Blog

랜섬웨어~?

최고관리자 0 369

랜섬웨어 그동안 방어에 패치에 대응을 잘한다고 생각했는데

 

생각지도 않은곳에서 발생했다...

 

기존에 관리하는 윈도우 서버중에 하나인데 

 

어젠가 접속해 보니... 각 폴더 마다 

 

!#_RESTORE_FILES_#!.ini 라는 파일이 생성되어있다.. 

거의 30만개에 가까운 파일...  

 

내용을 열어보면 

 

============================================================================

[WHAT HAPPENED]

Your important files produced on this computer have been encrypted due a security problem

If you want to restore them, write us to the e-mail: walmanager@qq.com

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.

After payment we will send you the decryption tool that will decrypt all your files.

 

[FREE DECRYPTION AS GUARANTEE]

Before paying you can send to us up to 3 files for free decryption.

Please note that files must NOT contain valuable information

and their total size must be less than 1Mb

 

[HOW TO OBTAIN BITCOINS]

The easiest way to buy bitcoin is LocalBitcoins site.

You have to register, click Buy bitcoins and select the seller

by payment method and price

https://localbitcoins.com/buy_bitcoins

 

[ATTENTION]

Do not rename encrypted files

Do not try to decrypt your data using third party software, it may cause permanent data loss

If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files

 

Your ID: 

 

K3PzBQcgnhh5WUoB/PpON9uF7CMOj2JwIkH.............................................................................................................................................QzKcUE1muC9ERMCgNIcfQw=.....생략.... 키값도 겁나기네 ㅜㅜ

 

============================================================================

[WHAT HAPPENED]

내용인즉 이 컴에서 생성된 

중요한 파일을 암호화 하였다..  복원하려면 메일을 보내라..

가격은 얼마나 빨리 보내느냐에 따라 달려있다. 지불하면

해독용 도구를 보내준다.

 

[FREE DECRYPTION AS GUARANTEE]

지불하기전 3개의 중요정보가 없는 1Mb보다 작은 파일을 보내면 테스트로 해독해 준다는거같음

비트코인은 LocalBitcoins 에서 등록하고 구매하고 판매자를 선택하라?

https://localbitcoins.com/buy_bitcoins

 

[ATTENTION]

암호화된 파일의 이름을 변경하지마라 

타사 소프트웨어를 사용하여 데이터 해독을 시도하면 영구적으로 파일이 손상될것이다.

36시간 내에 전자메일을 쓰지 않으면 키가 삭제되며 해독은 불가하다

 

============================================================================

 

일단... 서버를 둘러보니 모르는 계정이 생성되어있었다...

IUR_ADMIN 이라는 계정과 public 라는 계정 

한국시간으로 새벽3시반쯤 들어온거 같음 ㅜㅜ

 

저파일을 생성하는 범인은 이놈으로 생각되어짐..

b37dc60051af15f0964fe1bf4d9e8079_1496658114_0142.png

 

https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Backdoor%3aPHP%2fWebshell.O&threatid=2147712416&enterprise=0 

 

계정에 관한 권한/파일 을 지우고 

생성된 30만개 가까운 파일을 지우기 시작함...

 

 어제 돌려놨는데도 아직도 지우고있음 ㅜㅜ

 

b37dc60051af15f0964fe1bf4d9e8079_1496658175_2557.png

 

아직도 도는중 24시간째 도는중

 

b37dc60051af15f0964fe1bf4d9e8079_1496658449_981.png

 

 

 

이리 올래 걸리는 이유중 하나가 서버에 안드로이드 스튜디오프로그램이랑

XE로 만들어진 사이트가 한두개 있는데 이두개는 하위폴더가 오지게 많다....

그래서 겁나게 걸린다는 CPU는 널널 메모리 버벅버벅

 

b37dc60051af15f0964fe1bf4d9e8079_1496659118_3877.png
 

 

백신도 돌려봄... 유료백신을 구입해야 하나 ㅜㅜ

 

b37dc60051af15f0964fe1bf4d9e8079_1496658602_7392.png

맨아래 웹셀을 통해 들어온듯한느낌 

 

b37dc60051af15f0964fe1bf4d9e8079_1496660666_6889.png
 

 

서버라 그런지 정밀검사도 거의 20시간 걸림 1200만개의 파일 ㄷㄷㄷ

 

b37dc60051af15f0964fe1bf4d9e8079_1496658655_1341.png
 


체리에디터의 취약점으로 웹쉘을 올린듯한데 문제는 저소스는 사용안된지 3년이 넘었는데 ㅜㅜ

이상하다.... 흠..어쨋든 격리후 -> 제거


다행히 아직까진 암호화된 파일은 보이지 않는다. 

호스팅들도 잘 돌아가고있다.


사기인가? 윈도우도 업데이트 하고 원격포트도 바꾸고 

이벤트도 살펴보고...접속 허용 ip도 IDC랑 내IP만 가능하게 바꾸고...


아직까지는 가짜 랜섬웨어 같긴한데...


10분정도후면 서버를 리부팅 해야하는데 두렵다 ㅜㅜ;










 

 

 

 


  • 페이스북으로 보내기
  • 트위터로 보내기
  • 구글플러스로 보내기
  • 카카오스토리로 보내기
  • 네이버밴드로 보내기
  • 네이버로 보내기
  • 텀블러로 보내기
  • 핀터레스트로 보내기

Comments

08 02, 2018

크리스마스 선물... feat조카..

최고관리자 | 댓글 0 | 조회 1 | 추천 0
08 02, 2018

비트코인이 아직 핫하다죠? feat 블록체인

최고관리자 | 댓글 0 | 조회 1 | 추천 0
08 02, 2018

공포의 대상 !!

최고관리자 | 댓글 0 | 조회 1 | 추천 0
08 02, 2018

아이코스 결국 오픈~!

최고관리자 | 댓글 0 | 조회 1 | 추천 0
08 02, 2018

담배,흡연,전자담배,아이코스

최고관리자 | 댓글 0 | 조회 1 | 추천 0
08 02, 2018

48,000원짜리 떡볶이

최고관리자 | 댓글 0 | 조회 1 | 추천 0