꿈을꾸는 파랑새

반응형

오늘은 MoneroPay Ransomware(모네로페이 랜섬웨어)감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 최근에 전 세계적으로 가상화폐투자에 관심이 많이 있고 각국 정부에서는 통제하니 안 하니 가상화폐거래소를 폐쇄하니 안 하니 등으로 많은 소식이 있고 뉴스에서도 많이 나옵니다. 일단 랜섬웨어는 기본적으로 컴퓨터를 감염해서 파일을 암호화해서 사용자에게 가상화폐를 송금을 요구합니다. 물론 이전까지 많이 사용이 되는 것이 비트코인이었지만 최근에는 모네로(Monero)로 요구를 많이 하고 있습니다.

일단 해당 랜섬웨어는 PLANETARY , Krypton , SERVER , Cryptedx 등과 유사점이 있습니다. 악성코드 서로 다른 사이버 범죄자에 의해 개발되었지만 모두 데이터를 암호화하고 몸값 요구를 하는 같은 행동을 보이며 유일한 주요 차이점은 몸값의 크기와 사용되는 암호화 알고리즘 유형이며. 안타깝게도 대부분 악성코드는 고유한 암호 해독 키를 생성하는 암호(예:RSA, AES 등)를 사용합니다.

Ransomware(랜섬웨어)의 악성코드는 다양한 방식으로 확산하지만 가장 널리 사용되는 5가지 유형은 다음과 같습니다.

1: 트로이 목마, 2: 가짜 소프트웨어 업데이트 도구, 3: 제삼자 소프트웨어 다운로드 소스, 4: 피어 투 피어 (P2P)네트워크. 5: 스팸 이메일. 트로이 목마는 매우 간단하게 작동합니다. 악성코드가 컴퓨터에 침투하도록 백도어 를 열도록 설계되었으며 가짜 소프트웨어 업데이트 프로그램은 오래된 소프트웨어 버그 및 결함을 악용하여 시스템을 감염시킵니다.

P2P 같은 경우에는 토렌트,eMule 같은 곳을 통해서 감염됩니다. 일단 해당 랜섬웨어는 기본적으로 파일이 암호화 되면 .encrypted 확장자를 각 파일의 이름에 추가합니다.

그리고 나서 MoneroPay Ransomware(모네로페이 랜섬웨어)는 몸값을 받으려고 다음과 같은 랜섬노트를 보여 줍니다.

Your files are encrypted
 If you close this window, you can always restart and it should appear again.
All your files have been encrypted by us. This means you will be unable to access or use them. In order to retrieve them, you must send 0.3 monero (about $120 USD) to: 46FXmRvyffu59NNUs95rHx5cVQqU2z2zQD5qP7w
YfDiGaGjBGtP7cf8EhaQ1qy7wqV7bcNnrNUf2n1gugrQmKPG8U6AqHwy
Make sure you include your payment ID:
Use CTRL+C to copy both
IF YOU DO NOT INCLUDE YOUR PAYMENT ID, YOUR FILES CANNOT BE DECRYPTED. Do not waste your time -- only we can decrypt your files.
파일이 암호화되어 있습니다.
이 창을 닫으면 언제든지 다시 시작할 수 있으며 다시 표시되어야 합니다.
모든 파일은 우리에 의해 암호화되었습니다. 즉, 액세스하거나 사용할 수 없게 됩니다. 그들을 검색하려면 0.3 monero (약 $ 120 USD)를 다음으로 보내야 합니다 : 46FXmRvyffu59NNUs95rHx5cVQqU2z2zQD5qP7w
YfDiGaGjBGtP7cf8EhaQ1qy7wqV7bcNnrNUf2n1gugrQmKPG8U6AqHwy
지급 ID를 포함해야 합니다.
Ctrl + C를 사용하여 둘 다 복사하십시오.
지불 ID가 포함되어 있지 않으면 파일을 기각할 수 없습니다. 시간을 낭비하지 말고 파일을 해독할 수 있습니다.
지급한 경우 DECRYPT 버튼을 클릭하여 파일을 정상 상태로 되돌립니다. 비용을 지급하면 파일을 돌려 드리겠습니다.
라는 메시지를 볼 수가 있습니다.

바이러스토탈 결과

암호화하는 파일들은 다음과 같습니다.
암호화할 파일 확장명 목록 :
MS 오피스 문서, OpenOffice, PDF, 텍스트 파일, 데이터베이스, 사진, 음악, 비디오, 이미지 파일, 등입니다.
그리고 해당 랜섬웨어와 관련이 있는 파일들은 다음과 같습니다.
spritecoind.exe
spritecoinwallet.exe
그리고 가짜 가상화폐인 SpriteCoin을 생성하기 위해 배포판의 일부로 배포됩니다. 설치 과정에서 암호화가 시작됩니다. 그리고 있지도 않은 가상화폐에 대한 메시지도 함께 보여 줍니다. 즉 가짜 가상화폐인 SpriteCoin도 보여주고 모네로 가상화폐를 얻으려고 파일을 암호화합니다. 일단 최근에 다양한 방식으로 랜섬웨어들이 나오고 있으니까 항상 조심해서 컴퓨터를 사용해야 할 것입니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band