오늘은 국내에서 제작된 랜섬웨어인 RensenWare에 대해 알아보겠습니다.해당 랜섬웨어는 련선웨어라고 읽히는 랜섬웨어입니다.일단 보통 랜섬웨어들은 파일들을 인질로 해서 돈을 사용자로부터 받아내려는 목적을 가지고 있겠지만 해당 랜섬웨어는 특이하게 몸값을 요구하지 않는 대신에 동방선련선(Undefined Fantastic Object) 게임이라는 게임을 실행을 시키는 특이한 랜섬웨어 입니다.
일단 동방성련선(Undefined Fantastic Object)이라는것은 09년3월8일 제6회 하쿠레이 신사 예대제에서 체험판이 공개가 되었고 2009년8월15일 C76에서 발매된 동방프로젝트 의12번쨰 작품입니다.해당 동방프로젝트의 특징이라고 하면 브금,전설 또는 민담에서 등장하는 요괴를 기초롤 한 2D 여자캐릭터등이 나오는 특징을 가지고 있습니다.
일단 해당 악성코드는 국내에서 제작이 되었으면 해당 랜섬웨어는 게임에서 2억이라는 점수를 얻지 못하면 데이터를 잠그는 특이한 형태를 가지고 있고 스푸닝 익스플로잇 이며 파일 암호화가 진행이 되고 나면 Touhou Seirensen 12 Undefined Fantastic Object게임에서 2억점을 획득을 하는 조건을 요구하고 있기 떄문에 사용자 입장에서는 힘든 점수 입니다.
일단 해당 랜섬웨어는 악의적인 스크립트 을 실행을 하는 페이로드 파일은 순차적으로 컴퓨터를 감염을 시키고 인터넷을 통해서 유포중에 있으며 일단은 백신프로그램과 해당 파일 복구 파일을 제작이 되어서 배포를 하고 있습니다.일단 해당 랜섬웨어가 감염이 되어서 정상적으로 실행이 되면 먼저 다음의 확장자를 가지고 있는지 컴퓨터에서 검색을 시작을 합니다.
.cpp.jpg, .txt, .png, .pdf, .hwp, .psd, .cs, .c, .cpp, .vb, .bas, .frm, .mp3, .wav, .flac, .gif, .doc, .xls, .xlsx, .docx, .ppt, .pptx, .js, .avi, .mp4, .mkv, .zip, .rar, .alz, .egg, .7z, .raw
그리고 나서 해당 파일이 존재할경우에는 AES-256으로 암호화를 진행을 합니다.파일 암호화를 진행을 하면 파일 확장자는 .RENSENWARE로 암호화를 진행을 합니다.
RensenWare가 컴퓨터를 암호화를 완료를 하면 The Captain Murasa가 등장하며 몸값을 요구를 합니다.해당 화면에서는 해당 파일은 암호화가 되어져 있고 TH12 ~ Undefined Fantastic Object라고 불리는 LUNATIC 레벨에서 20억이라는 점수를 넘어야 한다는 메세지를 보여 주고 해당 점수에 도달을 하지 못하며 파일은 사라지고 다음과 같은 메세지를 보여 줍니다.
Rensenware WARNING!
WARNING!
Your system have been encrypted by RensenWare
What the HELL is it?
Minamitsu “The Captain” Murasa encrypted your precious data like documents, musics, pictures, and some kinda project files. it can’t be recovered without this application because they are encrypted with highly strong encryption algorithm, using random key.
How can I recover my files?
That’s easy. You just play TH12 ~ Undefined Fantastic Object and score over 0.2 billion in LUNATIC level. this application will detect
TH12 process and score automatically. DO NOT TRY CHEATING OR TEMRMINATE THIS APPLICATION IF YOU DON’T WANT TO BLOW UP THE ENCRYPTION KEY!
라는 메세지를 볼수가 있으며 해당 RensenWare의 점수를 넘지못하는경우에는 RensenWare는 해독키를 저장을 하지 않기 떄문에 프로세스를 종료를 했을경우에는 영구적으로 파일 손실이 됩니다.
다만 해당 랜섬웨어는 볼륨새도우복사본을 제거를 하지 않기 떄문에 해당 새도우 익스플러워를 통해서 복구를 시도를 할수가 있습니다.물론 해당 랜섬웨어는 해당 제작자가 해당 RensenWare 랜섬웨어를 복구을 할수가 있는 복구툴을 제공을 하고 있습니다.일단 해당 랜섬웨어는 해외에서도 정보가 공유가 되고 있고 일단 해당 제작자가 해당 복구툴도 제공을 하고 있기 떄문에 랜섬웨어에 감염이 되면 해당 복구툴로 복구를 하면 될것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 윈도우 10 개인정보수집방지 프로그램 O&O ShutUp10 Windows 10 Creators Update 1703 지원 시작 (4) | 2017.04.18 |
|---|---|
| Punycode(퓨니코드)를 악용하는 피싱공격 발견 (0) | 2017.04.18 |
| Shadow Brokers의 Microsoft Windows OS Exploit 도구 취약점 대한 임시 조치 방법 (2) | 2017.04.17 |
| 안드로이드 허위 경고창을 표시해서 특정한 어플 설치 유도하는 메세지 주의 (6) | 2017.04.15 |
| 어도비 플래쉬 플레이어 25.0.0.148(Adobe Flash Player 25.0.0.148) 보안 업데이트 (2) | 2017.04.12 |
| 2017년4월12일 윈도우 10 정기 보안 업데이트(KB4015583) (0) | 2017.04.12 |
| 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상 (0) | 2017.04.11 |
| Windows Creator Update에서 새로워진 Windows Defender 보안 센터 (4) | 2017.04.11 |
