2016.10.06

DB 공격하는 '케르베르 랜섬웨어'

Lucian Constantin | IDG News Service
케르베르 랜섬웨어가 MySQL, 오라클, 마이크로소프트 SQL 서버 등 일반 DB 관련 프로세스를 공격하려는 것으로 밝혀졌다.


데이터베이스를 겨냥한 케르베르 랜섬웨어. Credit: IDGNS

케르베르 램섬웨어(Cerber ransomware)가 컴퓨터와 서버에 저장된 가장 중요한 데이터를 암호화하기 위해 현재 데이터베이스 서버와 관련한 프로세스를 차단시키려 한다.

랜섬웨어 프로그램은 파일을 살리고 싶어하는 더 많은 피해자가 돈을 지불하게 하기 위해 가능한 가치 있는 많은 파일에 영향을 주고자 한다. 개인들이 살리고 싶어하는 파일은 사진, 동영상, 문서, 게임 등이며, 기업들이 살리고 싶어하는 파일은 보통 데이터베이스에 저장돼 있는 것들이다.

해커들에게는 암호화로 랜섬웨어 프로그램을 예방하는 다른 프로세스가 이미 작동 중일 때 데이터베이스 파일의 쓰기 권한이 OS에 의해 차단될 수 있다는 문제가 있다.

컴퓨터 지원 포럼 블리핑컴퓨터닷컴(BleepingComputer.com)의 전문가들에 따르면, 이 문제를 해결하기 위해 케르베르 랜섬웨어의 최신 버전은 많은 데이터베이스 관련 프로세스를 막아 버리려고 한다. 해당 데이터베이스 관련 프로세스는 다음과 같다.

msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exeisqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe.

전세계 컴퓨터 사용자에게 영향을 끼친 케르베르 랜섬웨어는 암시장에서 서비스로 판매되고 있다. 따라서 케르베르 랜섬웨어를 이용하는 사이버 범죄자들은 자신들이 번 돈의 일부를 케르베르 랜섬웨어 개발자에게 계속해서 지급하게 된다. 연구원들은 케르베르 랜섬웨어 범죄조직이 올해 100만 달러 이상을 벌어들일 것으로 예상했다.

일반 사용자에서 기업으로 목표물을 바꾼 랜섬웨어 공격을 처리하려면 가장 중요한 데이터 자산을 분리했는지 확인하고 것이 중요하다.
 
다른 프로세스를 차단하려면 랜섬웨어 프로그램은 권한 계정으로 운영해야 하다. 그래서 임직원들이 제한된 계정으로 그날 그날의 업무를 수행해야 한다. 운영자 계정은 워크스테이션에서 비활성화 돼 있어야 한다. ciokr@idg.co.kr



2016.10.06

DB 공격하는 '케르베르 랜섬웨어'

Lucian Constantin | IDG News Service
케르베르 랜섬웨어가 MySQL, 오라클, 마이크로소프트 SQL 서버 등 일반 DB 관련 프로세스를 공격하려는 것으로 밝혀졌다.


데이터베이스를 겨냥한 케르베르 랜섬웨어. Credit: IDGNS

케르베르 램섬웨어(Cerber ransomware)가 컴퓨터와 서버에 저장된 가장 중요한 데이터를 암호화하기 위해 현재 데이터베이스 서버와 관련한 프로세스를 차단시키려 한다.

랜섬웨어 프로그램은 파일을 살리고 싶어하는 더 많은 피해자가 돈을 지불하게 하기 위해 가능한 가치 있는 많은 파일에 영향을 주고자 한다. 개인들이 살리고 싶어하는 파일은 사진, 동영상, 문서, 게임 등이며, 기업들이 살리고 싶어하는 파일은 보통 데이터베이스에 저장돼 있는 것들이다.

해커들에게는 암호화로 랜섬웨어 프로그램을 예방하는 다른 프로세스가 이미 작동 중일 때 데이터베이스 파일의 쓰기 권한이 OS에 의해 차단될 수 있다는 문제가 있다.

컴퓨터 지원 포럼 블리핑컴퓨터닷컴(BleepingComputer.com)의 전문가들에 따르면, 이 문제를 해결하기 위해 케르베르 랜섬웨어의 최신 버전은 많은 데이터베이스 관련 프로세스를 막아 버리려고 한다. 해당 데이터베이스 관련 프로세스는 다음과 같다.

msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exeisqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe.

전세계 컴퓨터 사용자에게 영향을 끼친 케르베르 랜섬웨어는 암시장에서 서비스로 판매되고 있다. 따라서 케르베르 랜섬웨어를 이용하는 사이버 범죄자들은 자신들이 번 돈의 일부를 케르베르 랜섬웨어 개발자에게 계속해서 지급하게 된다. 연구원들은 케르베르 랜섬웨어 범죄조직이 올해 100만 달러 이상을 벌어들일 것으로 예상했다.

일반 사용자에서 기업으로 목표물을 바꾼 랜섬웨어 공격을 처리하려면 가장 중요한 데이터 자산을 분리했는지 확인하고 것이 중요하다.
 
다른 프로세스를 차단하려면 랜섬웨어 프로그램은 권한 계정으로 운영해야 하다. 그래서 임직원들이 제한된 계정으로 그날 그날의 업무를 수행해야 한다. 운영자 계정은 워크스테이션에서 비활성화 돼 있어야 한다. ciokr@idg.co.kr

X