[해커에 의한 랜섬웨어 공격의 공통점]
해커에 의한 랜섬웨어 공격의 공통점
KRDC는 AI기반 디지털 포렌식으로 비트락커의 복구키를 찾아 고객의 업무를 빠르게 정상화 될 수 있도록 지원하고 있습니다. 또한 디스크 포렌식 기반으로 접근하여 비트락커 랜섬웨어에 감염된 서버에서 MDF, BAK, DBF 파일의 복구를 제공하고 있습니다.
KRDC는 다른 복구업체와 다르게 모든 랜섬웨어에 감염된 서버를 포렌식 및 AI기반에서 접근합니다.
만일 여러분의 서버가 랜섬웨어에 감염되었다면 당장 서버를 셧다운하셔야 합니다. 저희의 경험상 랜섬웨어 감염 후 24시간 이내 서버를 셧다운 했다면 복구 확률이 높습니다.
비트락커의 경우 복구키를 찾을 수 있고 크립토의 경우 MDF, BAK, DBF 파일 등 중요 데이터베이스 파일을 복구 할 수 있습니다.
디스크의 모든 영역에서 정상적인 MDF, BAK, DBF 파일을 추출하는 겁니다.
AI기반 비트락커 복구키, MSSQL의 MDF, BAK Oracle 의 DBF정상파일 추출 프로그램은 저희가 직접 개발하여 단독으로 사용하고 있습니다. 랜섬웨어 감염으로 고통스러운 전산 담당자에게 희망을 드리고자 글을 작성하였습니다.
당부의 말씀
랜섬웨어에 감염되면 모두가 당황합니다. 그 마음 잘 알고있습니다. 하지만 업무의 우선순위를 잘 정해서 준비하시면 랜섬웨어 피해를 줄이 수 있습니다.
1. 감염된 서버 모두 셧다운 (제일 중요)
2. 서버 유지보수 업체 또는 KRDC 랜섬웨어 전문엔지니어 상담(010-2927-8211)
3. 해커와 협상, 복구, 포멧 등 방향을 결정
4. 협상업체 선정 및 복구업체 선정
첫 결정에 있어서 업체선정을 잘 하셔야 합니다. 한번의 선택이 회사의 운명이 달렸습니다. 업체에 따라 복구 결과는 달라집니다.
저희는 비트락커의 경우 오전에 서버를 입고하시면 오후에 출고가 가능합니다. (복구키 찾기 성공 시) 회사의 업무를 최대한 빨리 복구될 수 있도록 최선을 다해 지원하고 있습니다. 복구 실패 시 비용은 없습니다.
해커는 단기간 공격보다는 장기간 악성코드에 감염된 내부PC(숙주)를 통해 공격하는 사례가 많습니다. KRDC 랜섬웨어에 감염된 서버에서 포렌식 분석결과 해커의 공통점을 발견하였습니다. 오늘은 저희가 그 공통점을 공개하려고 합니다.
이제 해커의 비트락커 랜섬웨어 공격 공통점을 설명드리겠습니다.
비트락커 랜섬웨어
1. 미미캐츠등의 해킹프로그램을 이용하여 메모리에 상주하고 있는 Administrator의 패스워드를 탈취 (Guest 계정을 만들어 정상적으로 로그인)
2. 원격 데스크탑 연결을 이용하여 Administrator로 정상 로그인
3. 주변에 윈도우 서버가 있는지 염탐
4. 암호화 대상 윈도우 서버 파악
5. 스크립트로 랜섬웨어에 감염되도록 실행
1) C Drive에 임시폴더 생성
2) 암호화대상의 드라이브 또는 파티션을 생성된 C Drive에 마운트
3) 스크립트를 외부에서 다운로드 받거나, 복사 붙여넣기하여 실행
4) 비트락커 복구키를 신규 생성된 C Drive에 저장
5) 결국 비트락커 프로세스는 C Drive에 저장된다고 판단하여 실행 됨
(원래 암호화 할 대상에 복구키를 저장하는 방법은 실행이 안됨)
6) D Drive가 암호화 되면서 복구키도 함께 D Drive로 저장됨
(전 세계 어떤 복구 프로그램을 사용하더라도 D Drive를 엑세스 할 수 없음)
7) 랜섬노트 실행 (해커와 연결할 수 있는 방법 화면에 띄움)
8) 모든 윈도우 이벤트 삭제 후 종료
9) 비트락커 랜섬웨어는 해커에게 복구키를 받으면 복구확률은 100%입니다.
다만 해커의 먹튀가 많고, 추가 비트코인을 요구하는 사례가 많습니다.
10) 해커는 최소 1비트코인 ~ 최대 20비트코인까지 요구하고 있습니다.
KRDC의 AI 지도학습기반 비트락커 복구키 추출 프로그램
저희 인공지능 프로그램은 지도학습기반으로 학습하였습니다. 정상 비트락커 복구키 1000개 파일 및 일반 텍스트파일 1000개를 인공지능에 학습시켜 정상인 비트락커 복구키를 추출하는 프로그램으로 개발하였습니다. 그 결과 비트락커로 암호화 된 물리적 디스크에서 비트락커 복구키가 나왔습니다.
이제 크립토 랜섬웨어 공격 공통점을 설명드리겠습니다.
크립토 랜섬웨어
1. 미미캐츠등의 해킹프로그램을 이용하여 메모리에 상주하고 있는 Administrator의 패스워드를 탈취 (Guest 계정을 만들어 정상적으로 로그인)
2. 원격 데스크탑 연결을 이용하여 Administrator로 정상 로그인
3. 주변에 윈도우 서버가 있는지 염탐
4. 암호화 대상 윈도우 서버 파악
5. 외부에서 실행파일 다운로드 또는 복사 붙여넣기
크립토 랜섬웨어의 경우 90%이상 실행파일로 실행하여 감염시킵니다.
(svchost.exe, Never.exe, WindowsUpdate.exe, Chrom,exe 등 우리가 혼돈하기 쉬운 이름으로 실행합니다.)
6. 크립토 랜섬웨어의 경우 해커와 협상을 통해 복호화 키를 받더라도 복호화 과정에서 40%정도 파일이 복구가 안되는 경우가 많습니다. 이것은 암호화 복호화 과정에서 발생하는 문제입니다. 그래서 해커와 협상을 하더라도 100% 복구는 힘듭니다.
KRDC의 AI 지도학습기반 MDF, BAK 정상파일 추출 프로그램
KRDC는 MDF와 BAK파일을 인공지능에 학습을 시켰습니다. 정상 MDF, BAK와 감염된 MDF, BAK파일을 인공지능에 학습시켜 정상인 MDF, BAK 파일을 추출하는 프로그램으로 개발하였습니다. 그 결과 비트락커로 파일이 암호화 되거나 크립토 랜섬웨어로 감염된 파일들은 하나도 검색이 안되고 정상적인 파일들만 검색되었습니다. 인공지능 학습 모델은 MDF, BAK 파일의 시그니처로 학습시켰습니다.
위 결과를 보시면 아시겠지만 비트락커에서 BAK 파일 검색결과와 크립토의 BAK 검색결과가 다릅니다. 즉, 비트락커는 BAK 파일의 헤더를 암호화 시켜 파일 시그니처 기반 파일 추출에서 검색이 안됩니다. 다른 복구 프로그램에서 BAK파일이 나오더라도 MSSQL에서 인식이 안됩니다.
인공지능 MDF, BAK 추출 프로그램은 판매용 프로그램이 아니라 UI를 신경쓰지 않고 그냥 결과만 나오고 파일만 추출하도록 개발하였습니다. 저희만 사용하는 프로그램이라 UI 가 좀 투박합니다.
인공지능이 추출한 MDF파일은 정상적으로 MSSQL에서 인식됨을 알 수 있습니다.
[한국랜섬웨어방어센터]
* 한국랜섬웨어방어센터(KRDC)는 인공지능과 디지털 포렌식 기술력을 기반으로 랜섬웨어 감염으로 손실된 중요 데이터를 신속하게 복구해 드립니다. 또한 랜섬웨어 감염 대응 및 디지털 포렌식 서비스, 데이터 복구, 디스크 복구, ERP 복구, 랜섬웨어 예방을 위한 소프트웨어 공급과 컨설팅 서비스를 제공하고 있습니다. 랜섬웨어 감염 시 즉시 연락주십시오.
또한 랜섬웨어는 무엇보다 예방이 최선의 대응 조치입니다. 랜섬웨어 예방을 위한 윈도우 서버 설정을 미리 조치하면 거의 대부분의 랜섬웨어를 예방할 수 있습니다. 아래 연락처로 문의주시면 현장을 방문하여 랜섬웨어 예방 서비스를 제공해 드립니다.
- 직통 상담 번호: 010-2924-8211
태그: #랜섬웨어 #랜섬웨어공격 #랜섬웨어복구 #보안 #정보보안 #랜섬웨어현황 #데이터복구 #디스크복구 #DB복구 #ERP복구 #랜섬웨어예방 #KRDC #포렌식#AI #인공지능 #비트락커 #크립토
'KRDC' 카테고리의 다른 글
| 랜섬웨어에 대한 두려움에서 벗어나기: AI가 해결하는 BitLocker 랜섬웨어 복구 (0) | 2024.08.30 |
|---|---|
| 제조기업의 랜섬웨어 재발 방지 조치가 꼭 필요한 이유 (0) | 2024.08.16 |
| 랜섬웨어 복구를 위해 해커와 협상하는 것보다 디지털 포렌식 전문가에게 맡기는 것이 더 나은 이유 (1) | 2024.08.12 |
| AI기반 비트락커 랜섬웨어 복구키 찾기 성공사례 (1) | 2024.08.02 |
| 국내 최초 랜섬웨어 감염 MSSQL, AI기반 디스크 포렌식으로 데이터 복구 성공 사례 (0) | 2024.07.22 |
