CryptoLocker 랜섬웨어란 무엇이며 어떻게 보호하나요?
CryptoLocker 랜섬웨어2013년과 2014년 8개월 동안 계속된 사이버 범죄로 전 세계를 휩쓸었습니다.
하지만크립토락커더 이상 위협이 되지 않으며, 그 여파로 변종과 모방자의 흔적을 남기므로 여전히 연구할 가치가 있습니다. CryptoLocker의 목표는 다음과 같습니다. 윈도우 컴퓨터.
CryptoLocker 랜섬웨어의 전달 메커니즘은 다음과 같습니다. 트로이 목마 . '라는 봇넷에 의해 확산되었습니다. 게임오버 ZeuS . 랜섬웨어는 암호 해독 키의 가용성에 시간 제한을 두어 피해자에게 서둘러 지불하도록 압력을 가했습니다.
크립토락커(CryptoLocker)는 2013년 9월 5일 처음 유포되었으며, 2014년 5월 서비스를 종료했다. 활동 기간 동안 약 50만 대의 컴퓨터를 공격했다.
봇넷이란 무엇입니까?
ㅏ 봇넷 인터넷을 통해 중앙 서버에서 제어되는 감염된 컴퓨터 그룹입니다. 캡처된 컴퓨터의 활성 메커니즘은 연결을 열고 원격 서버에서 지침을 검색할 수 있습니다. 해당 호스트를 ' 명령 및 제어 ” (C&C) 서버입니다.
봇넷의 컴퓨터는 ' 좀비 .” 그들은 해커에 의해 완전히 통제되지 않으며 평소대로 계속 작동합니다. 대부분의 경우 해당 회사는 자신의 장치가 다른 사람을 위해 작동하고 있다는 사실조차 인식하지 못합니다.
봇넷의 목적은 작업을 여러 컴퓨터에 분산시키는 것입니다. 일부 봇넷은 수십만 대의 개인 컴퓨터를 제어하고 기타 제어 IoT 장치 , 보안 카메라와 같은. 사이버 보안 소프트웨어의 방어 메커니즘은 공격자의 IP 주소를 읽고 차단할 수 있습니다. 그래서 해커들은 각 컴퓨터가 대상을 한 번만 공격하는 봇넷을 발명했습니다.
일반적으로 이러한 컴퓨터 군단은 다음 작업에 사용됩니다. DDoS 공격 , 많은 컴퓨터가 동시에 웹 서버에 연결 요청을 하여 이를 압도합니다. 스팸 이메일 캠페인에도 사용됩니다.
스팸 필터 대부분의 이메일 시스템에서는 여러 다른 위치에서 대규모 메일을 전송하여 하나의 IP 주소에서 이메일을 대량으로 전환합니다. 봇넷은 이를 차단합니다.
게임오버 ZeuS
Gameover ZeuS 봇넷은 러시아 해커인 Evgeniy Mikhailovich Bogachev가 만들고 제어했습니다. 이상이 포함되어 있었습니다 1백만 대의 좀비 컴퓨터 . 시스템은 C&C 서버와의 통신을 위해 Peer-to-Peer 아키텍처를 사용했습니다. 이로 인해 서버 안팎으로 이동하는 트래픽이 줄어들고 C&C를 추적하기가 더 어려워졌습니다.
Gameover ZeuS의 주요 목적은 다음과 같습니다. 은행 사기 . CryptoLocker 랜섬웨어에 대한 메일링 캠페인은 봇넷의 보조 작업이었습니다. C&C 서버는 표준 이메일을 보내라는 지시를 내렸을 뿐만 아니라, 가짜 도메인 이름 . 보낸 사람이 답장이 필요한 경우에만 이메일에 유효한 소스 주소가 필요합니다. 그러나 랜섬웨어 공격의 구조상 캠페인이 성공하기 위해서는 대응이 필요하지 않습니다.
2014년 6월, 법 집행 기관의 국제 연합은 다음과 같은 계획된 훈련을 통해 Gameover ZeuS C&C 서버를 종료했습니다. 토바르 작전 .
CryptoLocker 랜섬웨어 공격은 어떻게 시작되나요?
CryptoLocker에는 두 가지 수신 방법이 있습니다. 한 명은 a와 함께 있었어 스팸 이메일 첨부 파일에 바이러스가 숨겨져 있었습니다. 다른 하나는 불법 다운로드 사이트를 통해서였습니다. 이 사이트는 비디오와 함께 번들로 제공되는 바이러스 설치 프로그램을 Zip 파일로 제공하거나 비디오를 사용할 수 없게 만들었지만 수신자에게 코덱스 플러그인을 다운로드하도록 지시하는 텍스트 파일을 함께 제공했습니다. 해당 플러그인은 트로이 목마의 설치 프로그램이었습니다.
배송업체에서 보낸 것으로 추정되는 이메일에는 배송 알림이 첨부되어 있습니다. 대상 컴퓨터에 트로이 목마를 가져오는 데 사용된 방법에는 두 가지가 있습니다. 하나는 비밀번호가 포함된 이메일의 메모를 사용하여 파일을 비밀번호로 보호하는 것이었습니다. 암호를 적용하면 파일의 잠금이 해제되고 설치 프로그램이 해제되었습니다.
다른 첨부 방법도 마찬가지로 효과적이었기 때문에 해커가 해당 비밀번호 경로에 신경을 쓴 이유를 알아내기는 어렵습니다. 이했다 Zip 파일 , PDF가 포함된 것 같았습니다. 그러나 사용자가 압축을 풀고 파일을 클릭하여 열면 파일이 실행 파일로 실행되고 랜섬웨어를 설치했어요 C&C 서버에서 복사하여
CryptoLocker는 무엇을 합니까?
CryptoLocker는 시작되자마자 루틴을 시작하며 지연되지 않습니다. 시스템은 프로그램 파일을 다음 위치에 복사합니다. %APPDATA% 그리고 %LOCALAPPDATA% 디렉토리. 설치 프로그램은 시작 시 소프트웨어가 실행되도록 컴퓨터의 레지스트리에 키를 추가합니다. 그런 다음 두 가지 프로세스로 랜섬웨어를 시작합니다. 두 번째는 지속성 모듈 프로세스가 종료되면 랜섬웨어 프로그램을 다시 시작합니다.
기본 프로그램이 실행되자마자 액세스 가능한 모든 드라이브를 검색하여 나열합니다. 그런 다음 실행할 수 없는 파일이 포함된 각 드라이브를 방문하여 해당 디렉터리를 기록한 다음 목록을 통해 작업하여 암호화합니다. 시스템은 RSA 암호화 ~와 함께 2048비트 키 . 암호화 프로세스는 새 파일을 생성합니다. 그러나 프로세스는 원래 이름을 가진 빈 파일로 시작한 다음 해당 파일을 삭제합니다. 원본을 덮어쓰면 이렇게 됩니다 복구할 수 없음 휴지통이나 기타 파일 복구 시스템을 통해.
파일이 암호화되면 원래 이름이 텍스트 파일에 기록되고 다음의 레지스트리에 기록됩니다. HKEY_CURRENT_USER/SoftwareCryptoLockerFiles .
암호화된 파일의 이름은 끝에 추가 확장자를 갖도록 변경됩니다. CryptoLocker 버전마다 암호화된 파일에 대한 명명 규칙이 다릅니다. 추가된 확장은 다음 중 하나였습니다. .암호화됨 , .cryptlocker 또는 7개의 임의 문자로 구성된 문자열입니다.
디렉터리의 실행 불가능한 파일이 모두 암호화되면 프로그램은 다음과 같은 텍스트 파일을 작성했습니다. DECRYPT_INSTRUCTION.txt 또는 HTML 파일 DECRYPT_INSTRUCTIONS.html . 여기에는 암호화된 파일 목록이 포함되어 있습니다. CBT-Locker라고 불리는 최신 변종은 모든 디렉터리에 대한 연습에서 모든 암호화된 파일을 나열하는 하나의 파일을 작성하고 작업을 시작한 디렉터리에 저장했습니다. 이 파일은 다음과 같이 호출되었습니다. !복호화-모든 파일-[임의의 7자].TXT 또는 !복호화-모든 파일-[임의의 7자].BMP .
한 디렉터리에 있는 모든 실행 불가능한 파일을 암호화한 후 드라이브의 모든 파일이 암호화될 때까지 다음 디렉터리로 이동합니다. 그런 다음 현재 사용자 계정이 액세스할 수 있는 다음 드라이브로 이동하고 프로세스를 반복합니다. CryptoLocker 랜섬웨어의 활동은 마운트된 드라이브, 공유 드라이브 및 클라우드 드라이브를 포함하여 활성 사용자 계정이 액세스할 수 있는 모든 드라이브로 확장됩니다.
랜섬웨어 자기 자신을 복제할 수 없었다 또는 네트워크를 통해 이동합니다. 해커가 감염된 컴퓨터에 수동으로 액세스할 수 있는 유틸리티는 포함되어 있지 않습니다.
공개 키 암호화
CryptoLocker 랜섬웨어는 다음을 사용했습니다. 공개키 암호 암호화를 위해. 공개 키 암호화라고도 함 비대칭 암호화 . 이는 암호화 및 복호화 프로세스가 동일한 키를 사용하지 않기 때문입니다. 즉, 복호화 프로세스는 단순히 암호화를 직접적으로 되돌리는 문제가 아닙니다. 대신에, 무료 공식 암호화된 텍스트를 해독하는 데 사용됩니다.
암호화 키에서 복호화 키를 알아내는 것은 불가능합니다. 따라서 암호화 작성자가 복호화를 중요하게 유지하는 한 사적인 , 누가 암호화 키를 알고 있는지는 중요하지 않습니다. 따라서 암호화 키는 공공의, 그리고 복호화 키는 비밀 .
CryptoLocker는 RSA 공개 키 암호화 시스템을 사용합니다. RSA는 SSL 시스템의 인증 단계에 통합되어 있기 때문에 매우 널리 사용됩니다. SSL은 전송 계층 보안 RSA 암호화에 중점을 둔 프로토콜(TLS)입니다.
CryptoLocker의 경우 바이러스는 C&C 서버에 접속하여 암호화를 위한 공개 키를 보냅니다. 이 키는 파일 암호 해독에 사용되지 않으므로 스누퍼가 키 전송을 가로채더라도 문제가 되지 않습니다. 사용자가 암호화 키를 알고 있는지 여부도 중요하지 않습니다. 따라서 열쇠는 몸값 지침에 남아 있습니다. 참고로 이를 통해 C&C 서버는 결제가 완료된 후 전송할 올바른 암호 해독 키를 찾을 수 있습니다. 랜섬웨어는 암호화 키를 처음 획득했을 때 참조용으로 피해자 컴퓨터의 레지스트리 키에 저장했습니다. HKCU소프트웨어/CryptoLockerPublicKey .
CryptoLocker는 지금까지 사용한 모든 암호화 키의 데이터베이스를 유지 관리했습니다. 그러나 이후 피해자에게 복호화 키를 제공하는 것이 중단되었습니다. 72시간 공격 후 시간이 지났습니다. 이로 인해 몸값에 시간 요소가 추가되어 사용자가 서둘러 지불하도록 동기를 부여했습니다.
뻔뻔하게도 2013년 11월, 해커들은 72시간 기한을 놓치고 더 이상 파일 암호 해독 키를 얻을 수 없는 피해자들을 위해 파일을 복원해 주는 데이터 복구 컨설턴트가 제공하는 것처럼 보이는 서비스를 설정했습니다. 복구 서비스 비용은 다음과 같습니다. 더 높은 가격 원래 몸값보다.
Tovar 작전 중에 당국과 협력하는 보안 분석가는 암호화 키 데이터베이스의 사본을 캡처했습니다. 데이터베이스 분석 결과 CryptoLocker 랜섬웨어가 3백만 달러 이상 평생 동안. 또한 분석가들은 프로세스가 항상 올바른 암호 해독 키를 반환하지 않는다는 사실을 발견했습니다. 25% 피해자가 몸값을 지불한 사례. 단지 1.3퍼센트 의 피해자가 몸값을 지불했습니다.
몸값 과정
암호화 프로세스가 완료되자 랜섬웨어는 대상 컴퓨터의 바탕 화면 배경화면을 변경했으며, 이는 결제 지침을 표시했습니다. 요구한 가격은 이랬다. $400 , 이는 400유로 또는 이에 상응하는 비트코인으로 지불될 수 있습니다. 현금을 지불하는 사람들은 다음을 통해 지불했습니다. 머니팩 .
피해자는 복호화 키가 72시간 동안만 사용 가능하다는 경고를 받았지만, 이 기간은 일부 변형에서는 100시간 .
CryptoLocker 공격 차단
CryptoLocker 랜섬웨어는 사용자를 속여 이를 다운로드하고 활성화하도록 하기 때문에 이 시스템에 대한 가장 강력한 방어책은 다음과 같습니다. 사용자 인식 . CryptoLocer는 더 이상 존재하지 않지만 여전히 많은 모방자가 유통되고 있으므로 사용자가 자신의 행동의 결과를 알고 있는지 확인하는 것이 중요합니다. 특히 다음과 같은 경우 시스템의 데이터를 보호하는 것도 중요합니다. 데이터 개인 정보 보호 표준 .
Windows를 실행하는 데스크톱은 CryptoLocker 랜섬웨어의 대상이었습니다. 당신은 필요 엔드포인트 탐지 및 대응 (EDR) 시스템은 CryptoLocker와 같은 랜섬웨어 공격으로부터 보호하기 위해 네트워크의 각 장치에 설치됩니다. 다음 두 가지 보안 시스템을 고려하십시오.
1. CrowdStrike Falcon Insight(무료 평가판)
CrowdStrike 팔콘 인사이트 각 엔드포인트의 EDR을 클라우드 기반 코디네이터와 결합합니다. 현장 모듈이라고 합니다. 팔콘 방지 .
엔드포인트 에이전트는 독립적으로 작동합니다. 즉, 인터넷에 연결되지 않은 경우에도 보호를 유지할 수 있습니다. 클라우드 코디네이터가 이벤트 로그를 수신합니다. 업로드 링크가 사용 가능한 동안 네트워크의 모든 끝점에서. 시스템은 다음을 기반으로 이 데이터를 분석합니다. 위협 인텔리전스 모든 CrowdStrike 고객으로부터 수집되었습니다. 이 시스템은 비정상적인 동작을 찾아 식별할 수 있습니다. 제로데이 공격 .
통찰력에는 다음이 포함됩니다 응답 능력. IT는 바이러스 확산을 막기 위해 네트워크에서 컴퓨터를 격리할 수 있습니다. 또한 의심스러운 IP 주소와의 통신을 차단하고 사용자 계정을 정지할 수도 있습니다.
당신은 얻을 수 있습니다15일 무료 평가판팔콘 예방.
CrowdStrike Falcon Insight 15일 무료 평가판 시작
둘. ManageEngine DataSecurity 플러스
ManageEngine DataSecurity 플러스 HIPAA, PCI DSS 및 GDPR을 준수해야 하는 기업을 위해 특별히 설계된 민감한 데이터 보호기입니다. 이 서비스가 파일에 제공하는 보호 기능은 랜섬웨어 차단에도 좋은 선택입니다. 여기에는 데이터 검색 및 분류 시스템이 포함됩니다. 개인 식별 정보 (PII).
서비스 모니터 이메일 그리고 USB 장치 다운로드를 차단하고 데이터 공개를 방지합니다. 또한 무단 변경을 방지하는 파일 무결성 모니터도 있습니다. 파일 변조 식별에 대한 조치를 자동으로 구현하도록 서비스를 설정할 수 있습니다.
ManageEngine DataSecurity Plus용 소프트웨어는 Windows 시스템을 보호하고 다음 위치에 설치됩니다. 윈도우 서버, 그리고 그것은 사용할 수 있습니다 30일 무료 평가판 .