[오늘의 보안] 하쿠나 마타타(Hakuna matata) 랜섬웨어

<3줄 요약>

- 국내 기업 대상으로 상대적으로 최근에 제작된 하쿠나 마타타 랜섬웨어로 공격
- ClipBanker 기능이 함께 존재하는 것이 특징으로 시스템 암호화 후 공격에 사용된 악성코드와 이벤트 로그를 삭제하여 정확한 정보를 확인하기 어려움
- RDP가 최초 공격 벡터로 이용되었을 것으로 추정되고 %LOCALAPPDATA%\rundll32.exe 경로에 하쿠나 마타타를 복사하여 실행함으로써 정상 프로세스로 위장

 

하쿠나 마타타(Hakuna matata) 랜섬웨어: 컴퓨터에 있는 파일을 암호화하고 파일을 공개하는 대가를 요구하는 공격 유형

RDP(Remote Desktop Protocol): 원격 데스크톱 서비스, 마이크로소프트사가 개발한 사유 프로토콜로, 다른 컴퓨터에 그래픽 사용자 인터페이스를 제공하는 프로토콜

ClipBanker: 악성코드는 감염 시스템의 클립보드를 모니터링하면서 코인 지갑 주소 문자열이 복사된 경우 공격자가 지정한 지갑 주소로 변경시키는 기능을 작는 악성코드

일반적인 랜섬웨어와 다르게 클립뱅커(ClipBanker) 기능이 함께 존재한다는 것이 특징

암호화 이후에도 시스템에 상주하며 암호화폐 지갑 주소를 공격자 주소로 변경시켜 피해 기기에서 암호화폐 거래를하면 공격자 지갑 주소로 거래가 이뤄지도록 함

 

 

https://asec.ahnlab.com/ko/55907/

국내 기업을 대상으로 공격 중인 하쿠나 마타타(Hakuna matata) 랜섬웨어 - ASEC BLOG

ASEC(AhnLab Security Emergency response Center)은 최근 하쿠나 마타타(Hakuna matata) 랜섬웨어가 국내 기업 대상 공격에 사용 중인 것을 확인하였다. 하쿠나 마타타는 상대적으로 최근에 제작된 랜섬웨어이다. 하쿠나 마타타 랜섬웨어와 관련된 정보들 중 최초로 확인되는 것은 2023년 7월 6일 트위터에서 언급된 내용이며, [1] 이후 2023년 7월 14일에는 공격자가 다크웹에서 하쿠나 마타타를 홍보하는 게시글이 트위터에서 공유되었다. [2] 또한 VirusTotal에 업로드된 하쿠나 마타타 랜섬웨어들 중에서도 2023년 7월 2일에 업로드된 파일이 최초인 것으로 확인된다.

Figure 1. 하쿠나 마타타 랜섬웨어의 기본 랜섬노트

하쿠나 마타타는 전형적인 랜섬웨어들과 달리 ClipBanker 기능이 함께 존재하는 것이 특징이다. 암호화 이후에도 시스템에 상주하면서 비트코인 지갑 주소를 공격자의 주소로 변경하기 때문에 만약 시스템이 암호화된 이후 동일한 시스템에서 비트코인 거래를 할 경우 본인이 원하는 주소가 아닌 공격자의 지갑 주소로 거래가 이루어질 위험성이 있다.

1. 공격 정황 분석

공격자는 시스템을 암호화한 이후 공격에 사용된 악성코드들과 이벤트 로그를 삭제하여 정확한 정보를 확인하는 데에는 어려움이 있다. 하지만 여러 가지 정황을 통해 추정했을 때 RDP 즉 원격 데스크톱 서비스가 최초 공격 벡터로 이용되었을 것으로 추정된다.

일반적으로 공격자들은 외부에서 접근 가능한 시스템을 대상으로 RDP가 활성화되어 있는 시스템들을 스캐닝한 후 스캐닝 과정에서 찾은 시스템들에 대해 무차별 대입 공격이나 사전 공격을 수행한다. 만약 사용자가 부적절한 계정 정보를 사용하고 있을 경우 공격자는 쉽게 계정 정보를 획득할 수 있다.

실제 공격 대상이 된 시스템은 외부에 노출되어 있으면서 RDP가 활성화되어 있었다. 이에 따라 랜섬웨어 감염 이후에도 지속적으로 브루트 포싱 공격 즉 로그인 실패 로그(윈도우 보안 이벤트 ID : 4625)들이 확인된다. 만약 브루트 포싱 공격에 성공할 경우 공격자는 획득한 계정 정보를 이용해 원격 데스크톱으로 시스템에 로그인할 수 있으며 이는 해당 시스템에 대한 제어를 탈취하는데 성공했다는 것을 의미한다.

Figure 2. 브루트 포싱 공격에 대한 이벤트 로그

물론 해당 로그만으로는 공격 벡터를 추정하는 데 한계가 있다. 하지만 다음과 같이 공격자가 추가적으로 설치한 도구들을 보면 RDP를 공격 벡터로 사용하는 랜섬웨어 공격 사례와 매우 유사한 것을 알 수 있다.

• RDP를 통해 유포 중인 GlobeImposter 랜섬웨어 (with MedusaLocker)
• RDP를 통해 Venus 랜섬웨어를 설치하는 Crysis 공격자

Figure 3. 공격자가 추가적으로 설치한 도구들

2. 공격 함께 사용된 악성코드들

공격자는 “C:\Temp\” 등의 경로에 악성코드들을 설치하였다. 설치되는 도구들은 대부분 NirSoft 사에서 제작한 계정 정보 탈취 기능을 담당하는 도구들인 것이 특징이다. 계정 정보 탈취 도구들은 “\M\Pass\” 경로에 생성되며 공격자는 해당 도구들을 이용해 계정 정보를 수집해 “\M\!logs\”경로에 텍스트 파일로 생성했을 것으로 추정된다. 공격자는 이외에도 프로세스 해커 및 “RCH.exe”, “ver7.exe” 파일을 생성했는데, “RCH.exe”는 현재 확인 불가하지만 “ver7.exe”는 하쿠나 마타타 랜섬웨어로 추정된다.

파일명 (경로명)종류

\M\Pass\BulletsPassView64.exe	BulletsPassView – NirSoft
\M\Pass\Dialupass.exe	dialup / RAS / VPN passwords Viewer – NirSoft
\M\Pass\mailpv.exe	Mail PassView – NirSoft
\M\Pass\mspass.exe	MessenPass (IM Password Recovery) – NirSoft
\M\Pass\netpass64.exe	Network Password Recovery – NirSoft
\M\Pass\NetRouteView.exe	Network Route Utility – NirSoft
\M\Pass\rdpv.exe	Remote Desktop PassView – NirSoft
\M\Pass\RouterPassView.exe	RouterPassView – NirSoft
\M\Pass\VNCPassView.exe	VNCPassView – NirSoft
\M\Pass\WebBrowserPassView.exe	Web Browser Password Viewer – NirSoft
\M\Pass\WirelessKeyView64.exe	Wireless Key View – NirSoft
\Process Hacker 2\ProcessHacker.exe	프로세스 해커
\RCH.exe	확인되지 않음
\ver7.exe	하쿠나 마타타 랜섬웨어 (추정)

Table 1. 공격에 사용된 도구들

일반적으로 랜섬웨어 공격자들은 공격 대상 시스템이 기업 내부 네트워크에 속해있을 경우 위와 같은 다양한 도구들을 이용해 내부 네트워크를 스캐닝하고 계정 정보를 수집한다. 그리고 획득한 정보를 이용해 측면 이동 과정을 진행하여 네트워크에 포함된 최대한 많은 시스템들을 암호화하려고 시도한다.

3. 공격에 사용된 하쿠나 마타타 랜섬웨어 분석

개요설명

암호화 알고리즘	AES-256 (CBC) / RSA-2048
확장자	.[랜덤한 5글자]
랜섬노트 이름	“[컴퓨터 이름]-ID-Readme.txt”
암호화 제외 폴더	“windows.old”, “windows.old.old”, “amd”, “nvidia”, “programfiles”, “programfiles(x86)”, “windows”, “$recycle.bin”, “documentsandsettings”, “intel”, “perflogs”, “programdata”, “boot”, “games”, “msocache”
암호화 제외 파일	“iconcache.db”, “autorun.inf”, “thumbs.db”, “boot.ini”, “bootfont.bin”, “ntuser.ini”, “bootmgr”, “bootmgr.efi”, “bootmgfw.efi”, “desktop.ini”, “ntuser.dat”, “-ID-Readme.txt”
암호화 대상 확장자	아래 항목에 추가
종료 대상 프로세스	아래 항목에 추가
종료 대상 서비스	아래 항목에 추가
기타	– Run Key 등록 – 볼륨 쉐도우 복사본 삭제

Table 2. 하쿠나 마타타 랜섬웨어 개요

공격에 사용된 랜섬웨어는 “ver7.exe”라는 이름을 가지며 실제 생성된 파일 로그에서도 동일한 이름을 확인할 수 있다. 하지만 연관 파일들을 조사한 결과 해당 악성코드는 하쿠나 마타타 랜섬웨어로 확인되었다. 하쿠나 마타타가 처음 실행되면 먼저 자신을 “%LOCALAPPDATA%\rundll32.exe” 경로에 복사하여 실행함으로써 정상 프로세스로 위장한다.

Figure 4. ver7.exe라는 이름으로 제작된 하쿠나 마타타 랜섬웨어

암호화 대상 확장자는 869개이며 화이트 리스트 경로에 위치하는 파일들과 화이트 리스트 파일명을 갖는 파일들 그리고 랜섬노트 파일명을 갖는 파일을 제외하고 모두 암호화한다. 파일 암호화에는 AES-256 (CBC) 알고리즘이 사용되며 각 파일마다 랜덤하게 키값과 IV를 생성하여 암호화한다. 파일 암호화가 완료되면 해당 AES-256 키값과 IV는 RSA-2048 알고리즘으로 암호화되어 암호화된 파일 뒤에 0x100 만큼 덧붙여진다. 0x80000 보다 큰 파일의 경우에는 일정 부분만 암호화된다.

Figure 5. 파일 암호화 루틴

하쿠나 마타타는 이후 현재 실행 중인 프로세스들 중에서 데이터베이스 및 MS 오피스 관련 프로세스들을 강제로 종료하고 다시 암호화를 진행한다. 이외에도 Run Key에 등록하여 재부팅 후에도 실행될 수 있도록 하며 바탕화면을 변경하여 사용자가 시스템이 암호화된 것을 눈치챌 수 있도록 한다.

Figure 6. 변경된 바탕화면

이후 관리자 권한으로 실행 중 인지를 검사하고 맞다면 데이터베이스, 백업 관련 서비스들을 종료시킨다. 이후 다음과 같은 명령들을 이용해 볼륨 쉐도우 복사본을 삭제한다.

> vssadmin delete shadows /all /quiet & wmic shadowcopy delete > bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no > wbadmin delete catalog -quiet

랜섬노트는 일반적인 랜섬웨어들의 랜섬노트와 유사하게 72시간 내에 연락하라는 내용과 그렇지 않을 경우 탈취한 정보들을 외부에 공개하겠다는 협박이 포함되어 있다.

Figure 7. 하쿠나 마타타 랜섬웨어의 랜섬노트

• 공격자의 메일 주소 : keylan@techmail[.]info, gerb666@proton[.]me

하쿠나 마타타 랜섬웨어는 일반적인 랜섬웨어와 달리 ClipBanker 기능이 포함되어 있는 것이 특징이다. 감염 시스템의 파일들을 암호화한 이후에도 계속 실행되면서 클립보드를 검사하는데, 만약 사용자가 비트코인 지갑 주소를 복사하여 클립보드에 저장될 경우 이를 공격자의 지갑 주소로 변경한다. 공격자의 지갑 주소는 “RANDOM_VALUE” 문자열에서 “SALT_ALL”의 순서에 따라 생성된다.

Figure 8. 랜섬웨어에 존재하는 ClipBanker 루틴

일반적으로 암호화폐의 지갑 주소는 길고 랜덤한 문자열이기 때문에 사용자는 지갑 주소가 변경되었는지 알아채기 힘들다. 즉 랜섬웨어 감염 이후 동일한 시스템에서 비트코인 거래를 진행할 경우 사용자는 공격자의 주소로 비트코인을 전송할 위험성이 함께 존재한다.

• 공격자의 비트코인 지갑 주소 – 1 : bc1qpkgejqerp74g23m7zhjkuj6e9c3656tsppqlku
• 공격자의 비트코인 지갑 주소 – 2 : 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75

4. 결론

외부에 노출된 시스템은 지속적인 공격 대상이 된다. 윈도우 시스템들에 대한 대표적인 공격 방식으로는 부적절한 계정 정보를 가지고 있는 RDP 서비스에 대한 무차별 대입 공격 및 사전 공격이 있다. 특히 Crysis, Venus, GlobeImposter, MedusaLocker 등 상당수의 랜섬웨어 공격자들은 RDP를 초기 공격 벡터로써 사용하고 있다.

사용자들은 RDP를 사용하지 않을 경우 비활성화하여 공격 시도를 줄일 수 있다. 만약 RDP 서비스를 사용하고 있다면 계정의 비밀번호를 복잡한 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격 및 사전 공격을 방지해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Ransomware/Win.Generic.C5463415 (2023.08.01.00)

행위 진단
– Ransom/MDP.Decoy.M1171

IOC
MD5
– 1a5dd79047766bd09c27f0336dd22142

참고]

• 암호화 대상 확장자 : “.myd”, “.ndf”, “.qry”, “.sdb”, “.sdf”, “.lzo”, “.dat”, “.settings”, “.doc”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.odt”, “.jpg”, “.mka”, “.mhtml”, “.oqy”, “.png”, “.csv”, “.py”, “.sql”, “.indd”, “.cs”, “.mp3”, “.mp4”, “.dwg”, “.zip”, “.rar”, “.mov”, “.rtf”, “.bmp”, “.mkv”, “.avi”, “.apk”, “.lnk”, “.dib”, “.dic”, “.dif”, “.mdb”, “.php”, “.asp”, “.aspx”, “.html”, “.htm”, “.xml”, “.psd”, “.pdf”, “.xla”, “.cub”, “.dae”, “.divx”, “.iso”, “.7zip”, “.pdb”, “.ico”, “.pas”, “.db”, “.wmv”, “.swf”, “.cer”, “.bak”, “.backup”, “.accdb”, “.bay”, “.p7c”, “.exif”, “.vss”, “.raw”, “.m4a”, “.wma”, “.ace”, “.arj”, “.bz2”, “.cab”, “.gzip”, “.lzh”, “.tar”, “.jpeg”, “.xz”, “.mpeg”, “.torrent”, “.mpg”, “.core”, “.flv”, “.js”, “.ini”, “.m1v”, “.inc”, “.cvs”, “.tbi”, “.amv”, “.bk”, “.onepkg”, “.json”, “.uxdc”, “.udl”, “.accda”, “.accdc”, “.accdw”, “.ai3”, “.ai4”, “.ai5”, “.ai6”, “.ai7”, “.ai8”, “.ascx”, “.asmx”, “.avs”, “.cfm”, “.dcm”, “.pict”, “.rgbe”, “.dwt”, “.f4v”, “.exr”, “.mda”, “.mde”, “.mdw”, “.mht”, “.mpv”, “.geo”, “.swift”, “.oft”, “.pls”, “.tab”, “.svgz”, “.tar.gz”, “.dmg”, “.psb”, “.rss”, “.key”, “.epsp”, “.dc3”, “.iff”, “.xsd”, “.xsf”, “.xsl”, “.kmz”, “.dacpac”, “.zipx”, “.z”, “.tar.xz”, “.pam”, “.ova”, “.c”, “.xhtml”, “.ckp”, “.dbt”, “.dbv”, “.mwb”, “.txz”, “.wmf”, “.wim”, “.xtp2”, “.xsn”, “.avchd”, “.webm”, “.yuv”, “.rmvb”, “.viv”, “.mp2”, “.mpe”, “.svi”, “.mxf”, “.roq”, “.nsv”, “0.123”, “.1c”, “.1cd”, “.3dm”, “.3ds”, “.3fr”, “.3g2”, “.3gp”, “.3pr”, “0.602”, “.7z”, “._ms”, “.aac”, “.ab4”, “.abd”, “.accde”, “.accdr”, “.accdt”, “.ach”, “.acr”, “.act”, “.adb”, “.adi”, “.adp”, “.adr”, “.ads”, “.aes”, “.afi”, “.agdl”, “.ai”, “.aiff”, “.aii”, “.air”, “.ais”, “.ait”, “.aiv”, “.al”, “.alg”, “.allet”, “.ams”, “.aocla”, “.aoi”, “.apj”, “.arc”, “.arch00”, “.arm”, “.art”, “.arw”, “.arz”, “.asc”, “.asf”, “.asm”, “.asset”, “.asx”, “.avhdx”, “.awg”, “.backupdb”, “.bank”, “.bar”, “.bat”, “.bc6”, “.bc7”, “.bck”, “.bco”, “.bdb”, “.bgt”, “.big”, “.bik”, “.bin”, “.bkf”, “.bkp”, “.bkup”, “.blend”, “.blob”, “.bpn”, “.bpw”, “.brd”, “.bsa”, “.bsm”, “.bxl”, “.c”, “.cad”, “.cam”, “.cas”, “.cbk”, “.cbu”, “.cdf”, “.cdr”, “.cdr3”, “.cdr4”, “.cdr5”, “.cdr6”, “.cdrw”, “.cdx”, “.ce1”, “.ce2”, “.cel”, “.cert”, “.cf”, “.cfg”, “.cfr”, “.cgi”, “.cgm”, “.chg”, “.cib”, “.ckt”, “.class”, “.classpath”, “.cls”, “.cmd”, “.cmt”, “.cnf”, “.con”, “.config”, “.contact”, “.cpa”, “.cpi”, “.cpp”, “.cpr”, “.cr2”, “.craw”, “.crt”, “.crw”, “.cs”, “.csa”, “.csh”, “.cshtml”, “.csl”, “.csr”, “.css”, “.ctl”, “.cwz”, “.d”, “.d3dbsp”, “.dac”, “.das”, “.data”, “.dazip”, “.db0”, “.db3”, “.db5”, “.db_journal”, “.dba”, “.dbc”, “.dbf”, “.dbs”, “.dbx”, “.dc2”, “.dch”, “.dcr”, “.dcs”, “.ddb”, “.ddd”, “.ddoc”, “.ddrw”, “.dds”, “.der”, “.des”, “.desc”, “.design”, “.dft”, “.dgc”, “.dip”, “.dit”, “.djvu”, “.dmp”, “.dng”, “.doc”, “.docb”, “.docm”, “.docx”, “.dot”, “.dotm”, “.dotx”, “.dra”, “.drf”, “.drl”, “.dru”, “.drw”, “.dsn”, “.dsnwrk”, “.dt”, “.dtd”, “.dxb”, “.dxf”, “.dxg”, “.e”, “.ecf”, “.edb”, “.edf”, “.elt”, “.eml”, “.emz”, “.epk”, “.eps”, “.erbsql”, “.erf”, “.esm”, “.ewprj”, “.exf”, “.fdb”, “.ff”, “.ffd”, “.fff”, “.fh”, “.fhd”, “.fla”, “.flac”, “.flf”, “.flp”, “.flvv”, “.fods”, “.fodt”, “.forge”, “.fos”, “.fp7”, “.fpd”, “.fpk”, “.fpx”, “.frm”, “.fsh”, “.fxg”, “.g1”, “.g2”, “.g3”, “.g4”, “.gbk”, “.gbl”, “.gbo”, “.gbp”, “.gbr”, “.gbs”, “.gbx”, “.gdb”, “.gho”, “.gif”, “.gko”, “.gml”, “.gp”, “.gp1”, “.gp2”, “.gp3”, “.gp4”, “.gpb”, “.gpg”, “.gpt”, “.gray”, “.grb”, “.grey”, “.groups”, “.gry”, “.gtl”, “.gto”, “.gtp”, “.gts”, “.gwk”, “.gz”, “.h”, “.hbk”, “.hdd”, “.hkdb”, “.hkx”, “.hplg”, “.hpp”, “.hvpl”, “.hwp”, “.ibank”, “.ibd”, “.ibz”, “.icxs”, “.idb”, “.idc”, “.iif”, “.iiq”, “.incpas”, “.info”, “.ip”, “.ink”, “.ipc”, “.ism”, “.itdb”, “.itl”, “.itm”, “.iwd”, “.iwi”, “.ix”, “.jar”, “.java”, “.jnt”, “.jpe”, “.jrl”, “.js”, “.jsp”, “.kc2”, “.kdb”, “.kdbx”, “.kdc”, “.kf”, “.kicad”, “.kpdx”, “.kwm”, “.laccdb”, “.lay”, “.lay6”, “.layout”, “.lbf”, “.lbr”, “.lc”, “.lck”, “.ldb”, “.ldf”, “.lg”, “.lgc”, “.lia”, “.lib”, “.libprj”, “.license”, “.licz”, “.lit”, “.litemod”, “.llx”, “.lmc”, “.log”, “.lrf”, “.ltx”, “.lua”, “.lvl”, “.lyt”, “.lzma”, “.m”, “.m2”, “.m2ts”, “.m3u”, “.m4p”, “.m4u”, “.m4v”, “.map”, “.mapimail”, “.max”, “.mbx”, “.mcmeta”, “.md”, “.mdbackup”, “.mdc”, “.mddata”, “.mdf”, “.mef”, “.menu”, “.mfw”, “.mid”, “.mlb”, “.mlx”, “.mml”, “.mmw”, “.mny”, “.moneywell”, “.mos”, “.mpeg”, “.mpqge”, “.mrg”, “.mrw”, “.mrwref”, “.msg”, “.mst”, “.mts”, “.myi”, “.mysql”, “.mysqli”, “.nbd”, “.nc”, “.ncf”, “.nd”, “.ndd”, “.nef”, “.nk2”, “.nop”, “.nrw”, “.ns2”, “.ns3”, “.ns4”, “.nsd”, “.nsf”, “.nsg”, “.nsh”, “.ntl”, “.nvram”, “.nwb”, “.nx2”, “.nxl”, “.nyf”, “.oab”, “.obj”, “.obk”, “.odb”, “.odc”, “.odf”, “.odg”, “.odm”, “.odp”, “.ods”, “.oeb”, “.ogg”, “.oil”, “.olb”, “.one”, “.onetoc2”, “.opj”, “.opt”, “.ora”, “.orf”, “.ost”, “.otg”, “.oth”, “.otp”, “.ots”, “.ott”, “.p”, “.p12”, “.p7b”, “.pab”, “.pad”, “.pages”, “.pak”, “.paq”, “.par”, “.pat”, “.pbd”, “.pc”, “.pcb”, “.pcbdoc”, “.pcd”, “.pct”, “.pdblib”, “.pdd”, “.pef”, “.pem”, “.pfx”, “.phj”, “.phl”, “.pho”, “.pif”, “.pkpass”, “.pl”, “.plc”, “.plus_muhd”, “.pot”, “.potm”, “.potx”, “.ppam”, “.ppc”, “.pps”, “.ppsm”, “.ppsx”, “.pptm”, “.prj”, “.prjcor”, “.prjemb”, “.prjpcb”, “.pro”, “.project”, “.prt”, “.ps”, “.ps1”, “.psafe3”, “.psc”, “.psk”, “.psm”, “.pspimage”, “.pst”, “.pt”, “.ptx”, “.pwm”, “.py”, “.q99”, “.qb1”, “.qba”, “.qbb”, “.qbk”, “.qbm”, “.qbmb”, “.qbmd”, “.qbquery”, “.qbr”, “.qbw”, “.qbx”, “.qby”, “.qcow”, “.qcow2”, “.qdf”, “.qed”, “.qfd”, “.qfx”, “.qic”, “.qif”, “.qmd”, “.quicken”, “.quicken2015backup”, “.quicken2016backup”, “.quicken2017backup”, “.qw5”, “.r3d”, “.raf”, “.rat”, “.rb”, “.rdb”, “.re4”, “.reu”, “.rgss3a”, “.rim”, “.rm”, “.rofl”, “.rou”, “.rul”, “.rvt”, “.rw2”, “.rwl”, “.rwz”, “.s3db”, “.safe”, “.sal”, “.sas7bdat”, “.sav”, “.save”, “.say”, “.sb”, “.sbn”, “.sbx”, “.sch”, “.schdoc”, “.schlib”, “.sd0”, “.sda”, “.sh”, “.shp”, “.shx”, “.sid”, “.sidd”, “.sidn”, “.sie”, “.sis”, “.sl2”, “.sl3”, “.sldm”, “.sldx”, “.slk”, “.slm”, “.sln”, “.snt”, “.snx”, “.spp”, “.sqb”, “.sqlite”, “.sqlite3”, “.sqlitedb”, “.sqr”, “.sr2”, “.srf”, “.srt”, “.srw”, “.ssq”, “.st4”, “.st5”, “.st6”, “.st7”, “.st8”, “.stc”, “.std”, “.sti”, “.stm”, “.stp”, “.stw”, “.stx”, “.sum”, “.suo”, “.svg”, “.sxc”, “.sxd”, “.sxg”, “.sxi”, “.sxm”, “.sxw”, “.syncdb”, “.t12”, “.t13”, “.tax”, “.tbk”, “.tcf”, “.tex”, “.tga”, “.tgz”, “.thm”, “.tib”, “.tif”, “.tiff”, “.tlg”, “.tmd”, “.tmp”, “.tor”, “.trn”, “.ub”, “.uop”, “.uot”, “.upk”, “.vb”, “.vbk”, “.vbm”, “.vbox”, “.vbs”, “.vcd”, “.vcf”, “.vdf”, “.vdi”, “.vfs0”, “.vhd”, “.vhdx”, “.vib”, “.vlb”, “.vmdk”, “.vmem”, “.vmsd”, “.vmx”, “.vmxf”, “.vob”, “.vom”, “.vpk”, “.vpp_pc”, “.vsd”, “.vsdx”, “.vtf”, “.w3x”, “.wab”, “.wad”, “.wallet”, “.wav”, “.wb2”, “.wbk”, “.wdb”, “.wk1”, “.wks”, “.wmo”, “.wotreplay”, “.wpd”, “.wps”, “.x11”, “.x3f”, “.xf”, “.xg3”, “.xgo”, “.xis”, “.xlam”, “.xlc”, “.xlk”, “.xlm”, “.xlr”, “.xls”, “.xlsb”, “.xlsm”, “.xlt”, “.xltm”, “.xltx”, “.xlw”, “.xps”, “.xslt”, “.xxx”, “.yb2”, “.ycbcra”, “.ydk”, “.zpd”, “.ztmp”, “.webp”, “.jrxml”, “.jasper”, “.xmlx”, “.vsvnbak”, “.tmpl”, “.mat”, “.mxd”, “.ccm”, “.3mxb”, “.asv”, “.pth”, “.fig”, “.prx”, “.ezx”, “.ezd”, “.alr”, “.rdx”, “.seg”, “.v00”, “.v01”, “.v02”, “.dta”, “.pcap”, “.uassct”, “.sc”, “.mscz”, “.tsv”, “.yaml”, “.gitignore”, “.npy”, “.h5”, “.hdf5”
• 종료 대상 프로세스 : “sqlwriter”, “sqbcoreservice”, “VirtualBoxVM”, “sqlagent”, “sqlbrowser”, “sqlservr”, “code”, “steam”, “zoolz”, “agntsvc”, “firefoxconfig”, “infopath”, “synctime”, “VBoxSVC”, “tbirdconfig”, “thebat”, “thebat64”, “isqlplussvc”, “mydesktopservice”, “mysqld”, “ocssd”, “onenote”, “mspub”, “mydesktopqos”, “CNTAoSMgr”, “Ntrtscan”, “vmplayer”, “oracle”, “outlook”, “powerpnt”, “wps”, “xfssvccon”, “ProcessHacker”, “dbeng50”, “dbsnmp”, “encsvc”, “excel”, “tmlisten”, “PccNTMon”, “mysqld-nt”, “mysqld-opt”, “ocautoupds”, “ocomm”, “msaccess”, “msftesql”, “thunderbird”, “visio”, “winword”, “wordpad”, “mbamtray”
• 종료 대상 서비스 : “BackupExecAgentBrowser”, “veeam”, “VeeamDeploymentSvc”, “PDVFSService”, “BackupExecVSSProvider”, “BackupExecAgentAccelerator”, “vss”, “sql”, “svc$”, “AcrSch2Svc”, “AcronisAgent”, “Veeam.EndPoint.Service”, “CASAD2DWebSvc”, “CAARCUpdateSvc”, “YooIT”, “memtas”, “sophos”, “veeam”, “DefWatch”, “ccEvtMgr”, “SavRoam”, “RTVscan”, “QBFCService”, “Intuit.QuickBooks.FCS”, “YooBackup”, “BackupExecAgentBrowser”, “BackupExecRPCService”, “MSSQLSERVER”, “backup”, “GxVss”, “GxBlr”, “GxFWD”, “GxCVD”, “GxCIMgr”, “VeeamNFSSvc”, “BackupExecDiveciMediaService”, “SQLBrowser”, “SQLAgent$VEEAMSQL2008R2”, “SQLAgent$VEEAMSQL2012”, “VeeamDeploymentService”, “BackupExecJobEngine”, “Veeam.EndPoint.Tray”, “BackupExecManagementService”, “SQLAgent$SQL_2008”, “BackupExecRPCService”, “zhudongfangyu”, “sophos”, “stc_raw_agent”, “VSNAPVSS”, “QBCFMonitorService”, “VeeamTransportSvc”