강제로 배틀그라운드를 해야 하는 랜섬웨어-PUBG Ransomware

Posted by Sakai
2018.04.16 00:00 소프트웨어 팁/보안

배틀그라운드라는 게임은 블루홀의 자회사인 PUBG주식회사(舊 블루홀 지노게임즈)에서 개발한 MMO 슈팅 게임입니다. 일단 게임을 해보면 일본 영화인 배틀로얄(2000)과 비슷하게 게임이 진행되는 방식입니다. 일단 해당 게임의 기본 사양은 다음과 같습니다.
시스템 최소 요구 사양
운영체제: Windows 7, Windows 8.1, Windows 10(64비트)
CPU: Intel Core i5-4430, AMD FX-6300
RAM: 8GB
VGA: NVIDIA GeForce GTX 960 2GB,AMD Radeon R7 370 2GB
이며 최소한 램은 12GB를 이상 증설을 해서 사용을 해야 합니다. 일단 해당 랜섬웨어인 PUBG Ransomware은  RensenWare Ransomware등과 비슷하게 구성이 돼 있습니다. 즉 해당 랜섬웨인 PUBG Ransomware은 PlayerUnknown의 전장을 플레이하면 PUBG Ransomware가 파일을 해독되는 방식입니다. 일단 해당 랜섬웨어에 감염이 되면 사용자의 컴퓨터에서 사용자의 파일과 폴더를 암호화하고 .PUBG 확장자를 추가하며 파일의 암호화가 끝나면 암호화된 파일의 암호를 해독하는 데 사용할 수 있는 두 가지 방법을 제공하는 화면이 표시됩니다.

[소프트웨어 팁/보안] - 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어)

[소프트웨어 팁/보안] - RensenWare 랜섬웨어 증상과 파일 복구 방법

그리고 랜섬노트의 내용은 다음과 같습니다.
PUBG Ransomware
Your files, images, musics, documents are Encrypted!
Your files is encrypted by PUBG Ransomware!
but don't worry! It is not hard to unlock it.
I don't want money!
Just play PUBG 1 Hours!
Or Restore is [s2acxx56a2sae5fjh5k2gb5s2e ]
As stated in the ransom instructions, the first method that can be used to decrypt the files is to simply enter the "s2acxx56a2sae5fjh5k2gb5s2e" code into the program and click the Restore button.
PUBG Ransomware
파일, 이미지, 음악, 문서가 암호화됩니다!
귀하의 파일은 PUBG Ransomware에 의해 암호화됩니다!
그러나 걱정하지 마라! 잠금을 해제하는 것은 어렵지 않습니다.
나는 돈을 원하지 않아!
PUBG 1시간만 플레이하십시오!
또는 복원은 [s2acxx56a2sae5fjh5k2gb5s2e]입니다.

몸값 지침에 명시된 것처럼 파일을 해독하는 데 사용할 수 있는 첫 번째 방법은 s2acxx56a2sae5fjh5k2gb5s2e 코드를 프로그램에 입력하고 복원 버튼을 클릭하는 것입니다.)
해당 랜섬웨어는 TslGame 이라는 실행 프로세스를 모니터링하며 PlayerUnknown의 전장을 확인합니다. 그리고 몸값 기록에서는 1시간 동안 실행해야 한다고 되어 있지만 3초 동안 실행 파일만 실행하면 됩니다. 그리고 랜섬웨어에 감염이 된 사용자가 게임을 하면 프로세스가 감지되면서 랜섬웨어가 자동으로 피해자의 파일을 해독합니다. 그리고 랜섬웨어는 프로세스 이름만 찾고 게임이 실제로 실행되고 있는지 확인하기 위한 다른 정보는 확인하지 않습니다. 쉽게 이야기하면 TslGame.exe라는 실행 파일을 실행하면 파일을 해독할 수 있습니다.
그리고 해당 랜섬웨어가 암호화하는 파일은 다음과 같습니다.
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg
그리고 해당 랜섬웨어는 진단명은 다음과 같습니다.
Gen:Heur.Ransom.MSIL.1,Ransom.PUBG,Ransom_RAMSIL.SM,Trojan(0050fab71),Trojan-Ransom.Win32.Crypmodadv.xrg,Trojan.Win32.Generic!BT,W32/Trojan.JNOZ-0330,Win32.Trojan,Ransom.Filecoder.P@gen
그리고 이런 랜섬웨어에 감염이 되지 않는 방법은 간단합니다. 기본적으로 윈도우 업데이트,백신프로그램 설치 및 실시간 감시 및 최신 업데이트,보조 백신프로그램 또는 랜섬웨어 방지 프로그램을 설치해서 유지하면서 토렌트 같은 곳 및 그리고 출처가 불분명한 사이트 및 파일은 다운로드 및 실행을 해서는 안 됩니다. 그리고 해당 랜섬웨어 해쉬값은 다음과 같습니다.
해쉬값:SHA256:3208efe96d14f5a6a2840daecbead6b0f4d73c5a05192a1a8eef8b50bbfb4bc1


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 정말 희한한 랜섬웨어 네요
    • 아마도 자신의 실력을 과시하거나 글에도 적은것 처럼 일부러 저런식으로 만든 랜섬웨어들입니다.