오늘은 최근에는 발견이 되고 조금 오래된 크립토믹스 랜섬웨어|Cryptomix Ransomware)의 새로운 변종인 0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)이 발견이 되었습니다.해당 랜섬웨어인 0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)은 일단 기본적으로 다른 랜섬웨어와 같이 랜섬웨어가 작동을 해서 암호화 하는 방법은 똑같습니다.그리고 _HELP_INSTRUCTION.TXT이라는 파일을 생성을 하면 해당 _HELP_INSTRUCTION.TXT안에는 랜섬웨어 제작자와 연결을 할수가 있게 이메일이 포홤이 되어져 있습니다.
일단 이메일 주소를 보면 y0000@tuta.io, y0000@protonmail.com, y0000z@yandex.com 및 y0000s@yandex.com입니다.보시면 기본적으로 tuta 보안 메일과 그리고 protonmail을 사용을 할수가 있는것을 확인을 할수가 있으면 기본적으로 yandex가 있는것으로 보아서 아마도 러시아에서 제작이 되었지 않나 추정을 해봅니다.
0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)는 파일이0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어)에 의해 암호화 될 때 파일 이름을 수정 한 다음 파일을 추가합니다 . 0000 암호화 된 파일 이름 확장로 변경을 해버립니다.
0000 Cryptomix Ransomware(0000 크립토믹스 랜섬웨어) 변종은 피해자의 파일을 암호화하는 데 사용되는 AES 키를 암호화하는 데 사용되는 11 개의 공개 RSA-1024 암호화 키를 포함하게 되고 이렇게하면 인터넷없이 랜섬웨어가 완전히 오프라인으로 작동 할 수가 있습니다.
그리고 특이한점은 해당 변종 랜섬웨어는 11 개의 공개 RSA 키는 이전의 XZZX Cryptomix Ransomware 변종과 똑같습니다.
랜섬웨어 노트는 다음과 같습니다.
Hello! Attention!
All Your data was encrypted! For specific informartion,
please send us an email with Your ID number: y0000@tuta.io y0000@protonmail.com y0000z@yandex.com y0000s@yandex.com Please send email to all email addresses!
We will help You as soon as possible! DECRYPT-ID-감염자 컴퓨터 ID
안녕 주의하세요.너의 모든 데이터는 암호화되었습니다.그리고 너의 ID를 이메일로 보내주시면 됩니다.
그리고 다음 명령어를 수행을 합니다.
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc cmd.exe /C bcdedit /set {기본} recoveryenabled
No cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
일단 실행되는 명령어 보면 윈도우 디펜더,윈도우 방화벽,윈도우 보안 관련은 물론 기본적으로 새도우볼륨복사본도 삭제를 시도를 합니다.
사용하는 RSA-1024 키는 다음과 같습니다.
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCyagbOaf3s/ePCxre9cs9BwaX3 D40qF7jAzB/xoWktfDlY2PVslZ2reYhQC9dSIvkEtuZqlUUYgFUdaaqTsE7pA8ik 2zXI5Ou7I0YtwWRoFNCl8YlMTRKgDHRQhclPNbtpi2ucm507Unr8EnT2ZzcTOYv1 7ITFgkBdNr4zHLFrpQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDChVnFfbDa3rp1sug7tbE6ba/O RWAwsk6WQ21XHgAXF7dKuEtG/4q7QJyHahQvys2oLkJ4Et2+S4YS3FSYXYqNOq/e 5ahdS19KiuGLnf1u7acnsGvikJgvXiwe/NH2h48ZtK0Uyn1Q1ijVNU66f1pehSmB YQupamnC2XkV9d6Z0wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXbf7u6Pq5kB+O1Cb9GIG9GlVG Mswk342Er1HMiHFXUsVMlljLFTJPz5rdcVB4QAXsOynm67uw8yEAlNC90AHohuIV dGDNVoQuuyNvanI1Ur4cA4aKqpJZKbkVauTpCDdEAse4LSH4NrGTgCao42jiaksj pZvKyFK8yvdoAwd3JQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCetENrtjivjYOthpX2yTlYKJ0x gZ0R367J8tSFikEhVoko4SKRmN9Y1s88iCdeRPUZh2Q0rHOesf/AxONK1buzygXl BkE5X86I3EFUFbPjyOnIgEKFru728aLlwkslqYPIWS29DZUCboHzv1YWU8gtFkwL 5bUEB444se2UXi+pjwIDAQAB -----END PUBLIC KEY----- -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQa9aSkupoA7jxeOhS/mbRvy4u H/hI6XbTsv+ilfj8v9XHBaptsExUvCDG3fXvDKxSLxa6HBXnemM3weUDS0njH9Sb MJjImRjQ+OambwAYaj/hnFM3TYWU4KhPPKWrsxHT1ReSo1i+G2bNxr2gyS2D606N xaN4LNmYw3PLL2omGQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCIiEAs1V5JBCLKmDy0Il6rfC4w pQm0s9224Yvxs5pRRic3IQwAJ6wWw0Nrl42LxiA88jggso2EZ05lAl9FIuCNvzCr PO2QOjRLT0w2bYEEneK+rQR9sexZSI90zYVjziI26muOG1M8neAHqWkPvZI1a1sd hG5MwboKBkPYbtXI1wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC4ShCcW3W2gmG5HT/Vcrzf4HKi OXAmVWpTRkyqxkw/wU7Ax+A63Fgo5tV4psuxHcJUGYQv4B8+Ag+POHmE4a7Vd4Ra 7tVXBEoyl1ZKF8fFCAAaw6G/ALCL0LEQiTLaqQuIjNXRo7S4Mt/alOM18uMP/kEA mqnGDXEblePIsMUzkQIDAQA
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOXllDk/itDr0oW7hxm01XLeEo pVCg63jWxr5ZEKMU3zmYPtIPGayJbOacU+pPf6t77IMR8ainmJXjAK1c0V07XJv2 UrRsQARYDGEnItYphiYI7t1AgXSPoUi8pvQJrpja3WpuFNmhsWE2lz5uEO7QeejG jSToXALGsvmgvGq5SQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCWeBww97UHcRLjztOKvXB0xzRC LcZGov/Y/6x/m8uo42nLkyPgUjrqR7EAzB6bbB6L6aOgCJb2WyffOaNN5df07gIV f1Ea8u/jMIr5uhR+pnFMNB0jQIqqU9/slURM+U7dFvELbli5HL+7Ac/EehJNjLNW bpB5dTPCSSpKFoeoxQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCIX+Ay2zjnnViZsCDCk/TS2wZV 85YVVWpAXzsu4wzJzo4Mux2PK5pW0+i6+O1KZLcu+d5xElKM0KgrmE8uY1xylA18 SMBHHhBNhJdYXIaARFNp1uRG+kR8IDgT3sDrSseTt//l2tn8oo5xxw6UHtsBqRwF KP3u+Vspd+gFRsTC5wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCxsV6vYenwHV4noHlPuOL/Dc7b dcLDWzJCmCToF5wCnUdkeifop7s6Kuz4nujPWq+6/foz5od8GySTtKiZtoq3lcmI 04RMzKqvo1PkR4RzfXGBLVk6EqeCrueY86l8Gu71oiPois8jJV6VQ96IJuc0HNRb IVKuPQZRttC1CjuZHQIDAQAB
-----END PUBLIC KEY-----
일단 기본적으로 이런 랜섬웨어에 감염이 되는것을 최소화할려며 기본적으로 토렌트 같은 곳에서 함부로 파일을 다운로드 해서 실행을 하면 안되며 그리고 백업은 필수이며 백신프로그램과 보조백신프로그램,랜섬웨어 방어프로그램 같은 것을 설치를 해서 보호를 해야 되면 기본적으로 윈도우 보안 업데이트 최신 업데이트 유지,Adobe Reader,Adobe Flash Player,Java같은 프로그램을 사용을 하면 항상 최신 업데이트로 유지를 하면 이메일을 보낸 사람이 잘 모르는 사람일경우에는 함부로 다운로드 및 실행을 하는것을 자제해야 합니다.
<기타 관련 글>
[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법
[보안] - CryptoMix 랜섬웨어 증상과 암호화 파일 복구 방법
[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)
[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법
[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool
[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree
[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
[보안] - 보조 백신프로그램-Zemana AntiMalware Premium
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
브라우저 하이재커 Onclickrev.com 리디렉션 제거 방법 (2) | 2017.11.28 |
---|---|
CainXPii Ransomware 형 히틀러 랜섬웨어(Hitler ransomware) 감염 및 증상 (8) | 2017.11.27 |
인텔 CPU 권한 상승 취약점 검사 도구-Intel-SA-00086 Detection Tool (6) | 2017.11.24 |
윈도우 8,윈도우 10등에 존재하는 주소 공간 배치 무작위 취약점 발견 및 임시 대처 방법 (0) | 2017.11.22 |
Firefox 57(파이어폭스 57)보안 업데이트 (4) | 2017.11.17 |
Adobe Acrobat Reader DC 2018.009.20044&Adobe Flash Player 27.0.0.187 보안 업데이트 (0) | 2017.11.16 |
윈도우 10 2017년 11월 정기 보안 업데이트 및 누적 업데이트(KB4048955) (0) | 2017.11.15 |
비트코인 및 가상화폐 채굴에 강제 동원하게 하는 스크립트 차단 프로그램-Anti-WebMiner(안티웹마이너) (5) | 2017.11.15 |