꿈을꾸는 파랑새

Malwarebytes라고 하면 아마도 일반적인 보안 프로그램 즉 백신프로그램인 안티바이러스 프로그램이 진단을 못 하는 애드웨어 같은 악성코드를 전문적으로 잘 제거 해주는 것으로 유명하면 해당 Malwarebytes의 제품에서는 Malwarebytes Anti-Malware 제품이 유명해서 유용하게 잘 사용을 하는 제품입니다. 해당 Malwarebytes에서 Telecrypt 랜섬웨어에 피해를 본 사용자를 위해서 무료 제거 도구를 공개했습니다. 일단 해당 Malwarebytes Telecrypt Decryptor은 일반인도 무료로 사용할 수가 있습니다. 일단 기본적으로 해당 프로그램을 사용하려면 반드시 윈도우에서는 .NetFramework 4.0 이상 버전이 설치된 환경에서 동작합니다. 일단 해당 Telecrypt 랜섬웨어은 러시아에서 제작된 랜섬웨어로 해당 랜섬웨어에 감염이 되면 Telegram channels의 C&C servers를 사용합니다.

우리가 아는 Telegram이 맞습니다. 즉 해당 Telegram(텔레그램)을 통해서 기본적으로 익명성이 보장되어서 널리 사용이 되는 메신저이지만 해당 통신에 악용되어 사용되기도 합니다. 그리고 해당 Telecrypt는 델파이로 코드화가 돼 있으며 크기는 3MB입니다. 해당 Telecrypt는 기본적으로 사용자의 컴퓨터의 파일들을 암호화하기 전에 기본적으로 Telecrypt Bot를 만드는 과정을 거치고 https://api.telegram.org에서 API를 전달하게 되고 https://api.telegram.org/bot/GetMe이라는 토큰을 사용합니다. 그리고 Telecrypt은 사용자 컴퓨터에서 ,DOC,DOCX,XLS,XLSX,JPG,JPEG,PNG,DT,DBF,CD,PDF 파일을 검색하고 그리고 나서 감염된 컴퓨터에 대해서 할당이 된 ID 및 파일 암호화 키를 생성하는 데 사용되는 키 시드를 만들게 됩니다.

그리고 나서 해당 Telecrypt 랜섬웨어은 %USERPROFILE%\Desktop\База зашифр файлов.txt이라는 형태로 암호화가 진행된 모든 파일 로그를 보관하게 되고 파일들을 암호화가 완료되는 과정을 통해서 사용자에게 현금 지급수단은 러시아의 Yandex.Money 그리고 Qiwi 결제를 통해서 러시아 화폐 단위인 루블화로 약 5,000루블을 요구하면 대략 1루블을 18.47로 계산을 하면 92,350원 정도 요구를 합니다.

Malwarebytes에서 Telecrypt 랜섬웨어 복구 도구

그리고 해당 랜섬웨어 파일에서는 Thank you for helping Young Programmers Fund라는 메세지와 함께 결제를 유도하는 과정을 거치고 있습니다. 그리고 해당 Telecrypt 랜섬웨어는 암호 강도가 그다지 높지 않아서 다행히도 쉽게 Telecrypt 랜섬웨어 복구 도구를 만들 수가 있었다고 합니다. 일단 한국에서는 그다지 피해는 없는 걸로 알고 있지만, 러시아와 관련된 업무를 하거나 러시아 관련해서 인터넷을 검색하는 등 러시아와 관련된 사람들에게는 노출될 수가 있는 문제가 아닐까 생각이 됩니다. 그래서 러시아와 관련된 부분을 하시는 분들은 조금이라도 조심하는 것이 도움되지 않을까 생각이 됩니다. 그리고 해당 Telecrypt 랜섬웨어로 피해를 보시분들에 조금이나마 도움이 될 수가 있을 거라 생각이 됩니다.


728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band