꿈을꾸는 파랑새

오늘은 간단하게  MadBit Ransomware 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 먼저 Ransomware (랜섬웨어)라고 하는 것은 간단하게 이야기하면 먼저 AES 및 RSA 같은 암호화 알고리즘을 이용해서 사용자의 컴퓨터에 있는 사진, 동영상 파일들을 암호화해서 해당 감염된 사용자에게 옛날에는 현금을 요구했지만, 최근에는 가상화폐인 비트코인을 요구하는 악성코드입니다.

먼저 해당 랜섬웨어인 MadBit는 파일은 AES 군사 등급 암호화 알고리즘으로 파일을 잠그며 MadBit cryptovirus는 데이터와 파일을 암호화하고. enc 확장자를 각 파일에 추가를 진행합니다.
일단 기본적으로 MadBit Ransomware은 기본적으로 스팸 메일, 이메일 첨부 파일 등으로 전파가 되는 랜섬웨어 입니다.MadBit ransomware는 다양한 방식으로 감염을 확산이 되고 있으며 랜섬웨어에 대한 악의적인 스크립트를 시작하는 페이로드 드로퍼 (payload dropper)를 통해서 인터넷을 통해서 악성코드가 유포됩니다. 물론 MadBit ransomware는 우리가 사용하는 트위터, 인스타그램, 페이스북 등 SNS를 통해서 전파도 가능한 랜섬웨어 입니다.
MadBit ransomware는 Windows 레지스트리에 항목을 만들어서 지속성을 유지하면서 Windows 환경에서 프로세스를 시작하거나 제어를 할 수 있습니다. 이러한 항목은 일반적으로 Windows 운영 체제를 시작할 때마다 자동으로 악성코드를 시작하도록 설계돼 있었습니다.
그리고 몸값을 받으려고 랜섬웨어 노트를 보여 주며 제목은 다음과 같습니다.

madbit encryptor: Hello, you are encrypted!이라는 메시지를 볼 수가 있습니다. 그리고 나서 몸값을 받기 위한 랜섬웨어 노트를 사용자에게 보여줍니다.

***!WARNING!***
***YOUR COMPUTER ARE INFECTED***
***ALL DATABASES, SITES AND USERS HOME FILES HAVE BEEN ENCRYPTED***
================================================
>>>You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.<<< ***After payment we will send you the decryption tool ,that will decrypt all your files.*** ===FREE DECRYPTION AS GUARANTEE=== ===Before paying you can send to us up to 1 files for free decryption=== Please note: that files must NOT contain valuable information and their total size must be less than 1Mb === Important information === YOUR COMPUTER UID : COPY&SEND YOUR UID TO EMAIL'S : adaline.lowell.85@mail.ru ================================================ ***!WARNING!*** ===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===
The following e-mail address is used to contact the cybercriminals:
adaline.lowell.85@mail.ru
굳이 한국어로 번역하면 다음과 같은 내용이 될 것입니다.
***!경고!***
*** 귀하의 컴퓨터가 감염되었습니다 ***
*** 모든 데이터베이스, 사이트 및 사용자 홈 파일은 암호화되었습니다 ***
======================================================================================================
>>> Bitcoins에서는 암호 해독에 대한 비용을 지급해야 합니다. 가격은 당신이 우리에게 쓰는 속도에 달렸습니다. <<< *** 지불 후 모든 파일을 해독할 수 있는 해독 도구를 보내드립니다. *** === 보장된 무료 진술 ============================================================================================================================ 지급하기 전에 무료 암호 해독을 위해 최대 1개의 파일을 보낼 수 있습니다.
===주의 사항 : 파일에 유용한 정보가 없어야 하며 총 크기는 1Mb보다 작아야 합니다.
=== 중요 정보 === 사용자 컴퓨터 UID : 복사 및 보내기 이메일로 이동 : adaline.lowell.85@mail.ru ==================================== ======
경고! *** === ****rnadbit***madbit***madbit***madbit***madbit ***rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit **** ===
adaline.lowell.85@mail.ru

이라는 메시지를 볼 수가 있으면 이메일은 해당 랜섬웨어 제작자와 연락을 하려고 사용이 되는 이메일입니다.
암호화할 파일 확장명 목록 :
MS Office 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 아카이브 등입니다.
Ransomware 관련 파일은 다음과 같습니다.
WindowsProcessor.exe(Cmd.exe)
그리고 랜섬웨어가 사용하는 위치는 다음과 같습니다.
\Desktop\
\User_folders\
그리고 사용자가 윈도우에서 기본적으로 설치되어서 작동하는 윈도우 복원지점을 통해서 파일을 복구하는 것을 막으려고 랜섬웨어는 다음의 명령어를 통해서 해당 윈도우 복원지점을 삭제합니다.
vssadmin.exe delete shadows /all /Quiet
이런 랜섬웨어에 감염이 되지 않으려면 일단 기본적으로 윈도우 업데이트는 최신 상태를 유지하고 그리고 백신프로그램은 반드시 설치 및 실시간 감시 최신갱신을 유지해야 하면 그리고 토렌트 같이 출처가 불분명한 사이트에서 파일을 내려받기 및 설치 그리고 이메일에서 링크 같은 것은 함부로 눌리거나 파일을 내려받기해서 실행하는 것에 대해서 주의해야 합니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band