변경할 수도 있습니다. 그런 다음 바이러스는 HELP_YOUR_FILES, README와 같은 이름을 가진 텍스트 문서를 생성합니다. 이 문서에는 암호화된 파일의 암호 해독 지침이 포함되어 있습니다.

작동하는 동안 랜섬웨어 바이러스는 SVC 시스템(섀도 파일 복사본)을 사용하여 파일을 복구하는 기능을 차단하려고 합니다. 이를 위해 명령 모드의 바이러스는 절차를 시작하는 키로 파일의 섀도 복사본을 관리하는 유틸리티를 호출합니다. 완전한 제거... 따라서 섀도 복사본을 사용하여 파일을 복구하는 것은 거의 항상 불가능합니다.

랜섬웨어 바이러스는 위협 전술을 적극적으로 사용하여 피해자에게 암호화 알고리즘 설명에 대한 링크를 제공하고 바탕 화면에 위협적인 메시지를 표시합니다. 이런 식으로 그는 감염된 컴퓨터의 사용자가 자신의 파일을 되찾기 위해 주저 없이 바이러스 작성자의 이메일 주소로 컴퓨터 ID를 보내도록 강요합니다. 이러한 메시지에 대한 응답은 대부분 몸값과 전자 지갑 주소입니다.

내 컴퓨터가 랜섬웨어 바이러스에 감염되었습니까?

컴퓨터가 랜섬웨어 바이러스에 감염되었는지 여부를 확인하는 것은 매우 쉽습니다. 문서, 사진, 음악 등과 같은 개인 파일의 확장자에 주의하십시오. 확장자가 변경되었거나 개인 파일이 사라지고 이름을 알 수 없는 파일이 많이 남아 있으면 컴퓨터가 감염된 것입니다. 또한 감염 징후는 디렉터리에 HELP_YOUR_FILES 또는 README라는 파일이 있는 것입니다. 이 파일에는 파일 암호 해독에 대한 지침이 포함되어 있습니다.

랜섬웨어에 의해 바이러스에 감염된 메시지를 열었다고 의심되지만 아직 감염 증상이 없다면 컴퓨터를 끄거나 다시 시작하지 마십시오. 이 지침 섹션의 단계를 따르십시오. 다시 한 번 반복합니다. 컴퓨터를 끄지 않는 것이 매우 중요합니다. 일부 유형의 암호화 랜섬웨어에서는 감염 후 컴퓨터를 처음 켤 때 파일 암호화 프로세스가 활성화됩니다!

랜섬웨어 바이러스에 의해 암호화된 파일의 암호를 해독하는 방법은 무엇입니까?

이 불행이 발생했다면 당황할 필요가 없습니다! 그러나 대부분의 경우 무료 해독기가 없다는 것을 알아야 합니다. 이는 이러한 악성 프로그램이 사용하는 강력한 암호화 알고리즘 때문입니다. 이는 개인 키 없이 파일을 해독하는 것이 거의 불가능하다는 것을 의미합니다. 키 선택 방법을 사용하는 것도 키 길이가 길기 때문에 옵션이 아닙니다. 따라서 불행히도 전체 요청 금액에 대해 바이러스 작성자에게만 지불하는 것이 암호 해독 키를 얻을 수 있는 유일한 방법입니다.

물론 결제 후 바이러스 작성자가 연락하여 파일을 해독하는 데 필요한 키를 제공한다는 보장은 없습니다. 또한 바이러스 개발자에게 돈을 지불함으로써 자신이 새로운 바이러스를 만들도록 강요하고 있음을 이해해야 합니다.

랜섬웨어 바이러스를 제거하는 방법?

계속 진행하기 전에 바이러스 제거를 시작하고 스스로 파일을 복원하려고 하면 바이러스 작성자가 요청한 금액을 지불하여 파일 암호 해독 기능을 차단한다는 사실을 알아야 합니다.

카스퍼스키 바이러스 제거 도구및 Malwarebytes Anti-malware는 탐지할 수 있습니다. 다른 유형활성 랜섬웨어 바이러스를 제거하고 컴퓨터에서 쉽게 제거하지만 암호화된 파일은 복구할 수 없습니다.

5.1. Kaspersky 바이러스 제거 도구를 사용하여 랜섬웨어 바이러스 제거

기본적으로 프로그램은 모든 유형의 파일을 복구하도록 구성되어 있지만 작업 속도를 높이기 위해 복구해야 하는 유형의 파일만 남겨두는 것이 좋습니다. 선택을 완료한 후 확인 버튼을 클릭합니다.

QPhotoRec 창 하단에서 찾아보기 버튼을 찾아 클릭합니다. 복구된 파일이 저장될 디렉토리를 선택해야 합니다. 복구가 필요한 암호화된 파일이 포함되지 않은 드라이브를 사용하는 것이 좋습니다(USB 플래시 드라이브 또는 외부 드라이브를 사용할 수 있음).

암호화된 파일의 원본을 검색하고 복원하는 절차를 시작하려면 검색 버튼을 클릭합니다. 이 과정은 시간이 오래 걸리므로 인내심을 갖고 기다려 주십시오.

검색이 끝나면 종료 버튼을 클릭합니다. 이제 복구된 파일을 저장하기 위해 선택한 폴더를 엽니다.

폴더에는 recup_dir.1, recup_dir.2, recup_dir.3 등의 이름이 지정된 디렉토리가 포함됩니다. 프로그램이 더 많은 파일을 찾을수록 더 많은 디렉토리가 있습니다. 필요한 파일을 찾으려면 모든 디렉토리를 순차적으로 확인하십시오. 복구된 수많은 파일 중에서 원하는 파일을 더 쉽게 찾을 수 있도록 내장 시스템을 사용하십시오. 윈도우 검색(파일 내용 기준), 또한 디렉토리에서 파일을 정렬하는 기능을 잊지 마십시오. QPhotoRec는 파일을 복원할 때 이 속성을 복원하려고 하기 때문에 파일 수정 날짜를 정렬 옵션으로 선택할 수 있습니다.

컴퓨터 랜섬웨어가 감염되는 것을 방지하는 방법은 무엇입니까?

대부분의 최신 바이러스 백신 프로그램에는 랜섬웨어 바이러스의 침투 및 활성화를 방지하기 위한 시스템이 이미 내장되어 있습니다. 따라서 컴퓨터에 바이러스 백신 프로그램이 없으면 반드시 설치하십시오. 이것을 읽으면 어떻게 선택하는지 알 수 있습니다.

또한 전문 보안 프로그램이 있습니다. 예를 들어, 이것은 CryptoPrevent, 자세한 내용입니다.

마지막 몇 마디

이 지침을 따르면 컴퓨터에서 랜섬웨어 바이러스가 제거됩니다. 질문이 있거나 도움이 필요하면 저희에게 연락하십시오.

현대 기술해커가 사기 방식으로 지속적으로 개선할 수 있도록 합니다. 일반 사용자... 일반적으로 이러한 목적을 위해 컴퓨터에 침투하는 바이러스 소프트웨어가 사용됩니다. 랜섬웨어 바이러스는 특히 위험한 것으로 간주됩니다. 위협은 바이러스가 매우 빠르게 확산되어 파일을 암호화한다는 사실에 있습니다(사용자는 단순히 문서를 열 수 없음). 그리고 그것이 아주 간단하다면 데이터를 해독하는 것이 훨씬 더 어렵습니다.

바이러스가 컴퓨터의 파일을 암호화한 경우 수행할 작업

강력한 안티바이러스 소프트웨어를 보유한 사용자라도 랜섬웨어의 공격을 받을 수 있습니다. 파일 암호화 트로이 목마는 바이러스 백신의 능력을 넘어선 다양한 코드로 표시됩니다. 해커는 정보 보호에 필요한 조치를 취하지 않은 대기업을 이런 방식으로 공격하기도 합니다. 따라서 랜섬웨어 프로그램을 온라인으로 "수집"한 후에는 여러 가지 조치를 취해야 합니다.

감염의 주요 징후는 느린 컴퓨터 성능과 문서 이름 변경(데스크탑에서 볼 수 있음)입니다.

1. 암호화를 중단하려면 컴퓨터를 다시 시작하십시오. 활성화된 경우 알 수 없는 프로그램의 실행을 확인하지 마십시오.
2. 랜섬웨어의 공격을 받지 않은 경우 바이러스 백신을 실행하십시오.
3. 경우에 따라 섀도 복사본이 정보 복구에 도움이 됩니다. 그것들을 찾으려면 암호화된 문서의 "속성"을 여십시오. 이 방법은 포털에 정보가 있는 Vault 확장의 암호화된 데이터와 함께 작동합니다.
4. 유틸리티 다운로드 최신 버전랜섬웨어 바이러스 퇴치. 가장 효과적인 것은 Kaspersky Lab에서 제공합니다.

2016년 랜섬웨어 바이러스: 사례

바이러스 공격과 싸울 때 코드가 매우 자주 변경되고 새로운 안티바이러스 보호 기능이 추가된다는 점을 이해하는 것이 중요합니다. 물론 보호 프로그램은 개발자가 데이터베이스를 업데이트할 때까지 시간이 필요합니다. 우리는 최근 가장 위험한 랜섬웨어 바이러스를 선택했습니다.

이슈타르 랜섬웨어

Ishtar는 사용자로부터 금품을 갈취하는 랜섬웨어입니다. 이 바이러스는 2016년 가을에 발견되어 러시아 및 기타 여러 국가의 수많은 사용자 컴퓨터를 감염시켰습니다. 첨부 문서(설치자, 문서 등)와 함께 이메일 배포를 통해 배포됩니다. Ishtar 랜섬웨어에 감염된 데이터는 이름에 "ISHTAR"라는 접두사가 붙습니다. 이 과정에서 암호를 얻기 위해 어디로 가야 하는지를 나타내는 테스트 문서가 생성됩니다. 공격자는 3000 ~ 15000 루블을 요구합니다.

Ishtar 바이러스의 위험은 오늘날 사용자에게 도움이 되는 해독기가 없다는 것입니다. 바이러스 백신 소프트웨어 회사는 모든 코드를 해독하는 데 시간이 걸립니다. 이제 당신은 고립 만 할 수 있습니다 중요한 정보(특히 중요한 경우) 문서를 해독할 수 있는 유틸리티의 릴리스를 기다리는 별도의 매체에 저장합니다. 재설치 권장 운영 체제.

네이트리노

Neitrino 랜섬웨어는 2015년 인터넷에 등장했습니다. 공격 원칙에 따라 유사한 범주의 다른 바이러스와 유사합니다. "Neitrino" 또는 "Neutrino"를 추가하여 폴더 및 파일의 이름을 변경합니다. 바이러스는 해독하기 어렵습니다. 바이러스 백신 회사의 모든 대표자가 매우 복잡한 코드를 참조하여 이를 수행하는 것은 아닙니다. 일부 사용자는 섀도 복사본을 복원하는 것이 도움이 될 수 있습니다. 이렇게 하려면 암호화된 문서를 마우스 오른쪽 버튼으로 클릭하고 속성으로 이동하여 이전 버전 탭에서 복원을 클릭합니다. Kaspersky Lab의 무료 유틸리티를 사용하는 것은 불필요한 일이 아닙니다.

지갑 또는 .wallet.

월렛 랜섬웨어 바이러스는 2016년 말에 나타났습니다. 감염 과정에서 데이터의 이름을 "Name..wallet" 또는 이와 유사한 것으로 변경합니다. 대부분의 랜섬웨어 바이러스와 마찬가지로 사이버 범죄자가 보낸 이메일 첨부 파일을 통해 시스템에 침투합니다. 위협은 매우 최근에 나타났기 때문에 안티바이러스 프로그램은 이를 알아차리지 못합니다. 암호화 후 사기범이 통신용 메일을 지정하는 문서를 생성합니다. 현재 바이러스 백신 소프트웨어 개발자들은 랜섬웨어의 코드를 해독하는 작업을 하고 있습니다. [이메일 보호됨]공격을 받은 사용자는 기다리기만 할 수 있습니다. 데이터가 중요한 경우 시스템을 청소하여 외부 드라이브에 저장하는 것이 좋습니다.

수수께끼

Enigma 랜섬웨어 바이러스는 2016년 4월 말에 러시아 사용자의 컴퓨터를 감염시키기 시작했습니다. 사용된 암호화 모델은 오늘날 대부분의 랜섬웨어 바이러스에서 발견되는 AES-RSA입니다. 바이러스는 의심스러운 이메일에서 파일을 열어 사용자가 직접 실행하는 스크립트를 사용하여 컴퓨터에 침입합니다. Enigma 랜섬웨어를 퇴치하기 위한 보편적인 도구는 아직 없습니다. 바이러스 백신 라이선스가 있는 사용자는 개발자의 공식 웹사이트에서 도움을 요청할 수 있습니다. 작은 "허점"도 발견되었습니다 - Windows UAC. 사용자가 바이러스 감염 중에 나타나는 창에서 "아니오"를 클릭하면 이후에 섀도 복사본을 사용하여 정보를 복구할 수 있습니다.

화강암

새로운 Granit 랜섬웨어 바이러스는 2016년 가을에 웹에 나타났습니다. 감염은 다음 시나리오에 따라 발생합니다. 사용자가 설치 프로그램을 실행하면 PC와 연결된 드라이브의 모든 데이터를 감염시키고 암호화합니다. 바이러스와 싸우는 것은 어렵습니다. 제거하려면 다음을 사용할 수 있습니다. 특수 유틸리티 Kaspersky에서 제공하지만 코드가 아직 해독되지 않았습니다. 아마도 이전 버전의 데이터를 복원하는 것이 도움이 될 것입니다. 또한 풍부한 경험을 가진 전문가가 해독할 수 있지만 서비스 비용이 비쌉니다.

타이슨

최근에 포착되었습니다. 이는 잘 알려진 랜섬웨어 no_more_ransom의 확장이며 당사 웹사이트에서 확인할 수 있습니다. 전자 메일에서 개인용 컴퓨터에 도달합니다. 많은 기업 PC가 공격을 받았습니다. 이 바이러스는 잠금 해제 지침이 포함된 텍스트 문서를 만들고 몸값을 지불하겠다고 제안합니다. 최근 타이슨 랜섬웨어가 등장하여 아직 잠금 해제할 키가 없습니다. 정보를 복구하는 유일한 방법은 이전 버전바이러스에 의해 제거되지 않은 경우. 물론 사이버 범죄자가 지정한 계정으로 돈을 이체하여 위험을 감수할 수 있지만 비밀번호를 받을 것이라는 보장은 없습니다.

스포라

2017년 초, 많은 사용자가 새로운 Spora 랜섬웨어의 피해를 입었습니다. 작업 원칙에 따르면 해당 제품과 크게 다르지 않지만보다 전문적인 성능을 자랑 할 수 있습니다. 암호를 얻는 지침이 더 잘 컴파일되고 웹 사이트가 더 예뻐 보입니다. C 언어로 Spora 랜섬웨어 바이러스를 생성하고 RSA와 AES의 조합을 사용하여 피해자의 데이터를 암호화합니다. 일반적으로 1C 회계 소프트웨어가 활발히 사용되는 컴퓨터가 공격을 받았습니다. 간단한 .pdf 송장으로 위장한 이 바이러스는 회사 직원이 이를 실행하게 만듭니다. 치료법은 아직 발견되지 않았습니다.

1C.드롭.1

이 1C용 랜섬웨어 바이러스는 2016년 여름에 나타나 많은 회계 부서의 업무를 방해했습니다. 사용하는 컴퓨터를 위해 특별히 설계되었습니다. 소프트웨어 1C. PC에서 전자 메일의 파일을 통해 소유자를 초대하여 프로그램을 업데이트합니다. 사용자가 어떤 버튼을 누르든 바이러스는 파일 암호화를 시작합니다. Dr.Web 전문가들이 암호 해독 도구를 연구하고 있지만 아직 솔루션을 찾지 못했습니다. 이것은 여러 수정이 있을 수 있는 복잡한 코드 때문입니다. 1C.Drop.1에 대한 보호는 사용자의 경계와 중요한 문서의 정기적인 보관입니다.

da_vinci_code

특이한 이름을 가진 새로운 랜섬웨어. 이 바이러스는 2016년 봄에 나타났습니다. 개선된 코드와 강력한 암호화 모드에서 이전 버전과 다릅니다. da_vinci_code는 실행 응용 프로그램 덕분에 컴퓨터를 감염시킵니다(일반적으로 이메일) 사용자가 직접 실행합니다. 다빈치 코드는 본문을 시스템 디렉토리 및 레지스트리에 복사하여 다음과 같은 경우 자동 시작을 보장합니다. 창문 켜기... 각 피해자의 컴퓨터에는 고유한 ID가 할당됩니다(비밀번호 획득에 도움이 됨). 데이터를 해독하는 것은 거의 불가능합니다. 사이버 범죄자에게 돈을 지불할 수는 있지만 아무도 암호를 받을 것이라고 보장하지 않습니다.

[이메일 보호됨] / [이메일 보호됨]

2016년에 랜섬웨어 바이러스와 자주 연관되었던 두 개의 이메일 주소. 피해자와 공격자를 연결하는 역할을 하는 것은 바로 그들입니다. da_vinci_code, no_more_ransom 등 다양한 유형의 바이러스에 대한 주소가 첨부되었습니다. 사기꾼에게 연락하여 돈을 송금하는 것은 매우 권장하지 않습니다. 대부분의 경우 사용자는 암호 없이 남겨집니다. 따라서 사이버 범죄자의 랜섬웨어가 수익을 창출하기 위해 노력하고 있음을 보여줍니다.

속보

2015년 초에 등장했지만 1년여 만에 본격적으로 확산됐다. 감염 원리는 다른 랜섬웨어와 동일합니다. 이메일에서 파일을 설치하고 데이터를 암호화합니다. 일반 바이러스 백신은 일반적으로 Breaking Bad 바이러스를 인식하지 못합니다. 일부 코드는 Windows UAC를 우회할 수 없으므로 사용자는 이전 버전의 문서를 복원할 수 있습니다. 어떤 안티 바이러스 소프트웨어 회사도 아직 디코더를 제공하지 않았습니다.

XTBL

많은 사용자에게 문제를 일으킨 매우 흔한 랜섬웨어. PC에 감염되면 이 바이러스는 파일 확장자를 몇 분 만에 .xtbl로 변경합니다. 공격자가 강탈하는 문서가 생성됩니다. 현금... 특정 종류의 XTBL 바이러스는 시스템 복원 파일을 파괴할 수 없으므로 중요한 문서를 반환할 수 있습니다. 바이러스 자체는 많은 프로그램에서 제거할 수 있지만 문서를 해독하는 것은 매우 어렵습니다. 라이센스가 있는 안티바이러스의 소유자인 경우 감염된 데이터의 샘플을 첨부하여 기술 지원을 이용하십시오.

쿠카라차

2016년 12월 랜섬웨어 "Cucaracha"가 발견되었습니다. 흥미로운 이름을 가진 바이러스는 저항성이 높은 RSA-2048 알고리즘을 사용하여 사용자 파일을 숨깁니다. 카스퍼스키 안티 바이러스 Trojan-Ransom.Win32.Scatter.lb로 지정했습니다. 다른 문서가 감염되지 않도록 컴퓨터에서 Kukaracha를 제거할 수 있습니다. 그러나 오늘날 감염된 사람들은 해독이 거의 불가능합니다(매우 강력한 알고리즘).

랜섬웨어 바이러스는 어떻게 작동합니까?

엄청난 수의 랜섬웨어가 있지만 모두 비슷한 원리로 작동합니다.

1. 에 명중 개인용 컴퓨터... 일반적으로 이메일 첨부 파일 덕분입니다. 설치는 문서를 열어 사용자가 직접 시작합니다.
2. 파일 감염. 거의 모든 파일 유형이 암호화됩니다(바이러스에 따라 다름). 공격자와의 통신을 위한 연락처가 포함된 텍스트 문서가 생성됩니다.
3. 모든 것. 사용자는 문서에 액세스할 수 없습니다.

인기 있는 실험실의 구제책

사용자 데이터에 대한 가장 위험한 위협으로 인식되는 랜섬웨어의 광범위한 사용은 많은 안티바이러스 연구실에서 추진력이 되었습니다. 인기 있는 각 회사는 사용자에게 랜섬웨어 퇴치에 도움이 되는 프로그램을 제공합니다. 또한 그들 중 많은 사람들이 시스템을 보호하여 문서의 암호 해독을 돕습니다.

Kaspersky 및 랜섬웨어 바이러스

오늘날 러시아와 세계에서 가장 유명한 바이러스 백신 연구소 중 하나는 랜섬웨어 바이러스 퇴치를 위한 가장 효과적인 수단을 제공합니다. Kaspersky는 랜섬웨어 바이러스의 첫 번째 장애물이 될 것입니다. 엔드포인트 보안 10 최신 업데이트. 바이러스 백신은 단순히 컴퓨터에 대한 위협을 허용하지 않습니다(새 버전을 중지하지는 못할 수도 있음). 정보를 해독하기 위해 개발자는 XoristDecryptor, RakhniDecryptor 및 Ransomware Decryptor와 같은 여러 무료 유틸리티를 한 번에 제공합니다. 그들은 바이러스를 찾고 암호를 추측하는 데 도움이 됩니다.

박사 웹 및 랜섬웨어

이 연구실에서는 파일 백업이 주요 기능인 바이러스 백신 프로그램을 사용할 것을 권장합니다. 문서 사본이 있는 저장소는 침입자의 무단 액세스로부터 보호됩니다. 라이선스 제품의 소유자 Dr. 웹에서 도움을 요청하는 기능이 있습니다. 기술적 지원... 사실, 숙련된 전문가라도 이러한 유형의 위협을 항상 견딜 수 있는 것은 아닙니다.

ESET Nod 32 및 랜섬웨어

이 회사는 컴퓨터에 침입하는 바이러스에 대한 우수한 보호 기능을 사용자에게 제공하면서 제쳐두지 않았습니다. 또한 최근 발표된 연구실 무료 유틸리티최신 데이터베이스 포함 - Eset Crysis Decryptor. 개발자들은 이것이 최신 랜섬웨어와의 싸움에서도 도움이 될 것이라고 주장합니다.