공유가되야 방어도 쉽고 빠르게 가능한거라 공유해 봅니다.

=====================================================

랜섬웨어 그동안 방어에 패치에 대응을 잘한다고 생각했는데

생각지도 않은곳에서 발생했다...

기존에 관리하는 윈도우 서버중에 하나인데 

어젠가 접속해 보니... 각 폴더 마다 

!#_RESTORE_FILES_#!.ini 라는 파일이 생성되어있다.. 

거의 30만개에 가까운 파일...  

내용을 열어보면 

============================================================================

[WHAT HAPPENED]

Your important files produced on this computer have been encrypted due a security problem

If you want to restore them, write us to the e-mail: *** 개인정보보호를 위한 이메일주소 노출방지 ***

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.

After payment we will send you the decryption tool that will decrypt all your files.

[FREE DECRYPTION AS GUARANTEE]

Before paying you can send to us up to 3 files for free decryption.

Please note that files must NOT contain valuable information

and their total size must be less than 1Mb

[HOW TO OBTAIN BITCOINS]

The easiest way to buy bitcoin is LocalBitcoins site.

You have to register, click Buy bitcoins and select the seller

by payment method and price

https://localbitcoins.com/buy_bitcoins

[ATTENTION]

Do not rename encrypted files

Do not try to decrypt your data using third party software, it may cause permanent data loss

If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files

Your ID: 

K3PzBQcgnhh5WUoB/PpON9uF7CMOj2JwIkH.............................................................................................................................................QzKcUE1muC9ERMCgNIcfQw=.....생략.... 키값도 겁나기네 ㅜㅜ

============================================================================

[WHAT HAPPENED]

내용인즉 이 컴에서 생성된 

중요한 파일을 암호화 하였다..  복원하려면 메일을 보내라.. *** 개인정보보호를 위한 이메일주소 노출방지 ***

가격은 얼마나 빨리 보내느냐에 따라 달려있다. 지불하면

해독용 도구를 보내준다.

[FREE DECRYPTION AS GUARANTEE]

지불하기전 3개의 중요정보가 없는 1Mb보다 작은 파일을 보내면 테스트로 해독해 준다는거같음

비트코인은 LocalBitcoins 에서 등록하고 구매하고 판매자를 선택하라?

https://localbitcoins.com/buy_bitcoins

[ATTENTION]

암호화된 파일의 이름을 변경하지마라 

타사 소프트웨어를 사용하여 데이터 해독을 시도하면 영구적으로 파일이 손상될것이다.

36시간 내에 전자메일을 쓰지 않으면 키가 삭제되며 해독은 불가하다

============================================================================

일단... 서버를 둘러보니 모르는 계정이 생성되어있었다...

IUR_ADMIN 이라는 계정과 public 라는 계정 

한국시간으로 새벽3시반쯤 들어온거 같음 ㅜㅜ

저파일을 생성하는 범인은 이놈으로 생각되어짐..

https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Backdoor%3aPHP%2fWebshell.O&threatid=2147712416&enterprise=0 

계정에 관한 권한/파일 을 지우고 

생성된 30만개 가까운 파일을 지우기 시작함...

 어제 돌려놨는데도 아직도 지우고있음 ㅜㅜ

아직도 도는중 24시간째 도는중

이리 올래 걸리는 이유중 하나가 서버에 안드로이드 스튜디오프로그램이랑

XE로 만들어진 사이트가 한두개 있는데 이두개는 하위폴더가 오지게 많다....

그래서 겁나게 걸린다는 CPU는 널널 메모리 버벅버벅

백신도 돌려봄... 유료백신을 구입해야 하나 ㅜㅜ

맨아래 웹셀을 통해 들어온듯한느낌 

서버라 그런지 정밀검사도 거의 20시간 걸림 1200만개의 파일 ㄷㄷㄷ

체리에디터의 취약점으로 웹쉘을 올린듯한데 문제는 저소스는 사용안된지 3년이 넘었는데 ㅜㅜ

이상하다.... 흠..어쨋든 격리후 -> 제거

아직까진 암호화된 파일은 보이지 않는다. 

호스팅들도 잘 돌아가고있다.

사기인가? 윈도우도 업데이트 하고 원격포트도 바꾸고 

이벤트도 살펴보고...접속 허용 ip도 IDC랑 내IP만 가능하게 바꾸고...

아직까지는 가짜 랜섬웨어 같긴한데...

10분정도후면 서버를 리부팅 해야하는데 두렵다 ㅜㅜ;