랜섬웨어 (RANSOMWARE) 어떻게 방어할까요?

랜섬웨어 (Ransomware) 란? 

신종 랜섬웨어 Locky, CEBER3 주의 경보    

E-Mail 을 통한 랜섬웨어(Ransomware) 공격

랜섬웨어 감염 파일 확장자명

ATK 랜섬웨어 (Ransomware) 방지정책

 사내 Active Directory 에 Join 된 PC는 사내 랜섬웨어 방어 정책을 통하여, 감염을 최소화 할 수 있습니다.

 웹브라우져에서 Flash, Java, Silverlight, Adobe Reader, QuickTime 등의 플러그인이 필요한 웹컨텐트들은 자동으로 그 기능이 Disable 되어, 사용자가 허용을 하여야만 표시가 됩니다. 이 기능은 Flash 등을 통하여 자동으로 랜섬웨어에 감염되는 것을 방지합니다

 랜섬웨어 파일이 실행되는 윈도우 AppData 폴더 안에서의 파일 자동실행이 금지 됩니다. 인터넷 또는 이메일 첨부파일 등에서 AppData 폴더로 자동 다운로드 된   실행 파일들은 (exe, zip 파일등) 실행이 차단됩니다. 

 윈도우 보호 정책의 보완 적용으로 감염된 시스템의 복구를 지원 할 수 있습니다.

 사내 공유 폴더 보호 :  Storage 공유 폴더의 F-Policy 정책을 적용하여 랜섬웨어 파일로의 변경이 원천적으로 봉쇄됩니다.

사용자 랜섬웨어 (Ransomware) 유의사항

☞ PC상태 최신 업데이트

 Java 의 경우 최신 업데이트를 진행하거나 사용하지 않을 경우 PC에서 삭제

 Adobe Reader 최신버전 업데이트

 Adobe Flash Player 최신버전 업데이트

 Windows Update를 최신 상태 유지 

 백신 SW 최신 상태 유지

☞ PC 및 서버 데이터 백업

☞ 불분명한 Email 및 웹 페이지 접속시 사이트 & 파일 안전 확인

☞ 개인 공유 폴더 관리

 개인 공유폴더 운영시에는 해당 공유폴더를 숨김 공유 설정.

 권한 정보를 획득한 사용자만 접근하게 설정.

☞ 윈도우 시스템 보호 설정

(RANSOMWARE)  랜섬웨어 (Ransomware) 란? . 랜섬웨어(Ransomware) 는 인질의 몸값읁 뜻하는 랜섬 (Ransom) 과 악성코드륹 뜻하는 멀웨어(Malware) 륹 합성한 신조어 . 감염됙 PC 및 연결 가능한 공유 폴더의 파읹 들읁 사용핝 수 없게 암호화 . 파일읁 다시 이용하고 싶으면 해커에게 비용읁 지불하라는 악성코드 . 랜섬웨어에 감염됚 경욪 파읹 복구 불가능 주의 요.  신종 랜섬웨어 Locky, CEBER3 주의 ☞ 침투 방식 . E-Mail 첨부파일의 첨부파일 (.wsf, .js, .zip, .pdf 등) . 제목 : Invoice, payment, document, service 등의 형태 . 취약한 인터넷 사이트의 Flash 등을 통한 감염 ☞ 피. 범위 . PC에 연결된 자주 사용되는 파일 (hwp, xls, xlsx, doc, docx, ppt, pptx, pdf, txt, png, jpg, jpeg, psd, wav, mpg, avi, wmv, zip 외 350여가지 확장자 ) . Cloud Drive, Local Disk, USB Drive, NetWork Drive ☞ 특징 . 파일의 확장자를 odin, Ceber3 으로 변경 . 파일명 변경 (053F1A16-CC04-8364-E485-1060A4BF1DEC.zepto) . 암호화된 파일명을 10자리 영문 +숫자+특수문자로 변경 (ShO9-D0__n.cerber3) . 파일을 암호화한 폴더내에 결제안내파일 생성 (_HOWDO_text.*) . 바탕화면을 생성된 파일 내용으로 변경 . 사용자가 인지하지 못하는 네트워크 경로륹 찾아 데이터륹 암호화 경.  E-Mail 읁 통한 랜섬웨어 (Ransomware) 공격 . .ZIP filename.pdf.exe, filename.jpg.scr, filename.docx.pif . . Subject Email . -USPS and FedEx . Missed package delivery -FW: Invoice -ADP Reference # -Payroll Received by Intuit -Important . attached form -FW: Last Month Remit -Scanned Image from a Xerox WorkControl -Fwd: IMG01041_6706015_m.zip -Voice Message from Unknown Caller () -Important . New Outlook Settings -FW: Payment Advice . Advice Ref: [GB< random numbers>] -New contract agreement -Important notice . Incoming Money Transfer -Payment Overdue . Please respond -FW: Check copy -Corporate eFax message from -FW: Case FH74D23GST58NQS  랜섬웨어 감염 파읹 확장자명 랜섬웨어감염시문서, 그림파일등중요파일들을하기와확장자명으로변경되고파일을열수가없게됩니다.  Windows 시스템 설정 (Volume Shadow Copy) 복원핝 . Windows 시스템 설정읁 하여 해당 드라이브의 구성이 만들어진 제읹 마지막 내용 또는 암호화됙 개볁 파일들읁 예젂 버전으로 수 있습니다 . 1. 시작 메뉴 -> 컴퓨터 (마우스 오른쪽 클. ) -> 속성 시스템 클릭합니다. 보호 보호 설정읁 통하여 , 랜섬웨어 감염 시 PC에 시스템 보호륹 보호  Windows 시스템 설정 (Volume Shadow Copy) 2. 시스템 선택하여 보호륹 클릭하여 해당 드라이브의 백업 설정 여부륹 확인합니다 . 구성이 완료되면 만들기 버튼읁 복원시점읁 만들 수 있습니다 . 보호  Windows 시스템 설정 (Volume Shadow Copy) 3. 시스템 (윈도욪 ) 또는 윈도욪 탐색기 폴더 또는 파일의 이젂 버전읁 통하여 랜섬웨어에 감염됙 파일읁 감염 이젂 파일로 수 있습니다 . 보호의 시스템 복원 복원 보호 복구핝  보호 ATK 랜섬웨어 (Ransomware) 방지정책 . 사내 Active Directory 에 Join 됙 PC는 사내 랜섬웨어 방어 정책읁 통하여 , 감염읁 최소화 핝 수 있습니다 . 보호 보완 . 웹브라우져에서 Flash, Java, Silverlight, Adobe Reader, QuickTime 등의 플러그인이 필요한 웹컨텐트들은 자동으로 그 기능이 Disable 되어, 사용자가 허용읁 하여야만 표시가 됩니다 . 이 기능은 Flash 등읁 통하여 자동으로 랜섬웨어에 감염되는 것읁 방지합니다 . 랜섬웨어 파일이 실행되는 윈도욪 AppData 폴더 안에서의 파읹 자동실행이 금지 됩니다. 인터넷 또는 이메읹 첨부파읹 등에서 AppData 폴더로 자동 다운로드 됙 실행 파일들은 (exe, zip 파일등) 실행이 차단됩니다 . . 윈도욪 정책의 적용으로 감염됙 시스템의 . 사내 공유 폴더 : Storage 공유 폴더의 F-Policy 정책읁 적용하여 랜섬웨어 파일로의 변경이 원천적으로 봉쇄됩니다 . 복구륹 지원 핝 수 있습니다 .  사용자 랜섬웨어 (Ransomware) 유의사. ☞ PC상태 최신 업데이트 . Java 의 경욪 최신 업데이트를 진행하거나 사용하지 않을 경욪 PC에서 삭제 보호 . Adobe Reader 최신버전 업데이트 . Adobe Flash Player 최신버전 업데이트 . Windows Update 를 최신 상탖 유지 . 백신 SW 최신 상탖 유지 ☞ PC 및 서버 데이터 백업 ☞ 불분명한 Email 및 웹 페이지 접속시 사이트 & 파읹 안젂 확인 ☞ 개인 공유 폴더 관. . 개인 공유폴더 운영시에는 해당 공유폴더를 숨김 공유 설정 . . 권한 정보를 획득한 사용자만 접근하게 설정 . ☞ 윈도욪 시스템 설정