보안

문서파일을 mp3로 바꾸는 TeslaCrypt 3.0 랜섬웨어.

sungtg 2016. 3. 20. 20:00

광학현미경을 오퍼하는 친구가 있는데...

이번에 문서파일이 mp3로 바뀌었다고 전화가 와서 방문을 했었습니다.

 

 

 

문서가 있는 폴더에 Recovery+~ 파일이 html, txt, png로 각각에 있었습니다.

 

mp3 파일의 파일 속성을 보니까..

속성값은 그대로 엑셀파일로 인식하는 것 같아서

확장자를 xls로 바꾸고 열었더니..

Recovery+~.html 이 뜨면서

돈을 요구하는 안내 문서(비트코인 1000달러)가 뜨고 

엑셀안의 데이타가 전부 깨져서 나왔습니다.

 

다른 jpg나 pdf문서들도 마찬가지 경우 였습니다.

확장자를 바꾸고 내용을 보니까, 전부 내용이 깨져서 보입니다.

 

이상한 프로세스가 있나 싶어서 작업관리자, dll, 서비스를 두져 봤는데 없더군요

문서 파일만 타킷을 삼은 것 같았습니다.

 

원인

 

체코에서 메일을 받아서 열었는데..

구글 닥스와 연결된 문서로 넘어가서 다운받고 뭘 설치하는 것 같더니만 ...

이렇게 되었다고 합니다.

 

익스플로러의 주소록도 탈취 당해서, 메일주소로 똑같은 내용이 발송되어서,

미국, 영국에 있는 거래처에 

메일을 열지 말라는 메일을 따로 보내느냐고 진땀을 뺏다고 하더군요..

 

결론

 

피싱과 랜섬웨어가 결합이 된 경우 인것 같습니다.

시스템에는 문제가 없고, 문서 파일만 암호화를 시킨 경우 였습니다.

 

조치는 우선 문서를 백업을 한 후, 나중에 복보화를 푸는 유틸리티를 기다리기로 하고

일단 컴은 포맷을 하기로...


복보화 시키려면 프로그램이 있어야 하는데... 

실행 파일은 없고, 

그렇다면 커맨드 상에서 dll 파일로 조작 했을 가능성이 있어서 살펴 보려고 했으나, 

다행이도 직원이 포맷하는 걸로 결론을 보길래 

그냥 포기를 했습니다.ㅋ



이번 경우는

문서 파일을 노린 경우이고,

파일 열기까지는 가능 한데,

데이타에 암호화를 걸어 놨기 때문에 암호화를 푸는 프로그램 밖에는 방법이 없습니다

 

랜섬웨어는

이상한 메일을 제일 조심해야 되고

중요 문서 파일은 2중 3중으로 백업을 받아두는 것이 안전합니다.