일단 기본적으로 랜섬웨어들은 기본적으로 컴퓨터에 있는 파일들을 암호화하거나 파일들을 삭제해버린다고 해서 기본적으로 금전적인 요구 즉 가상 화폐인 비트코인을 요구를 합니다. 물론 비트코인을 지급을 한다고 해도 해당 파일들이 복구된다는 보장이 없습니다. 그리고 최근에서는 특정 국가를 목표로 한 랜섬웨어들이 있습니다.
오늘 소개 시켜 드리는 랜섬웨어는 END of ISRAEL Ransomware(이스라바이 랜섬웨어)이라고 불리고 있고 israbye(이스라바이)라는 랜섬웨어 입니다. 일단 해당 랜섬웨어는 기본적으로 이스라엘을 목표하고 있으면 해당 랜섬웨어에 감염이 되면 그냥 파일을 삭제합니다. 일단 파일명은 israbye.exe이라는 파일이 있습니다. 일단 감염이 되면 먼저 랜섬웨어 처럼 먼저 파일을 암호화합니다. 그리고 암호화한 파일명은 israbye로 변경을 합니다. 일단 기본적으로 해당 랜섬웨어는 NET Framework로 코딩으로 제작되었으면 윈도우 파일에 해당 폴더에 감염을 시도합니다.
%UserProfile%
%AppData%
%Roaming%
%Local%
%LocalLow%
%Temp%
그리고 바탕화면이 아랍어인지 힌디어인지 모르겠지만, 아랍어로 추정되는 언어로 바탕화면이 바뀌고 그리고 마우스 포인트가 END of ISRAEL이라는 글자가 따라 다니 것을 볼 수가 있고 Cry.exe 실행 파일은 바탕 화면의 배경을 반 이스라엘과 친 팔레스타인 이미지로 바꿉니다. 그리고 모든 파괴된 파일을 메모장에 열수가 있고 해당 메모장으로 해당 파일을 열면 다음과 같은 메시지가 포함돼 있습니다.
보면 F자로 시작하는 영어 욕설이 들어가 져 있으며 이스라엘을 싫어하는 메시지를 볼 수가 있습니다.
그리고 바탕화면은 이스라엘 국기가 불이 타는 것을 볼 수가 있으면 그리고 아랍어로 쓰여 있는 것을 볼 수가 있습니다. 일단 아랍어를 모르지만, 이스라엘을 싫어하는 내용일 것으로 추측됩니다.
그리고 procexp64, ProcessHacker, taskmgr, procexp, xns5 프로세스가 있으면 강제 종료합니다. 해당 프로세스는 보안에 관심이 있으신 분들은 아실 것입니다. 그리고 악성코드 퍼뜨리려고 기본 Israbye.exe 파일을 ClickMe.exe라는 파일로 다른 드라이브의 루트에 복사합니다.
그리고 랜섬웨어 노트가 나타납니다.
END of ISRAEL
What Happened to My Computer? All Your files and data are Fu?ked For Ever! Can I Recover My Files? Sure you can recover your files
and guarantee that For Free! When will I recover your files? You will recover your files when we recover Palestine, When we recover AL AQSA, When we Recover Our Victims, Our Souls, Our Freedom
(당신의 컴퓨터는 어떻게 되었습니까? 모든 파일과 데이터는 절대로 파괴했습니다! 당신의 파일을 복구할 수 있습니까? 물론 당신은 당신의 파일을 복구할 수 있으며 Free For Free! 파일을 언제 복구합니까? 팔레스타인을 회복할 때, 우리가 AL AQSA(알아크사 모스크)를 회복할 때, 피해자를 회복할 때, 우리의 영혼을, 우리의 자유를 회복할 때 파일을 복구할 것입니다. )
이라는 단어와 아랍어로 돼 있습니다.
그리고 보면 랜섬웨어 팝업에 보면 왼쪽 아래에 보면 특정 단체를 표시하는 것을 볼 수가 있습니다. 일단 이스라엘이라는 국가가 주변에 있는 중동국가들과 원수 관계이기 때문에 이스라엘하고 사이가 안 좋은 단체에서 만든 것을 볼 수가 있고 해당 로고를 보고 한번 인터넷에 보니까 하마스가 사용하는 로고라고 합니다.
그리고 AL AQSA(알아크사 모스크)가 무엇일까 해서 인터넷에 검색을 해보니까 해당 알아크사 모스크(Al-Aqsa Mosque)가 이슬람에서는 메디나, 메카와 더불어 이슬람교 3대 성지의 하나이면서 8세기에 압델 말릭과 알델 말릭의 아들에 의해 건설되었고 십자군 원정 때에는 십자군의 왕궁으로 사용되기도 했다고 합니다.
알아크사 모스크
해당 사진 저작권 표시 조건
저작자표시-동일조건변경허락 4.0 국제 (CC BY-SA 4.0)
이용자는 다음의 권리를 갖습니다:
공유 — 복제, 배포, 전시, 공연 및 공중송신 (포맷 변경도 포함)
변경 — 리믹스, 변형, 2차적 저작물의 작성
영리목적으로도 이용이 가능합니다.
저자:Godot13
일단 해당 랜섬웨어 배포 방식은 스팸 메일, 이 메일 첨부 파일 등을 통해서 전파가 되고 있습니다. 일단 해당 랜섬웨어인 israbye(이스라바이)랜섬웨어는 또 특이한 것은 음악이 파일이 포함돼 있다는 것입니다. 해당 음악파일을 재생하면 아랍어로 나오는 음악이 나오는 것을 들을 수가 있습니다. 물론 이스라엘을 증오하는 내용이라고 생각이 됩니다. 굳이 해당 음악을 듣고 싶은 경우 유튜브에서 검색을 해보면 해당 음악을 들을 수가 있습니다. 일단 최근에 특정 국가를 목표로 하는 랜섬웨어들이 많이 나오는 것 같습니다.
그리고 중요한 것은 기본적으로 윈도우 업데이트하고 백신프로그램, 랜섬웨어예방 프로그램, 보조 백신프로그램 등을 사용해서 예방할 수가 있으면 출처가 확실하지 않은 파일들은 실행하지 않는 것이 좋습니다.
<기타 관련 글>
[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법
[보안] - 가짜 백신(Fake AV)를 제거(삭제)하는데 도움을 받을수 있는 Fake Antivirus Remover
[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법
[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법
[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker
[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법
[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 산타 할아버지가 나오는 랜섬웨어-산타 랜섬웨어(Santa Encryptor Ransomware) (2) | 2017.12.13 |
|---|---|
| 모질라 파이어폭스 57.0.2(Firefox 57.0.2) 보안 업데이트 (0) | 2017.12.12 |
| 윈도우 디펜더 맬웨어 방지 엔진의 취약점 발견 (2) | 2017.12.11 |
| 한컴오피스 NEO 9.6.1.8540 보안 업데이트 (0) | 2017.12.11 |
| 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어) (2) | 2017.12.04 |
| 윈도우 10 정기 누적 업데이트 KB4051963 업데이트 (0) | 2017.12.02 |
| 데스노트 랜섬웨어-SHINIGAMI LOCKER Ransomware(시미가미 락커 랜섬웨어) (10) | 2017.12.01 |
| WannaDie(WanaDie)Ransomware(워너다이 랜섬웨어) 감염 및 증상 (0) | 2017.11.29 |
