꿈을꾸는 파랑새

최근에 컴퓨터 보안에 가장 위협이 되는 것 중 하나가 바로 랜섬웨어일것입니다. 기본적으로 파일을 AES, RSA 등으로 암호화 아니며 두 가지를 다 사용하는 때도 있습니다. 암호화해서 사용자에게 암호를 풀려고 싶으면 해당 주소를 통해서 가상화폐인 비트코인을 계좌이체를 할 수가 있는 주소를 제시하고 해당 계좌를 통해서 비트코인을 입금을 하면 암호화된 파일을 해제하기 위한 도구를 준다고 나와져 있습니다. 물론 진짜로 해당 파일을 복원화도구를 주는 경우가 있겠지만 실제로는 대부분은 먹튀를 할 가능성이 큽니다. 즉 랜섬웨어을 제거를 하고 랜섬웨어 복구 도구가 나오기 전까지 그냥 무기한 기다리는 것뿐입니다. 그래서 윈도우 업데이트,프로그램 최신 업데이트 유지,백신프로그램 사용,보조 백신프로그램사용, 랜섬웨어 방어 전용도구 사용을 해서 피해를 줄이는 방법뿐입니다. 일단 오늘은 Jaff ransomware(Jaff 랜섬웨어)감염 증상에 대해 알아보겠습니다.

먼저 Jaff ransomware(Jaff 랜섬웨어)은 기본적으로 Locky ransomware(록키 랜섬웨어)하고 비슷한 부분도 많이 있기는 합니다. 일단 Locky ransomware(록키 랜섬웨어)변형들은 은 약 800개의 다른 함수로 구성되어 있고  Jaff ransomware(Jaff 랜섬웨어)는 약 50개로 구성되어 있기 때문 있습니다. 그리고 Obfuscator을 사용을 해서 멀웨어 제작자는 잠재적으로 여러 계층의 암호화 및 압축한 파일 아래에서 악성코드를 숨겨서 분석을 어렵게 만드는 데 사용되는 도구입니다. 그리고 C언어로 작성된 랜섬웨어이기도 합니다. 일단 해당 랜섬웨어는 암호화에 성공하면 .jaff 확장자를 추가하게 됩니다.

지금은 가격이 올라갔는지 모르겠지만 대략 몸값은 3,800달러, 3,500유로, 3,000파운드에 가까운 랜섬웨어입니다.Jaff ransomware(Jaff 랜섬웨어)은 기본적으로 Necurs 다운로더 또는 봇넷을 통해 랜섬웨어를 전파를 합니다. 그리고 보통은 PDF 파일이 함께 포함돼 있으면 랜섬웨어 제작자들은 사용자에게 PDF 문서에 포함된 DOCM (embedded document-macro) 파일을 열어 달라고 강력하게 요청을 합니다. 물론 열면 랜섬웨어가 활동을 시작합니다.

그리고 Necurs는 사회 공학적 기법 즉 알기 쉽게 이야기하면 사회공학적 기법은 우리가 현재 이슈가 될 이야기들이나 불륜 스캔들과 같이 사용자의 호기심을 자극하는 것으로 악성코드를 실행을 유도하는 방법입니다. 그리고 Jaff ransomware(Jaff 랜섬웨어)는 조금은 특이하게 RSA와 AES를 동시에 사용을 하는 랜섬웨어 입니다.

즉 먼저 랜섬웨어에 감염이 되면 먼저 악성코드 제작자는 공용 RSA를 다운로드를 시도를 하고 나서 RSA로 암호화합니다. 그리고 나서 AES-256비트로 암호화를 한 번 더 실행을 합니다. 그리고 나서 컴퓨터에서 암호화할 대상을 찾기 시작을 하면 암호화되는 파일들은 다음과 같습니다.

.xlsx, .acd, .pdf, .pfx, .crt, .der, .cad, .dwg, .MPEG, .rar, .veg, .zip, .txt, .jpg, .doc, .wbk, .mdb , .vcf, .docx, .ics, .vsc, .mdf, .dsr, .mdi, .msg, .xls, .ppt, .pps, .obd, .mpd, .dot, .xlt, .pot,. obt, .htm, .html, .mix, .pub, .vsd, .png, .ico, .rtf, .odt, .3dm, .3ds, .dxf, .max, .obj, .7z, .cbr, .deb, .gz, .rpm, .sitx, .tar, .tar.gz, .zipx, .aif, .iff, .m3u, .m4a, .mid, .key, .vib, .stl, .psd, .ova, .xmod, .wda, .prn, .zpf, .swm, .xml, .xlsm, .par, .tib, .waw, .001, .002, 003., .004, .005, .006 , .007, .008, .009, .010, .contact, .dbx, .jnt, .mapimail, .oab, .ods, .ppsm, .pptm, .prf, .pst, .wab,1cd,. 3g2, .7ZIP, .accdb, .aoi, .asf, .asp., aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .if, .flv, .idx, .js, .kwm, .laccdb, .idf, .lit, .mbx, .md, .mlb, .mov, .mp3, .mp4, .mpg, .pages , .php, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .aac,. ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dotm, .dotx, .d rw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsx, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xltm, .xltx, .xlw, .act, .adp, .al , .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h,. iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit , .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .ndf, .nvram, .ogg, .ost, .pab, .pdb,. pif, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdt, .ach, .acr, .adb, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm , .tex, .wallet, .wb2, .wp, .x11, .x3f, .xis, .ycbcra, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, rwl, .rwz , .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlited .ppd, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pptx, .psafe3, .py, .qba, .qbr.myd, .ndd, .nef, .nk, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .ord, .otg, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw , .mny, .moneywell, .mrw.des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erd, .exf, .ffd, .fh, .fhd, .gray , .grey, .gry, .hbk, .ibank, .ibd, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl,. db_journal, .dc2, .dcs, .ddoc, .ddrw, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .as4

그리고 AES-256 비트를 통해서 파일 첫 부분에 512KB까지 암호화를 진행합니다. 즉 랜섬웨어 제작자의 공용 RSA 키를 사용하고 나서 AES 키를 암호화하고 암호화된 블록의 크기와 새 파일에 암호화된 바이트를 함께 저장해버립니다. 그리고 마지막으로 암호화되지 않은 데이터를 파일에 추가하는 방식을 취하고 있습니다. 이것을 보면 철저하게 준비한 것으로 볼 수가 있습니다.

즉 Jaff ransomware(Jaff 랜섬웨어)는 인터넷 연결이 필요없이도 암호화가 가능해진다는 것도 의미합니다. 그리고 복구 도구를 계발하려면 먼저 랜섬웨어 제작자의 RSA 공용키가 필요하다는 것을 의미하게 됩니다.

그래서 앞서 이야기한 것처럼 그래서 윈도우 업데이트,프로그램 최신 업데이트 유지,백신프로그램 사용,보조 백신프로그램사용,랜섬웨어 방어 전용도구 사용을 해서 피해를 줄이는 방법과 그리고 외장하드디스크 구매를 해서 하드디스크를 전체를 백업을 해주면 나중에 랜섬웨어에 감염이 되더라도 조금은 능동적으로 대처할 수가 있게 됩니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band