랜섬웨어(Ransomware)에 걸려버렸답니다. (╥_╥)

아침 일찍 미팅 후 10시정도에... PC를 켰는데.. 미친듯이 느려지더군요…
잠깐 CMD 창도 켜지고, 리소스 관리자를 확인하니 
익스플로러는 메모리를 1GB 를 잡아먹고 있어서 강제 종료시키고… 
소포스 관련 메모리는 많이 올라가고 있고...
그러다가 한참 뒤에 PC가 조용해졌습니다. 

그리고 메일이 한통 왔습니다. 
제가 랜섬웨어에 감염 되었답니다. (゚д゚)!

다행히, 소포스 앤드포인트 인터셉트X에 포함된 크립토가드가 암호화를 중지시키고, 
몇 개 암호화된건 복호화하고, 문제 있는 악성코드를 제거 했다고 합니다. (ᗒᗨᗕ)


크립토가드(CryptoGuard)가 랜섬웨어를 차단했습니다 

놀란 마음을 가라앉히고, 어디서 랜섬웨어에 걸렸을까 짐작해보니 어제 제가 ISMS 관련 자료를 찾으면서, 티스토리에 들어갔을 때 팝업 창이 엄청 떴었습니다

그때 뭔가 이상한거 같다고 생각했는데, Drive by Download 형태로 자동 랜섬웨어 악성코드가 다운로드 된거 같습니다. 

정확한 원인을 확인하기 위해 바로 소포스 센트럴 웹관리페이지의 위협 분석 센터에 들어가 봤습니다. 

저에 대한 사용자 로그를 확인해보면, 4월 2일에 티스토리에 접속시 액세스가 차단되었다는 메시지, 
그리고, 4월 4일 오전에 파워쉘로 랜섬웨어가 실행되었고, 소포스 인터셉트X에서 랜섬웨어 정리 되었다는 로그를 확인할 수 있었습니다.

사용자 이벤트 로그에서 랜섬웨어의 원인과 실행 파일 로그가 보입니다.

센트럴 어드민의 위협 분석 센터에서는 4월 2일의 자동 위협에 대한 내용이 분석되어 있습니다. 

랜섬웨어의 근본 원인이 무엇인지 확인할 수 있습니다

티스토리에 접속했을 때 여러 개의 팝업이 자동으로 띄워졌다고 말씀드렸는데, 분석내용에서 멀웨어와 연관된 URL에 대한 엑세스를 시도했다고 나옵니다. 
아마도 그 중에 몇 개 팝업에서 자동으로 악성코드를 다운받고 다시 PC가 켜질 때 실행된게 아닌가 생각됩니다. 


그 다음 위협분석 내용으로 4월 4일의 랜섬웨어 실행 부분을 확인 하였습니다. 
위협 분석에는 해당 악성 코드가 어떠한 행위를 했는지를 분석 후 가시성 있는 그래프를 작성해줍니다. 



랜섬웨어가 어떠한 과정을 통해 실행되었는지 나타납니다

위의 분석 그래프를 보면, 익스프로러11이 실행 되었고, CMD 창에서 파워쉘을 실행하였습니다. 


상기 파웨쉘 부분을 조금 더 확대 해보면 아래와 같이 나옵니다. 

파워셀이 어떤 명령을 실행했는지까지 확인 가능합니다

어떤 명령을 실행했는지까지 확인이 가능합니다. 아래와 같이, 파워쉘에서 특정 IP에 연결을 시도하고, 파일에 대한 변경을 시작하였는지 세세한 내용까지 파악이 가능합니다.

파워셀이 실행한 세세한 명령까지 파악할 수 있습니다

이러한 랜섬웨어로 인해 실행된 파워셀의 명령을 소포스 인터셉트X가 랜섬웨어로 인지하고 해당 악성코드 프로세스 중지, 파일 변경 중지 및 변경 전 파일을 복구 하였습니다. \(T∇T)/

최종적으로 모든 상태가 정상화 되고, 저에게 메일로 감염 사실을 통지 하였습니다. 

실제 랜섬웨어를 차단하는 모습을 보니 마음이 놓입니다 


소포스 인터셉트X가 리소스를 적게 먹는건 아닙니다만, 실제 사용하는 중에 랜섬웨어를 감지하고 차단하는걸 보니, 도입한 보람을 느꼈습니다. (*^^)v