안녕하세요?
오늘 Locky 랜섬웨어의 변종으로 Locky 랜섬웨어에 감염된 PC에서 암호된 파일을 해독할 수 있다고 위장한 새로운 Zepto 랜섬웨어가 확산되고 있습니다.
Zepto 랜섬웨어는 Locky 랜섬웨어와 동일하지만 더 정교해 졌으며 더욱 악의적입니다. 큰 차이는 없지만 Zepto는 급속히 퍼지며 더 많은 돈을 요구하는 점이 다릅니다. 3 비트코인을 요구하는데 대략 2백만원 정도 이상을 요구하고 있습니다.
아래와 같이 실행하면 로키 랜섬웨어 해독기라고 표시하고 있고 압축을 풀려면 3 bitcoin을 요구합니다.
Zeptoㄴㄴ 더이상 C&C 서버를 사용하지 않고 하드코딩된 RSA 키를 사용합니다. 또한 더 많은 변종으로 확산되고 있습니다. 압호화된 파일은 .zepto 파일로 변경되어 집니다. 가장 큰 변화는 오프라인 모드에서도 완벽하게 동작하기 때문에 더욱 주의가 필요하다는 것입니다.
Zepto 의 감염절차
- 이메일과 다운로드를 통해 감염
- 표에 있는 하드디스크 파일과 확장자를 검사하고 파일의 경로와 가중치를 두어 목록에 저장한 후, 가장치 파일을 제거하고 파일을 압축합니다.
- 목록은 소팅되고 가중치가 큰 파일은 맨 위로 정렬됩니다
- 파일은 목록에 있는 순서에 의해 암호화됩니다.
결론
Zepto와 Locky를 만든 사람은 오프라인 버전을 충분히 테스트하였고 어떤 환경에서도 사용자 파일을 암호화하도록 하였습니다. 이전 버전은 RSA 공개키를 서버에서 다운로드 했지만 차단되는 경우 작동하지 않았습니다만, 지금 버전은 오프라인 상태에서도 작동한다는 것입니다.
안전한 대응 방법
- 항상 그렇듯이 알지못한 수상한 첨부파일은 열지 않는 것입니다(zip 파일로 압축된 .js, wsf, .vbs 파일 등)
- 마이크로소프트 오피스 매크로를 기본적으로 사용하지 않도록 합니다. 특히 이메일로 수신하는 첨부파일이나 알지못한 파일은 더욱 열면 않됩니다.
- 중요한 데이터는 온라인 또는 오프라인으로 백업하여야 합니다.
- 시스템 운영체제와 어플리케이션은 항상 최신 상태로 패치하여야 합니다.
작성 : 어베스트코리아 (주)소프트메일
http://blog.avastkorea.com
https://blog.avast.com/zepto-ransomware-now-introduces-new-features-to-better-encrypt-your-files
'새로운 소식' 카테고리의 다른 글
| Petya 및 Mischa 랜섬웨어에 들여다보기 (0) | 2016.09.23 |
|---|---|
| 풍성한 추석 명절 기원합니다 (0) | 2016.09.12 |
| [긴급공지] 제목"contract" 악성코드 첨부 메일 주의 요망 (0) | 2016.08.25 |
| 윈도우10 버전 1607 레드스톤1(RS1) 업데이트 시 충돌 이슈 관련 안내 (0) | 2016.08.05 |
| 어베스트 프로그램 업데이트(12.2.2276) 안내 (0) | 2016.08.01 |