티스토리 뷰

Study

Ransomware(랜섬웨어) 대응 관련

메디츠 2024. 1. 20. 13:48
반응형

23년 8월 기준.

 

https://id-ransomware.malwarehunterteam.com/index.php

// 랜섬웨어 종류 확인.

 

Dharma (.cezar Family)

This ransomware has no known way of decrypting data at this time.

 

It is recommended to backup your encrypted files, and hope for a solution in the future.

Identified by

 

sample_bytes: [0x69E10 - 0x69E1B] 0x00000000020000000CFE7A41

custom_rule: Original filename "caffeine64.exe" after metadata

// 복구 불가 확인.

Advanced_Port_Scanner_2.5.3869.exe

dfControl.exe(https://www.sordum.org/9480/defender-control-v2-1/)

// 해당 파일이 생성되어있어서 확인해보니 포트스캐너, 디펜더 끄는 툴임. 저걸로 랜섬웨어 돌린듯. mstsc 포트 바꿔서 켜놨었는데 포트바꿔도 들어오는듯. 대안 필요.

 

이벤트 뷰어 실행(Win+R-eventvwr 실행)-응용프로그램 및 서비스 로그-Microsoft-Windows-TerminalServices-LocalSessionManager-Opertaional

// 원격데스크톱 접속시도 확인 후, 해당 IP iptime에서 ban. 해당 처리 이후에도 다른 IP로의 접근시도가 반복되면 화이트리스트로 원격접속 관리 고려.

 

반응형
저작자표시

'Study' 카테고리의 다른 글

Java(자바) Mail Authorization(메일인증) Random(난수값)  (0) 2024.01.20
Game(게임) Excute(실행) Error(에러) 관련  (0) 2024.01.20
Loggly(로글리) 관련  (0) 2024.01.19
Linux(리눅스) time server(타임서버) config(설정)  (0) 2024.01.18
php(피에이치피) Composer(컴포저) 관련  (0) 2024.01.17
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG
more
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함