오늘은 오픈소스 형태로 공개된 교육용 랜섬웨어 제작프로그램인 히든티어(Hidden Tear)이라는 것은 교육용으로 제작되고 있는 랜섬웨어 제작도구입니다. GitHub에서도 공개돼 있습니다. 덕분에 랜섬웨어 제작은 증가하고 있어서 백신프로그램 제작 업체들은 긴장하게 된 프로그램이라고 샐 수가 있습니다. 그래서 덕분에 누구나 쉽게 랜섬웨어를 만들어서 악성코드를 퍼뜨려서 가상화폐를 송금하는 데 이용을 하고 있습니다.
오늘 소개해 드리는 랜섬웨어는 지난 시간에 소개해 드렸던 랜섬웨어인 카카오톡 변종 랜섬웨어입니다.
가장 최근에 나온 아주 따끈한 랜섬웨어라고 할 수가 있습니다. 일단 기본적으로 한국인을 대상으로 제작되었다고 생각이 됩니다. 정식 이름은 변종 KOREAN 랜섬웨어입니다. 이번에 제작된 카카오 톡 랜섬웨어는 일단 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분이 비슷합니다.
해당 랜섬웨어는 Hidden-Tear 오픈 소스 기반으로 제작되었으며 랜섬웨어는 바탕 화면 경로에 있는 파일 중 아래에 해당하는 확장자만 AES 알고리즘으로 구성돼 있습니다. 해당 AES 암호 알고리즘을 이용해서 기존파일명 기존확장자명.암호화됨 으로 암호화를 진행하고 비트코인을 요구합니다. 대략 가상화폐를 한화으로 환전을 했다고 하면 약 13,500,000원 정도 될 것으로 생각합니다.
해당 랜섬웨어가 암호화하는 대상은 다음과 같습니다.
.txt,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.sln,.php,.asp,.aspx,.html,.xml,.psd,.URL,.kys,.bat,.java,.hwp,.zip,.mp3,.bmp,.rtf,.pdf입니다.
그리고 지난 2016년 8월에 발견된 악성코드과 비교하여 보면 토르 사이트 주소는 같고 폰트와 이미지, 암호화 대상 확장자 등 바뀌었으며 특히 기존에는 %위로 사용을 했지만 이제는 응위 로 작성되었으면 해당 랜섬웨어 제작자가 이번에 조금 변화를 준 것을 확인할 수가 있습니다.
C:\Users\test\Desktop\소스\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\KakaoTalk.pdb
C:\Users\power\Desktop\VapeHacksLoader\obj\Debug\Minecraft.pdb
랜섬웨어 제작자 고객 센터 이메일 주소: powerhacker03@hotmail.com
토르 사이트:http://2dasasfwt225dfs5mom.onion.city
그리고 암호화에 사용하는 확장자가 암호화됨이라는 한국어인 점과 한국에서 사용하는 메신저 앱인 카카오 톡 이미지를 사용하고 한국에서 만든 나무 위키를 이용한다는 점 비트 코인 구매 방법으로 한국에 있는 가상화폐 거래소 등을 이용하는 점에서 한국인이 제작한 것 확률이 매우 높습니다. 일단 지난 카카오톡 랜섬웨어하고 제작자는 같습니다.
일단 기본적으로 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내려고 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다. 일단 해당 랜섬웨어 제작자는 지난주에 소개해 드린 koreanLocker Ransomware등의 많은 랜섬웨어를 제작을 한 것을 알 수가 있습니다.
<기타 관련 글>
[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)
[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper
[소프트웨어 팁/보안] - 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어)
[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)
[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상
[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기
[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool
[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree
[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법
[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
[소프트웨어 팁/보안] - 악성코드 수동 제거 프로그램-Adwcleaner 7.0 업데이트
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법
[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상
[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent
[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법
[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법
[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
유블럭 오리진으로 강제 가상화폐채굴 차단 방법 (0) | 2018.02.12 |
---|---|
어도비 플래시 플레이어 취약점 CVE-2018-4878 이용한 악성코드 전파중 (2) | 2018.02.06 |
윈도우 10 1709 버전 KB4058258 누적 업데이트 (0) | 2018.02.03 |
한국인만 노리는 랜섬웨어-RansomUserLocker Ransomware 감염 증상 (0) | 2018.02.02 |
익명성을 보장하는 브라우저-토르 브라우저 7.5(Tor Browser 7.5) 보안 업데이트 (0) | 2018.01.25 |
모질라 파이어폭스 58.0 보안 업데이트 (4) | 2018.01.25 |
가상화폐 채굴을 하는 악성코드-RubyMiner(루비마이너) (0) | 2018.01.24 |
카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어) (8) | 2018.01.23 |