꿈을꾸는 파랑새

오늘은 지난 RensenWare 랜섬웨어와 같은 랜섬웨어인 RansomMine Ransomware(랜섬마인 랜섬웨어)이 발견이 되었었습니다. 일단 지난 RensenWare 랜섬웨어같은 경우에는 게임 점수가 특정한 점수가 될 때까지 계속 게임을 해야 하는 랜섬웨어 있었습니다.

그리고 해당 랜섬웨어는 볼륨새도우복사본을 제거를 하지 않기 때문에 해당 새도우 익스플러워를 통해서 복구를 시도할 수가 있습니다. 물론 해당 랜섬웨어는 해당 제작자가 해당 RensenWare 랜섬웨어를 복구를 할 수가 있는 복구툴을 제공을 하고 있습니다. 일단 해당 랜섬웨어는 해외에서도 정보가 공유되고 있고 일단 해당 제작자가 해당 복구툴도 제공을 하고 있기 때문에 랜섬웨어에 감염이 되면 해당 복구툴로 복구를 하면 될 것입니다.

일단 오늘은 소개해 드리는 랜섬웨어인 RansomMine Ransomware(랜섬마인 랜섬웨어)은 간단하게 마인크래프트 버전 1.11.2 버전을 1시간 이상 플레이 해야 그러면 자동으로 복호화가 진행이 되는것입니다.

[보안] - RensenWare 랜섬웨어 증상과 파일 복구 방법

일단 해당 RansomMine Ransomware(랜섬마인 랜섬웨어)에 감염이 되면 다음과 같은 화면을 볼 수가 있습니다.

경고
당신의 파일이 모두 암호화되었습니다.
1. 이게 무슨 소리야?
당신의 동영상, 사진, 문서, 등이 암호화가 되었습니다. 이 프로그램은 강력한 알고리즘을 사용함으로 이 프로그램이 없으면 복구할 수가 없습니다.
2. 그럼 어떻게 해야 합니까?
아주 간단합니다. 마인 크래프트를 1시간 이상을 플레이해야 합니다. (단 1.11.2 버전으로 해야 하며 그니다.)그러면 자동으로 복호화를 진행합니다. 그리고 복호화키는 고정이니 련선웨어 처럼 꺼도 복구할 수 없는 것은 아닙니다. 그리고 상태 부분에 보면 마인크래프가 실행되어 있지 않으면 즉 마인크래프트가 실행이 되고 있는지 확인을 할 수가 있고 그리고 그리고 암호화된 파일 노트를 통해서 암호화된 파일들을 확인할 수가 있습니다. 그리고 맨 마지막으로 보며 프로그램은 오직 장난용으로 만들었으며 이 프로그램을 다른 사람에게 사용해서 발생한 문제들은 책임지지 않습니다.

라는 말이 들어가 져 있는 것으로 보면 장난용으로 제작된 랜섬웨어으로 추측을 할 수가 있습니다. 여기서 나오는 마인크래프트는 스웨덴의 프로그래머인 마르쿠스 노치 페르손(Markus Notch Persson)이 만들었고,Mojang AB사에 의해 개발, 판매되고 있는 샌드박스 게임이었는데 지금은 마이크로소프트에 인수된 스튜디오입니다. 모든 것이 네모난 블록으로 만들어진 세계에서 몬스터들을 피해 집을 짓고 도구를 만들며 채광을 하거나 아니면 농사를 지어 생존하는 간단한 구성을 하고 있습니다. 일단 해당 랜섬웨어인 RansomMine Ransomware(랜섬마인 랜섬웨어)은  RansomMine.exe라는 실행 파일을 가지고 있으며 암호화는 AES로 진행이 됩니다. 기본적으로 한국어로 돼 있는 것을 보며 한국인들을 랜섬웨어에 감염을 시키는 방법을 선택한 것 같습니다. 일단 해당 랜섬웨어가 암호화가 되면 정상적인 파일들의 확장자들은 .RansomMine로 변경을 합니다. 일단 배포 방식은 다음과 같습니다.
스팸 메일 및 악의적인 목적으로 첨부된 파일, 출처가 불분명한 사이트로부터 다운로드,  가짜 업데이트등을 사용하여 보호되지 않은 RDP 구성을 통해 해킹하여 배포할 수가 있습니다.
암호화되는 파일은 MS Office 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일
입니다.
생성되는 폴더는 다음과 같습니다.
\Desktop\
\User_folders\
입니다.
일단 바이러스토탈 결과는 다음과 같습니다.
바이러스토탈 결과
그리고 RansomMine.exe 해쉬값은 다음과 같습니다.
MD5 91e890f3e0f1f456486445816797a221
SHA1 244741c1514206d953d5d4767fd0c3dd48cfc6d7
SHA256 7e41197b74e2dcc6c0563d4b71a4ad16293909889ce4f1c5ab214bdd59088667
일단 기본적으로 해당 랜섬웨어인 RansomMine Ransomware(랜섬마인 랜섬웨어)는 기본적으로 백신프로그램으로 탐지되는 것을 확인할 수가 있으면 여기에 보조 백신프로그램 또는 랜섬웨어예방프로그램을 함께 사용을 하고 언제나 그랬듯이 윈도우 업데이트 최신으로 유지, 백신프로그램 최신 업데이트 및 실시간 감시, 사용을 하는 프로그램 최신 업데이트 사용, 토렌트와 같이 출처가 불분명한 곳에서 파일을 다운로드 및 실행을 하는 것을 조심해야 할 것입니다.

<기타 관련 글>

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 소개/소프트웨어 팁] - 윈도우 업데이트 오류코드 0x8024402f 해결방법

[소프트웨어 소개/소프트웨어 팁] - 윈도우 에러 0xc0000428 원인과 해결 방법

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - RensenWare 랜섬웨어 증상과 파일 복구 방법

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band