신종 랜섬웨어 vvv 빠른 속도로 확산중

출처 : 2CPU(번역)

vvv 랜섬웨어의 특징

1. 감염루트 : 웹페이지를 보는 것만으로도 감염(이번 건의 경우 광고가 원인)

2. 감염시 카스퍼스키 이외 검출가능 백신 없음(토요일 오전4시 시점)

3. 웹페이지를 보고있을 때, 임의의 코드가 실행가능한 여러 웹어플리케이션 등으로 감염시도(플래시, 자바 등)

4. 감염 후 피해가 상당히 크고 전파속도가 상당히 빠름.

  - 감염 후 1-2분 사이에 드라이브 전체 파일 중 밑의 확인된 확장자를 vvv로 바꾸며 암호화

  - 접속된 외장하드, 공유폴더도 감염

  - 엄청난 감염속도

5. 윈도우 복원포인트 강제삭제

6. BitDefender가 백신배포중이긴 한데, 속도중시형으로 만들어진 터라 검증 불충분인 상황

7. 지금까지의 바이러스와 멜웨어 등과는 동작원리가 틀리며, 일반적인 바이러스지식으로서는 대응불가

감염되는 순서

1. 웹페이지 관람.

2. 웹페이지에 포함된 광고를 통해 감염

3. 자바, 플래시 등을 통해 임의의 코드가 실행

4. 감염 후 1-2분내 확장자 vvv변환 / 암호화

5. 외장하드, 외장스토리지, 네트워크내 공유폴더도 감염

암호화대상 확장자

sql, .mp4, .7uit, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp,

.ritssluiting, .zij, .som, .iBank, .t13, .t12, .QDF, .gdb, .belasting,

.pkpass, .BC6, .BC7, .BKP, .Qin, .BKF, .sidn, .Kidd, .mddata, .ITL,

.itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .Gho, .geval,

.svg, .kaart, .wmo, .itm, .sb, .fos, .mov, .VDF, .ztmp, .zus, .sid,

.NCF, .menu, .lay-out, .DMP, .bobbel, .esm, .vcf, .VTF, .dazip, .FPK,

.MLX, .kf, .IWD, .LSC, .tor, .psk, .rand, .w3x, .fsh, .ntl, .arch00,

.lvl, .SNX, .cfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge,

.KDB, .db0, .dba, .rofl, .hkx, .bar, .kve, .de, .mensen, .litemod,

.aanwinst, .smeden, .LTX, .bsa, .apk, .RE4, .weken, .lbf, .slm, .bik,

.EPK, .rgss3a, .vervolgens, .groot, portemonnee, .wotreplay, .xxx,

.desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b,

.p12, .pfx, .pem, .crt, .hemel, .de, .X3F, .SRW, .PEF, .ptx, .r3d,

.RW2, .RWL, .rauw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .KDC, .dcr,

.CR2, .CRW, .bay, .SR2, .SRF, .ARW, .3fr, .DNG, .JPE, .jpg, .cdr,

.indd, .aan, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .WPD,

.DXG, .xf, .dwg, .pst, .accdb, .CIS, .PPTM, .pptx, .ppt, .XLK, .XLSB,

.xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc,.odb, .Ep, .odm,

.Reageer, .paragraaf, .odt

15년 12월 6일 현재 감지가 되는 백신은 카스퍼스키가 유일하며, 대처 방법은 없다고 합니다. 웹브라우저의 코드 실행 방지차원에서 보안성을 높이고 최대한 UAC 설정 필수를 권장한다고 합니다.