꿈을꾸는 파랑새

호주의 대표적인 보안 업체인 Emsisoft에서 Nemucod ransomware(Nemucod 랜섬웨어)에 대한 복원화 도구를 발표했습니다. 우리가 뉴스를 통해서 잘 알려진 NotPetya ransomware가 시끌시끌한 사이에 NemucodAES라는 새로운 변종 랜섬웨어가 출현을 했었고 Nemucod ransomware(Nemucod 랜섬웨어)가 생겼습니다. 일단 기본적으로 사용자가 악성 JavaScript가 포함이 되어져 있는 파일을 실행을 시키는 순간 작동을 하면 % TEMP % 폴더에 다운로드 하면 파일을 실행하는 성격입니다. 그리고 암호화는 ECB 모드의 AES-128과 RSA 암호화를 진행하게 됩니다. 그리고 암호화가 진행되면 아래와 같은 화면이 출력됩니다.
ATTENTION! All your documents, photos, databases and other important personal files were encrypted using a combination of strong RSA-2048 and AES-128 algorithms. The only way to restore your files is to buy decryptor. Please, follow these steps:
1. Create your Bitcoin wallet here: https://blockchain.info/wallet/new
2. Buy 0.13066 bitcoins here: https://localbitcoins.com/buy_bitcoins
3. Send 0.13066 bitcoins to this address: [감염된 컴퓨터 아이디]
4. Open one of the following links in your browser: http://luxe-limo.ru/counter/?[
감염된 컴퓨터 아이디] http://musaler.ru/counter/?[감염된 컴퓨터 아이디] http://vinoteka28.ru/counter/?[감염된 컴퓨터 아이디] http://www.agrimixxshop.com/counter/?[감염된 컴퓨터 아이디] http://sharedocsrl.it/counter/?[감염된 컴퓨터 아이디} 5. Download and run decryptor to restore your files.
You can find this instruction in "DECRYPT" file on your desktop.

한마디로 간단하게 이야기하면 가상화폐인 비트코인을 요구를 하는 것을 볼 수가 있습니다. 그리고 해당 랜섬웨어는 컴퓨터에 있는 다음 확장자들을 검색을 시도하게 됩니다.
.123, .602, .dif, .docb, .docm, .dot, .dotm, .dotx, .hwp, .mml, .odg, .odp, .ods, .otg, .otp, .ots, .ott .pot, .potm, .potx, .ppam, .pptm, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .sxc, .sxd. sxm, .sxw, .txt, .uop, .uot, .wb2, .wk1, .wks, .xlc, .xlm, .xlsb, .xlsm, .xlt, .xltm, .xltx, .xlw, .xml, .asp, .bat, .brd, .c, .cmd, .dch, .dip, .jar, .js, .rb, .sch, .sh, .vbs, .3g2, .fla, .m4u, .swf , .bmp, .cgm, .djv, .gif, .nef, .png, .db, .dbf, .frm, .ibd, .ldf, .myd, .myi, .onenotec2, .sqlite3, .sqlitedb. paq, .tbk, .tgz, .3dm, .asc, .lay, .lay6, .ms11, .ms11, .crt, .csr, .key, .p12, .pem, .qcow2, .vmx, .aes, .zip, .rar, .r00, .r01, .r02, .r03, .7z, .tar, .gz, .gzip, .arc, .arj, .bz, .bz2, .bza, .bzip, .bzip2 , .ice, .xls, .xlsx, .doc, .docx, .pdf, .djvu, .fb2, .rtf, .ppt, .pptx, .pps, .sxi, .odm, .odt, .mpp,. ssh, .pub, .gpg, .pgp, .kdb, .kdbx, .als, .aup, .cpr, .npr, .cpp, .bas, .asm, .cs, .php, .pas, .class, .py, .pl, .h, .vb, .vcproj, .vbproj, .java, .bak, .backup, .mdb , .accdb, .mdf, .odb, .wdb, .csv, .tsv, .sql, .psd, .eps, .cdr, .cpt, .indd, .dwg, .ai, .svg, .max,. skp, .scad, .cad, .3ds, .blend, .lwo, .lws, .mb, .slddrw, .sldasm, .sldprt, .u3d, .jpg, .jpeg, .tiff, .tif, .raw, .avi, .mpg, .mp4, .m4v, .mpeg, .mpe, .wmf, .wmv, .veg, .mov, .3gp, .flv, .mkv, .vob, .rm, .mp3, .wav , .asf, .wma, .m3u, .midi, .ogg, .mid, .vdi, .vmdk, .vhd, .dsk, .img, .iso
해당 확장자가 있으면 해당 확장자를 암호화하여 비트코인을 요구하는 방식입니다. 일단 기본적으로 hwp 즉 한국에서 가장 많이 사용을 하는 확장자도 있기 때문에 한국을 타켓을 한 것도 있는 것 같습니다.

Nemucod ransomware(Nemucod 랜섬웨어)에 대한 복원화 도구
그리고 \winnt, \boot, \system, \windows, \tmp, \temp,\program, \appdata,\roaming, \msoffice, \temp, \cache, recycler
폴더는 랜섬웨어가 동작을 하도록 필요한 부분과 그리고 나중에 암호 해독이 손상되지 않게 하려고 해당 폴더들은 암호화 작업을 하지 않습니다. 그리고 해당 랜섬웨어는 시스템복원지점이 발견되면 사용자가 복구하지 못하도록 쉐도우 복사본을 삭제하고 비트코인 300달러를 요구합니다.
해당 랜섬웨어인 Nemucod ransomware(Nemucod 랜섬웨어)에 감염이 되신 분들은 Emsisoft에서 제공을 하는 복원화 도구를 이용해서 복원화를 하시면 될 것입니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band