'IT/보안'에 해당되는 글 6건

최근 아래와 같은 메일 패턴으로 랜섬웨어가 퍼지고 있다.

메일을 받았는데 다음과 같은 메일이라면 파일을 궁금해할 필요도 없이 삭제해야한다.

1번 패턴 - 저작권 이미지 사용 관련 메일

안녕하세요

현재 사용하고 있으신 이미지들중 제가 제작한 이미지는

무료로 배포되는 이미지가 아니기에 다른 동의없이 사용이 불가합니다

아마도 모르고 실수로 그러셨을꺼라고 생각해요

저도 그런 실수를 저질렀던적도 있거든요

이게 생각보다 작은곳에서도 문제가 되는 경우가 꽤 많습니다

이런저런 법적 이야기를 하려고 메일드린건 아니에요

그냥 사용을 금해주셨으면합니다

원본이미지랑 사용중이신 이미지 같이 pdf로 정리해서 보내드려요

확인하시고 조치부탁드리겠습니다

이게 작은것같아도 개인작가로 활동하는 저한테는 신경을 써야하는부분이라

부탁드리겠습니다

그럼 좋은하루되시구요

감사합니다

2번 패턴 - 국세청 사칭

대한민국 국세법 제 211조에 따라 귀하는 피고인 자격으로 심문을 위해2019년4월2일 12:00까지 국세청으로 출두해야 합니다. (주소: 세종특별자치시 국세청로 8-14 )

 

신분을 확인할 수 있는 여권이나 서류를 지참하십시오.
지정된 기간에 출두하지 못할 사유가 있을 경우, 이메일이나 다른 방법으로 통보해 주십시오.

 사건의 추가 정보는 본 전자 편지에 첨부됩니다. 귀하는 서류에서 본 소환에 모든 정보와 발생 원인을 알게 되며, 또한 귀하의 사건 조사관에 대한 연락처를 알게 됩니다.

 

대한민국 국세법 제177조에 따라, 피고인 자격으로 세법 위반에 대한 사건으로 소환되는 자가 특별한 사유없이 출두하지 않거나 출두를 거부할 경우 형사적 책임을 수반합니다.

법 명령에 대한 불복종이나 정부 조사자의 요구에 따르지 않을 경우 대한민국 형사법 제18.5조1항에 따라 책임을 수반합니다.

*우리나라에는 국세법 211조도 없을뿐더러(소득세법에 있다.) 설령 세법을 어겼더라도 국세청으로 갈 필요없다. 친절하게 국세청 직원이 집으로 내방하던가. 경찰서로 연행되가거나(근데 불법세금체납자 잘만 살잖수?). 거기에 신분 확인에 필요한 서류를 보았을때 의심을 해봐야 한다. 우리나라는 여권으로 신분확인하지 않는다. 절대 속지마라. 내용을 잘 읽어보면 함정이 숨어 있다. 피싱메일은 당황하면 당하는 것이다.

3번 패턴 - 팩스

WiseFax에서 인사 드립니다. – 이메일로 온라인 팩스를 보내고 받으십시오.

귀하는 팩스로 새 전자 메시지를 받았습니다.[발송자 사업 번호- 82-2-584-3257 회사 이름-한국약학회, 발송자-이용복]

귀하에게 팩스로 34페이지가 발송됐습니다. 발송날짜 2019년4월3일 19:34

전자 팩스 코드 번호 - [WiseFax-0304201958032204]

귀하에게 발송된 서류는 이 편지에 동봉되어 있으며, 본 서류를 보기 위해서는 반드시 Microsoft Office Word를 사용해야 합니다.

WiseFax를 이용해 주셔서 감사합니다!.

 

Copyright © 2019 Vanaia

*온라인으로 팩스를 보냈으니 받으라고하고 첨부파일 클릭을 유도한다. 내가 모르는 팩스를 메일로 받는다는게 이상하지만 사람들은 일단 클릭하고 본다. 팩스 받을데도 없는데 클릭하면 흑우 인증하는 거다.

그밖에도 헌법재판소 사칭, 경찰 사칭 등의 피싱메일들이 있다. 피싱메일은 유심히 읽으면 이상한 점을 확인할 수 있으니 언제나 정신없이 메일을 보지 않도록 하자.(피싱전화도 옆에서 자는 아이를 데리고 있다고 하는 경우도 있다.)

*실제로 받은 메일 샘플. 

 본문 내용도 한글이고 파일명도 한글이라 속아 넘어가기 쉽다.

 메일 내용을 유심히 보면 뭔가 이상한 느낌이 나는데 그냥 보면 자신도 모르게 파일을 더블클릭하게 된다.

PDF로 속이도록 파일 아이콘이 PDF 아이콘으로 바뀌어 있다.

자세히 보면 파일 이름 과 수정된 일자 사이에 말줄임표(...)가 있다.

실제 이 파일 이름은 

원본이미지..pdf                                                                                    .exe 이다

실행파일인것을 감추기 위해서 띄어쓰기로 속이고 있는 것이다. 파일 유형을 자세히 보면 문서 파일이 아니라 응용프로그램으로 되어 있는것을 볼 수 있다.

필자의 테스트 장비에서 실행을 해보았다.

오 ... 저렇게 뜨면 끝난거다.

문서 파일들은 모두 암호화 되어서 바이바이

현재 v5.2는 복호화툴이 없어서 걸리면 포맷하고 재설치 해야 한다.

(아니면 복호화툴 나올때까지 봉인해놓던가)

친절하게 암호화된 폴더마다 파일이 들어가 있다.

비트코인 내놓으면 풀어준다는데 풀어줄지 안풀어줄지는 도박과 같다.

이렇게 암호화된 경우에는 답이 없다. 테스트장비이니 망정이지 주력으로 사용하는 PC였다면 .... 생각하기도 싫다

걸리면 피해가 막심한 랜섬웨어 어떻게 예방해야 할까?

랜섬웨어 예방법

1. 의심스러운 메일은 절대 열어보거나 파일을 클릭하지 않는다.

>> 나에게 보내지 않은 메일, 수신자가 많은 메일, 이상한 메일주소에서 온 메일

2. 파일 이름에 말줄임표가 있거나 아이콘이 비정상적이거나 한 파일은 절대 실행 금지

3. 윈도우 및 백신은 항상 최신 업데이트 유지

(테스트시 윈도우 10에서 GandCrab V5.2 파일을 막아주는걸 확인 했다. 실행안되면 말아야 하는데 안된다고 굳이나 실행시키는 사람은 스스로 랜섬웨어 걸려주세요 하는 짓이다.)

만약 랜섬웨어에 걸렸다면 어떻게 해야할까.

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/

비트디펜더에서 제공하는 사이트에서 파일을 받아서 복호화 하면 된다.

2019년 2월 19일 Bitdefender에서 Gandcrab v1, v4, v5에 대한 복호화툴을 배포하였습니다.

해당 복호화툴은 아래 Bitdefender​에서 다운로드할 수 있으며, 모든 파일이 정상적으로 복구되는 것을 확인하였습니다.

이전 복화툴은 v5.0.3까지 가능했지만 이번에 나온 것은 업데이트되어 v5.0.4과 v5.1도 복구가 가능합니다.

하지만, 랜섬노트인 메모장 파일이 없거나 메모장이 깨져서 나오는 초기버전인 v5.0의 경우 복구가 불가능한 경우도 있습니다.

​따라서, 랜섬노트에서 랜섬웨어의 버전을 확인해주시길 바랍니다. 

​또한, Bitdefender​ 서버와 연결하여 검증 작업을 하기 때문에 네트워크가 연결되지 않은 경우 복구를 진행할 수 없습니다.

본 과정은 Bitdefender​에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.​

※​ 복구 가능한 확장자명 ※​

랜섬노트 - GDCB-DECRYPT.txt , KRAB-DECRYPT.txt​ , [변경된 임의의 확장자]-DECRYPT.txt ​                  

변조된 확장자명 - .GDCB  .KRAB  .임의의 영문자 조합 5~10자리

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/

-> 사이트에 들어가 프로그램을 다운로드 받습니다.

24일 회사 동료에게 날아온 메일 한통...

처음엔 스팸인줄 알고 이게 뭔가 싶어서 나에게 보낸거 같았는데 찾아보니 23일 윈윈소프트라고 하는 곳에서 개인정보 유출이 발생했다는 걸 확인했다.

윈윈소프트는 쇼핑몰 호스팅하는 업체로 다양한 쇼핑몰들이 이 업체를 이용하는 만큼 조치가 필요할 것으로 생각된다.

1. http://winwinsoft.co.kr/bbs/board.php?bo_table=winwin_solution

   -> 해당 게시판에 문의 하면 어떤 사이트에 가입되어 있는지 확인 가능

비번이 노출되었다고 말씀드린건 암호화된 상태로 노출이 되었다는 이야기입니다. 
그래도 혹시모를 피해를 최소화하기 위하여 고객님의 기존에 사용하시던 비밀번호를 변경하여 주시기 바랍니다. 
추가로, 동일한 아이디(ID) , 비밀번호(P./W)를 사용하시는 사이트가 있으시다면, 변경 부탁드리겠습니다. 

 

[현재 상황 및 피해보상 관련에 대해서 안내드리겠습니다.] 

당사는 인지 즉시 이 사건을 한국인터넷진흥원 및 서울지방경찰청에 신고하였으며, 현재 수사 등을 통해 사건의 명확한 경위가 파악되는 중에 있습니다. 
아직까지 이 해킹 사건으로 인해 유출된 개인정보의 범위나 유출 경위가 현재 분명히 파악되지는 않고 있으나, 수사를 통해 확인되는대로 합당한 구제절차를 마련하도록 하겠습니다. 

피해가 발생하였거나 예상되는 경우에는 아래 담당부서에 신고하시면 성실하게 안내와 상담을 해 드릴 것이며, 
그리고 개인정보 악용으로 의심되는 전화, 메일 등을 받으시거나 기타 궁금하신 사항이 있으신 경우, 당사에 연락 주시면 친절하게 안내해 드리고, 신속하게 대응하도록 하겠습니다. 

고객님께 심려를 끼쳐 드리게 되어 거듭 진심으로 다시한번 사과 드립니다.

2. 확인 되는 경우 해당 계정/비밀번호와 동일하게 가입된 다른 사이트 모두의 ID/PW 변경 

3. 현재 확인된 윈윈소프트 개인정보 유출된 쇼핑몰

  원영C&C:  http://wycnc.co.kr 

  컴앤쇼핑 http://cnsmall.co.kr

  이노피씨 http://innopc.winwinprice.co.kr 

  플레이컴퓨터 http://playcom.co.kr 

  왕컴퓨터  http://wangcomputer.co.kr

  컴비아 http://yongsancom.net

Ctrl+F 로 검색하시고 확인되는 경우 패스워드 변경 부터 진행하시길 바랍니다.

아니 저렇게 많은 회사 협력사가 있으면 다른데보다 파급력이 더 강한거 아닌가...

지금 몇개 봐도 내가 가입했던데가 눈에 보이는데...?

ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (2)

서버 작업 중 위와 같이 Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (2)에러가 나왔을때 해결 방법

(출처: 제타위키 , 저작자: Jmnote)

1 문제상황 1: MySQL 설치 후

[root@zetawiki ~]# find / -name mysql.sock

→ mysql.sock이 없다.

  1.1 상황 1: MySQL 클라이언트만 설치됨

• mysql-server 설치 확인

[root@zetawiki ~]# rpm -qa | grep ^mysql
mysql-5.1.69-1.el6_4.x86_64
mysql-libs-5.1.69-1.el6_4.x86_64

→ mysql-server 패키지(서버)가 설치되어야 하는데, mysql 패키지(클라이언트)만 설치되어 있다.

해결방법

• 다음 명령어로 mysql-server 패키지를 설치하자.

yum install mysql-server

  1.2 상황 2: mysqld가 시작되지 않음

[root@zetawiki ~]#  rpm -qa | grep ^mysql
mysql-5.1.69-1.el6_4.x86_64
mysql-libs-5.1.69-1.el6_4.x86_64
mysql-server-5.1.69-1.el6_4.x86_64

→ mysql-server가 설치되어 있다.

[root@zetawiki ~]# service mysqld status
mysqld is stopped

→ mysqld 가 중지되어 있다.

다음 명령어로 실행하면 된다.

service mysqld start

위와 같이 했는데도 내 서버에서는 여전히 같은 오류를 뱉어내고 있었다.

글쓰기에는 늦었을지도 모르지만 ... Windows 7에도 피해가 있다는거 같으니 꼭 받아서 한번쯤 돌려놓고 자는 것이 좋을 것 같다.

집에는 XP와 7이 공존하는 터라 ... 둘다 돌려야함...(날아가면 안되는 자료들이 수북한데....)

(그림 클릭하면 링크 이동 됩니다...)

v3_agent_24576.zip

설치나 실행은 어려운 것이 아니니 설명은 생략

다운 받고 - 압축 풀고 - 실행하고 - 완료를 기다림 ( 보통 전 자기전에 걸어 놓고 잡니다)