utorrent 와 w32 sality(win32 sality) 바이러스 침투
utorrent 최적화.하드디스크 단편화방지. 광고제거. 64비트용 등등 많은데, 제일 중요한 게 없슴.
한 번걸리면 억 소리나고, 피눈물.
예방은 의외로 간단 -> 안티바이러스. 방화벽 프로그램을 설치 : 사실 내용은 이거 한 줄. 지리멸렬 길게 써도, 이거 한 줄로 ok
그런데, 상용프로그램의 크랙프로그램을 허용한다는 이유로, 해제하는 경우가 종종있게되고,
바이러스가 심어짐.
중국 쪽은, 홈페이지변경등의 트래픽증가(=돈)를 위한 애드웨어가 주류
랜섬웨어와 불량 이미지사이트
둘다 %Temp% 폴더로 exe 실행파일 침투
(*) %TEMP% = 보통 C:\Users\로그인계정\AppData\Local\Temp 로 , 윈도우 시작 > 실행에 %TEMP% 치면 이동
1. utorrent 는 ipfilter 로 불량?ip 필터링
http://davidmoore.github.io/ipfilter/
utorrent/ Bitorrent/ qbittorrent 의, IPFILTER 업데이터로 해당 토렌트프로그램의 ipfilter.dat 를 업데이트시켜줌.
토렌트프로그램 옵션(보통 고급옵션)에서, ipfilter enable 을 true로 ... (보통 기본설정 되어있슴)
토렌트보단 P2P 추천. 불법자료 배포..등등
하드디스크용 구버전 utorrent 라도, ipfilter.dat만이라도 최신 것이 필수.
w32 sality(win32 sality) 침투시, 파일 감염 - 방화벽 작동 중단시킴- Activex 설치 인터넷뱅킹 불가
|
참고용 국가별 ip 대역 현황
http://www.krnic.or.kr/jsp/infoboard/stats/ipCurrent.jsp
|
2. 불량이미지 및 토렌트 파일 다운사이트
주로 성인.와레즈 등등의 이미지 호스팅에서, TEMP폴더로 랜섬웨어 침투. ???.exe 가 실행됨~ 작업관리자(모든 사용자 프로세스 표시 체크)로 확인가능.
듣보잡 이미지사이트나 토렌트 다운 사이트 주의~
아마.... 여기서 걸리는 케이스가 많을 걸로 봅니다. 클릭시 ~ 퍼퍼퍼퍽 창이 뜨면서, 감염~
이 원래사이트 문제가 아니라, 뜨는 사이트에서 다시 팝업 걸고... 다단계식도 있는데, 그 중 잘못하면 이미 감염된 사이트를 만나서, 걸릴 수 있습니다.
하드디스크가 과부하(choke)되는 느낌이 있으면, alt ctrl del 눌러서 작업관리자 켜보세요. 설명도 없는 이상
한 ? exe 가 돌아가고 있다면, 권한문제로 종료가 안되는 경우도 있으니, 강제로 컴을 팍 끄시구요.
다시 부팅시 안전모드로 들어가서, %temp% 폴더 같은데 안의 파일 전체 지우세요. ie 쓰셨으면, 인터넷옵
션> 삭제에서 temporary internet files 캐시도 지우세요.
- 현실은, 저 위 이미지 보시고, 토렌트 돌려서... 파일 변조 시키는 소리를, 그냥 다운받나 보네~ 하시는 경우가 많습니다 -
외국은... 위험한?? 곳을 서핑하실 예정이라면, IE베이스 아닌 브라우저가 좋고, IE기반이라도 자바스크립트랑 ACTIVEX는 해제하고, 서핑하시는 것도 좋습니다.
.exe 실행파일 침투로, 디스크내 데이터를 키를 이용해 변조(encrypt or encode)시킴
초기랜섬의 경우, 키를 bruteforce로 풀어서, decrypt 시키는 프로그램이 있지만, 최근엔 키값이 길어졌는지 어려움
|
랜섬웨어 파일 복구 프로그램 (한계가 있슴) :
http://www.avg.com/ww-en/ransomware-decryption-tools
등등 많음.
|
파일을 변조시킴
복구하고 싶으면, 돈줘~
방화벽. 안티바이러스 필수
IE 외의 타브라우저 권장
TEMP 폴더 접근권한 체크(우클릭 > 속성 > 보안에 어떤 그룹이 어떤 권한을 가졌나).. 필요한 사용자만으로 한정해서, 권한변경도 좋음.