랜섬웨어는 PC에 감염되는 악성코드의 한 종류로, 사용자가 작성하거나 보관중인 문서, 그림, 사진 등의 파일을 암호화하고, 이를 풀기 위해 금전을 요구하는 나쁜 형태의 악성코드입니다.

 

랜섬웨어는 초기부터 다양하게 진화해오고 있으며, Raas(Ransomware-as-a-Service)로 까지 발전하고, 심지어 최근에는 오픈 소스 기반으로도 랜섬웨어가 만들어지고 있습니다.

 

따라서, 랜섬웨엉에 감염된 사용자는 "내가 어떤 랜섬웨어에 감염되었는지" 조차도 확인하기 어려울 수도 있습니다.

 

비트 디펜더가 개발하여 제공하는 비트디펜더 랜섬웨어 검색 프로그램(BitDefender Ransomware Recognition Tool)은 랜섬웨어에 감염된 PC에서 실행하여, 어떤 유형의 랜섬웨어에 감염되었는지 검색하고, 만약 해독 프로그램이 있는 경우에는 이 부분까지도 알려 줍니다.

 

사용 방법은 다음과 같습니다

 

1. BitDefender Ransomware Recogntion Tool을 다운로드받아 컴퓨터에 저장합니다.

 

 

 

2. 가급적, 관리자 권한으로 실행하여 설치를 진행합니다.

 

3. 사용자 약관에서 "I agree"를 클릭하여 설치를 완료합니다.

 

 

4. 프로그램이 실행되면, ransom-note 경로와 암호화된 파일의 경로를 지정합니다. 최소한 랜섬웨어로 암호화된 파일 경로라도 지정해야 합니다. 만약 2개 모두 지정할 경우에는 좀더 정확성을 높일 수 있습니다. 경로를 지정하고 나서 "Scan" 버튼을 클릭합니다. 인터넷에 연결되어 있어야 합니다.

 

 

5. 검색이 완료되면, 현재 시스템에 감염된 랜섬웨어의 유형이 표시됩니다. 만약, 완벽하게 확인되지 않고, 어떤 계열(Family)로 추정될 때에는 % 비율로 표시하며, 상단에 가장 높은 확률의 랜섬웨어가 표시됩니다. 그리고, 해독 프로그램이 존재하는 경우에는 Decryptor 컬럼에 다운로드 링크가 제공됩니다.

 

 

만약, 기업과 같이 여러 대의 컴퓨터를 관리하는 환경에서는 다음과 같이 스크립트를 만들어서 실행할 수도 있습니다.

 

  -note:RANSOM_NOTE_PATH;

  -test:ENCRYPTED_FILES_PATH;

 

다음과 같이 사용합니다.

 

  BDRansomRecognitionTool.exe -note:C:\temp\decrypt_my_file.html; -test:C:\Encrypt;

 

참고로, 경로는 절대 경로이어야 하며, 경로의 끝에는 ;(세미콜론)으로 끝나야 합니다.

 

고맙습니다.

 

출처: https://labs.bitdefender.com/2017/09/bitdefender-ransomware-recognition-tool/

 

 

 

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    악성코드 제작자가 고민하는 주제 중의 하나가 바로, 백신에 탐지되지 않고 어떻게 잘 실행될 수 있도록 숨기는 방법이다. 가장 널리 쓰이는 방법은 루트킷과 같이 커널 드라이버로 위장하는 방법이 있는데, 이를 위해서는 고난이도의 개발 능력이 수반되어야 한다

     

    따라서, 손쉽게 이용하는 방법이 바로 정상적으로 프로세스 내에 숨기는 방법으로 보통 RAT(Remote Admin. Tool)에서 주로 사용한다.

     

    이 방법은, 윈도우의 정상적으로 프로세스 하나를 쩜 찍어서, 새로운 인스턴스로 휴면 상태로 실행시킨 후에 코드의 실행 위치를 악성코드의 위치로 바꿔치기 하는 방법이다.

     

     

     

    해외에 이러한 숨김 기법에 대한 강좌가 있어 소개한다.

     

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory