꿈을꾸는 파랑새

해당 랜섬웨어인 애나벨 랜섬웨어(Annabelle Ransomware)은 공포영화인 애나벨(Annabelle)을 모티브로 제작된 랜섬웨어 입니다. 일단 해당 랜섬웨어인
Annabelle Ransomware은 일단 기본적으로 일단 해당 애나벨 랜섬웨어는 일단 기본적으로 보안 프로그램 종료, Windows Defender 사용 안 함, 방화벽 끄기, 파일 암호화, USB 드라이브를 통한 확산 그리고 다양한 프로그램을 실행할 수 없도록 설정 한 다음 사용자의 컴퓨터를 엉망진창으로 만들려고 만들어진 랜섬웨어 입니다.

일단 기본적으로 보통 랜섬웨어들은 기본적으로 비트코인,대쉬 같은 가상화폐를 요구해서 수익을 창출하는 것보다는 기본적으로 실력 과시에 가깝지 않나 싶습니다. 일단 해당 랜섬웨어는Annabelle Ransomware은 Windows에 로그인할 때 자동으로 시작되도록 구성이 돼 있습니다. 그리고 기본적으로 Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome 등을 강제 종료합니다.

그리고 나서 이미지 파일 실행 레지스트리 항목을 구성하여 위에 나열된 프로그램과 notepad++, 메모장, Internet Explorer, Chrome, Opera, bcdedit 등과 같은 다양한 프로그램을 시작할 수 없도록 막아 버립니다. 그리고 나서 모든 작업이 끝이 나면 파일 확장자 명을 .ANNABELLE 확장자로 변경해버립니다. 그리고 언제나 랜섬웨어들이 하는 것처럼
랜섬 노트를 남겨줍니다.

랜섬 노트 내용은 다음과 같습니다.
What Happened to my files? All your files are encrypted and secured with a strong key. There is no way to get them back without your personal key. How can I get my personal key? Well, you need to pay for it. You need to visit one of the special sites below & then you need to enter your personal ID (you find it on the top) & buy it. Actually it costs exactly 0.1 Bitcoins. How can I get access to the site? You easily need to download the Torbrowser, you can get it from this site: https://www.torproject.org What is goin to happen if I'm not going to pay? If you are not going to pay, then the countdown will easily ran out and then your system will be rboken. If you are going to restart, then the countdown will ran out a much faster. So, its not a good idea to do it. I got the key, what should I do now? Now you need to enter your personal key in the textbox below. Then you will get access to the decryption program. - The darknet sites are not existing, its just an example text. The other things are right, except the darknet thing. Its possible to get the key, but if I going to do a new trojan, or new version of this then I will add real ways to get the key :) If you wanna that I going to do a 2.0 or a new trojan, then write it below in the comments. Thanks If you wanna chat with me, contact me easily in discord: iCoreX#1337

그리고 해당 랜섬웨어는 마스터 부트 레코드(MBR)까지 가짜 부트 로더로 덮어쓰기 기능도 추가로 있기 때문에 정말 감염이 되면 파일 복구는 포기하는 것으로 목적으로 하는 것 같습니다. 그리고 해당 랜섬웨어 제작자하고 대화하고 싶다고 하면 디스코드(Discord)라는 메신저를 사용을 하라고 합니다.
그리고 삭제대상이 되는 폴더는 다음과 같습니다.
%Windows%
%System%
%System32%
%Temp%
%AppData%
%Local%
%LocalLow%

그리고 언제나 랜섬웨어들의 기본적으로 수행하는 시스템 복원지점을 파괴하는 명령어를 실행합니다.
vssadmin delete shadows / all / quiet
그리고 나서 윈도우의 시스템 정상 명령어인 shutdown를 실행을 해서 컴퓨터를 강제 재부팅을 합니다.
C:\Windows\System32\shutdown.exe"-r -t00 -f
그리고 컴퓨터를 다시 부팅을 하기 전에 다음과 같은 메시지를 볼 수가 있습니다.

그리고 컴퓨터 재부팅 후 타이머와 IP 주소가 있는 잠금 화면을 표시하며. 타이머는 시간을 초 단위로 계산되며 잠시 후 다른 요소가 화면에 나타납니다.
타이머가 끝까지 계산되면 BSOD(블루스크린)가 나타나면 다음 MBR이 수정되었다는 화면을 볼 수가 있습니다.

그리고 암호화되는 파일들은 동영상 파일, 사진파일, 문서 파일들입니다. 일단 랜섬웨어에 감염이 되기 싶지 않은 분들은 반드시 윈도우 업데이트,백신프로그램설치,그리고 랜섬웨어 예방 프로그램 설치와 그리고 제일 중요한 것은 토렌트와 같은 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하는 것을 하지 않는 것이 좋습니다.

일단 해당 해쉬값은 다음과 같습니다.
716335ba5cd1e7186c40295b199190e2b6655e48f1c1cbe12139ba67faa5e1ac
관련된 파일은 다음과 같습니다.
Copter.flv.exe
MBRiCoreX.exe
입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band