Osiris 랜섬웨어 감염 사례

오시리스(Osiris) 랜섬웨어 감염 사례이다.

업무용 전산망에 공인인증서로 접속이 안 된다고 하여, 마침 전산관련 외주업체 직원도 들어와 있던 차라 같이 확인해 보니,

랜섬웨어 감염이 확인되었다.

네모 안의 코드가 바로 그것이다.

데이터는 40~50% 정도 암호화되었다. 3년치 업무 자료가 모두 암호화된 상태다.(한글, 엑셀, 그림파일 등)

특정 폴더에 접근해 보니, 아래와 같은 파일이 2개 뜬다.

그 중 HTML 문서를 클릭하면 아래와 같이 뜬다. 토르를 깔고, 주소를 아래와 같이 치라고 나온다. 그 안에 들어가면 비트코인 얼마 내라고, 그럼 풀어주겠다고 나오겠지.

우리 회사 망에서 처음 확인된 랜섬웨어 감염사례이다.

이 PC를 쓰던 직원에게 엄한 사이트 접속했냐 물어보니 펄쩍 뛴다. 비교적 공인된 사이트(네이버, 구글, 옥션, 지마켓, 은행망 등)만 접속했다 한다. 그래서 업무용메일계정 쓰냐고 물었더니 안 쓴단다.

유입 경로가 모호했다.

하지만 약 2시간 쯤 뒤에, 들어갔던 사이트를 하나 알려준다.

아직도 그런 분들이 있다니 놀랍다. 오픈마켓에서 물건 사면 따라오는 선전쿠폰에 영화무료관람권 준다고 해서 그 사이트 들어갔단다. 기껏 인증(?)받고 들어갔더니 무료표는 하나도 없어서 허탈했다고 투덜거린다.

사이트 주소는 못 받았다. 기억이 안 난단다.(바보!)

물론 공인된 극장 누리집은 아니다. 그쪽 감염이 확실했다.

포맷만이 답이라고 했으나 이해를 못했다. 복구해달라고 한다.

내가 바로 전날 16시쯤 전체쪽지로 랜섬웨어 사례와 예방 방법을 뿌렸는데, 그거 읽고도 그렇게 하신다. 개념이 있는 건지 없는 건지 참...

V3로 감지가 안 된다. (우리 회사는 V3 엔드포인트 9.0 정품을 쓴다)

예방 방법은,

1. 이상하다고 판단되는 사이트 접근 금지.

2. 윈도7+IE사용+플래시파일 클릭이 가장 취약하다. 되도록 구글 크롬으로 접속하기를 권장

3. 중요 데이터는 항상 백업하라!

  나의 경우 DAS에 HDD 2개 장착하고 매일 21시에 중요데이터만 자동백업되게 해 놨다. 이 사건으로 인해 NAS로 백업하게 할까도 검토중.

4. 치료툴은 없다. 하지만 이상을 감지하는 툴은 많다. 또는 이런 기능이 들어간 백신도 많다.

  나의 경우 [V3 365(유료)+안랩 안티랜섬웨어+바이로봇APT쉴드2.0] 조합으로 사용중이다. 바이로봇 것은 윈도 취약점 공격을 차단하는 툴이다.

  안티랜섬웨어로는 멀웨어 차단으로 유명한 mzk를 만든 체크멀의 '앱체크'도 좋다. 유료지만 무료도 좋다.

  트렌드 마이크로 맥시멈 시큐리티 같은 경우는 백신프로그램 안에 랜섬웨어 감지 및 차단툴이 같이 있기도 하다.

  Ahnlab http://www.ahnlab.com

  Ahnlab Anti-Ransomeware http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=120

  바이로봇 APT 쉴드 2.0 http://www.aptshield.co.kr

  체크멀 http://www.checkmal.com

5. 백신은 되도록 유료정품 써라. 기껏해야 1년에 35,000원 이상 안 들어간다. 요즘 몇몇 외국산 백신들은 저 금액에 몇 년 라이센스를 주기도 하니 잘 찾아보시라.

  http://www.av-test.org 를 참조하시면 최상위권 백신들을 찾아볼 수 있다.

  V3가 탐지력이 저조한 툴은 아니다. 순위가 떨어질 뿐이고 꽤 쓸만하다. 마음에 안 들면 위 사이트에서 원하는 백신을 써라. 개인적으로 V3 14회차 갱신했다. 15년째 쓰고 있지만 문제 없었고, 이상증상이나 에러가 탐지되었을 때에 안랩의 조치는 뛰어났다.

6. 윈도 업데이트, 각종 프로그램의 최신버전 업데이트는 필수.

내 PC는 내가 지키는 거다.