랜섬웨어라는것은 간단하게 암호화 기술인 AES, RSA를 이용해서 사용자 컴퓨터를 감염시켜 사용자 컴퓨터에 있는 문서, 동영상, 사진 등 파일을 암호화해서 암호화를 풀기를 위해서 암호화를 풀기 위한 도구를 구매해야 하면 해당 도구를 다운로드 하고 싶은 경우에는 비트코인이 있기 이전에는 대포통장을 비트코인같은 가상화폐가 있으면 비트코인등을 요구합니다. 일단 최근에 특정 국가를 목표로 랜섬웨어들이 많이 제작이 되고 있습니다. 해당 Ordinypt Ransomware는 독일어를 사용하는 사람들로 목표했기 때문에 독일어로만 구성돼 있습니다. 일단 해당 Ordinypt Ransomware는 Petya Ransomware(페트야 랜섬웨어)와 마찬가지로 취업광고로 대한 회신형식이면 이력서로 가장하는 ZIP 형식으로 압축파일로 구성돼 있고 조금 더 신뢰를 얻으려고 예쁜 여자얼굴이 있는 JPG파일가 포함이 돼 있습니다.
Viktoria Henschel-Bewerbungsfoto.jpg,Viktoria Henschel-Bewerbungsunterlagen.zip의 2개의 파일이 첨부돼 있습니다. 일단 압축파일을 열어보면 아이콘은 PDF 아이콘으로 돼 있지만 실제로는 확장자는 PDF 확장자가 아닌 exe형식로 돼 있어서 컴퓨터에서 확장자를 표시하지 않았으면 PDF 파일로 착각해서 exe 파일이 실행되는 방식입니다.
즉 악성코드 유포자가 토렌트에서 유명한 영화로 돼 있는 것처럼 돼 있지만 실제로는 실행을 하면 동영상이 아닌 exe 파일이 실행되어서 악성코드를 감염시키는 방법을 사용합니다. 그리고 파일명은 무작위로 바뀌게 돼 있습니다.
문자 및 숫자로 구성된 문자열을 무작위로 생성하며 같은 함수에 의해 생성되며 파일 크기는 8KB에서 24KB 사이에서 다를 수 있습니다. 그리고 해당 Ordinypt Ransomware는 파일을 파괴한 모든 폴더에 몸값기록을 남기며 몸값을 받으려고 파일 이름은 Where_are_my_files.html,Wo_sind_meine_Dateien.html이 됩니다. 그리고 감염이 되면 감염이 된 컴퓨터의 ID,Bitcoin 주소(비트코인 주소),다크웹 URL 그리고 몸값을 지급을 확인하기 위해서 전자메일주소도 함께 표시합니다.
그리고 JavaScript로 구성이 된 101개의 비트코인 지갑 주소목록에서 무작위로 비트코인 주소를 선택합니다.
일단 Ordinypt Ransomware의 독일어 이메일 내용입니다. 일단 개인적으로 독일어를 못하기 때문에 번역은 생략하겠습니다.
Sehr geehrte Damen und Herren, anbei erhalten Sie meine Bewerbung für Ihre bei der Arbeitsagentur ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann. Mit freundlichen Grüßen, Viktoria Henschel Translated Spam: Dear Sir or Madam, Enclosed you will receive my application for your job advertised at the Employment Agency. Please see my detailed and attached application documents for the reasons why I am able to fill the vacant position optimally and that your experience has many advantages for your company. I'm glad if I can introduce myself once again. Best regards, Viktoria Henschel
그리고 랜섬웨어가 생성하는 랜섬웨어 노트는 다음과 같습니다.
Ihre Dateien wurden verschlüsselt!
Sehr geehrte Damen und Herren, Wie Sie mit Sicherheit bereits festgestellt haben, wurden alle Ihre Dateien verschlüsselt. Wie erhalte ich Zugriff auf meine Dateien? Um Ihre Dateien erfolgreich zu entschlüsseln, benötigen Sie unsere Spezielle Software und den dazugehörigen Decrypt-Key. Wo bekomme ich die Software? Die Entschlüsselungs-Software können Sie bei uns erwerben. Der Preis für die Entschlüsselungs-Software beläuft sich auf 0.12 Bitcoin (ca. 600 Euro). Bitte beachten Sie, dass wir ausschließlich Bitcoin für den Erwerb der Software akzeptieren.
Wo bekomme ich Bitcoin?
Bitcoin können Sie Online sowie Offline erwerben, eine Liste empfohlener Anbieter folgt: https://www.bitcoin.de/de/-Online https://localbitcoins.com/-Online/Offline
https://btcdirect.eu/de-at-Online
https://www.virwox.com-Online
Zahlungsanweisungen Bitte transferieren
Sie exakt 0.12 Bitcoin an folgende Addresse:XXXXXXXXXXXXXXXXXXXXXXXXX
Nach erfolgreichem Zahlungseingang erhalten Sie automatisch die Entschlüsselungs-Software sowie den dazugehörigen Decrypt-Key. ACHTUNG! Sollten wir innerhalb von 7 Tagen keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie kein Interesse an der Entschlüsselung Ihrer Dateien haben.
In diesem Fall löschen wir den Decrypt-Key unwiderruflich und Ihre Dateien sind für immer verloren. Ihre Dateien wurden mit einem 256-Bit AES Algorithmus auf Militärqualität verschlüsselt.
Wir empfehlen Ihnen keine Zeit mit eigenhändigen Entschlüsselungsversuchen zu verschwenden, dies würde Sie nur unnötig Zeit und weiteres Geld kosten, Ihre Dateien wären aber weiterhin verschlüsselt.
Bonus Zusätzlich zur Entschlüsselungs-Software erhalten Sie nach erfolgreicher Zahlung, hinweise wie die Schadsoftware auf Ihre System gelangen konnte und wie Sie sich in Zukunft vor weiteren Übergriffen schützen können!
뭐 대충 랜섬웨어 노트 내용이라 간단하게 비트코인 가격과 그리고 비트코인 주소, 사용자 감염자 ID, 그리고 AES 256비트 알고리즘을 암호화했다는 내용입니다. 보면 유로화로 600유로인 것을 볼 수가 있습니다.
이런 랜섬웨어에 감염이 되기 싫은 분들은 기본적으로 윈도우 업데이트,백신프로그램 사용, 보조 백신프로그램 또는 랜섬웨어차단 프로그램을 사용하면 기본적으로 자신이 사용하는 프로그램은 최신프로그램으로 유지하면 프로그램도 프로그램제작사에서 다운로드해서 사용을 해야 하면 출처가 불분명한 곳에서는 파일을 다운로드 및 설치를 하지 말아야 하며 그리고 확장자를 볼 수가 있게 윈도우 설정을 변경을 해주면 됩니다.
설정 방법은 간단합니다. 먼저 내 컴퓨터를 열어줍니다. 윈도우 10 같은 경우에는 보기에 보면 파일 확장명이라는 것이 보일 것입니다. 해당 부분을 체크를 해주면 자신의 컴퓨터에 있는 파일의 확장자를 볼 수가 있습니다. 해당 부분은 필수로 설정하지 않아도 되지만 그래도 확장자 명을 표시하게 하는 것이 보안에는 도움이 됩니다.
<기타 관련 글>
[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법
[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool
[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker
[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree
[보안] - 스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방
[보안] - 일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법
[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
[보안] - MBR 변조를 한 후 부팅을 방해하는 PETYA 랜섬웨어(패트야 랜섬웨어)- 변종 골든 아이 랜섬웨어(Goldeneye Ransomware)
[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법
[보안] - 우크라이나를 겨냥한 XData 랜섬웨어 감염 증상 및 예방 방법
[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner
[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Adobe Acrobat Reader DC 2018.009.20044&Adobe Flash Player 27.0.0.187 보안 업데이트 (0) | 2017.11.16 |
|---|---|
| 윈도우 10 2017년 11월 정기 보안 업데이트 및 누적 업데이트(KB4048955) (0) | 2017.11.15 |
| 비트코인 및 가상화폐 채굴에 강제 동원하게 하는 스크립트 차단 프로그램-Anti-WebMiner(안티웹마이너) (5) | 2017.11.15 |
| 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버) (6) | 2017.11.14 |
| 구글 크롬 브라우저에서 원치 않는 리디렉션 보호 기능 사용 방법 (6) | 2017.11.10 |
| 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware) 감염 증상 (10) | 2017.11.09 |
| 일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법 (4) | 2017.11.07 |
| 안드로이드 랜섬웨어-Doublelocker android Ransomware(더블락 안드로이드 랜섬웨어) 감염 및 증상 (4) | 2017.11.04 |
