꿈을꾸는 파랑새

RansomAES 는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 돈을 요구하는 랜섬웨어 입니다.모든 파일은 AES 및 RSA 2048 비트 군사 등급 암호화 알고리즘으로 암호화를 진행을 합니다.RansomAES(랜섬AES)는 암화를 진행을 하고 나서 그리고 파일들의 확장자들은 .RansomAES로 변경을 합니다.일단 악성코드 유포는 기본적으로 페이로드 드로퍼(payload dropper) 또는 웹사이트,토렌트등으로 악성코드를 유포를 합니다.

그리고 파일을 암호화를 하고 나서 RansomAES 는 파일을 암호화하고 감염된 컴퓨터 시스템 내부에 지침이 담긴 몸값을 사용자에게 보여 줍니다.그리고 해당 랜섬웨어는 Satyr Ransomware,Spartacus Ransomware를 참고한 랜섬웨어 입니다.
그리고 암호화를 진행을 하는 파일들은 다음과 같습니다.

asp, .aspx, .bmp, .cdr, .cmd, .config, .cpp, .csv, .dbf, .dll, .doc, .docx, .dwg, .exe, .flv, .gif, .html, .hwp, .ini, .jpg, .js, .mdb, .mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .rtf, .sql, .sqlite, .txt, .vbs, .xls, .xlsx, .xml, .zip
생성되는 파일은 다음과 같은 확장자를 보여 줍니다.
당신의 파일이 암호화되었습니다! 당신에 확장자: .AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com 개인 ID KEY:

바이러스 토탈 결과

그리고 생성되는 GUI 화면 내용은 다음과 같습니다.
당신의 모든 파일이 암호화되었습니다!
당신의 파일이 암호화되었습니다! 당신에 확장자:AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com
Bitcoins 에서 암호 해독에 대한 비용을 지불해야합니다. 가격은 당신이 우리에게 어떻게 쓰는지에 달려 있습니다. 지불 후 우리는 당신에게 모든 파일을 해독할수 었는 해독 도구를 드립니다.
지금 위에 있는 개인 ID는 저희 이메일로 ID를 클립으로 복사해서 ID를 주세요.
일단 기본적으로 해당 랜섬웨어 복구를 하기 위한 비트코인 값은 직접적으로 명시되어있지 않고 간단하게 이메일을 통해서 악성코드 제작자와 연락을 하는 방식입니다.
그리고 해당 랜섬웨어에 감염이 되면 Windows 운영 체제에서 모든 섀도우 볼륨 복사본 을 지우도록 명령어를 실행을 합니다.
vssadmin.exe delete shadows /all /Quiet
그리고 현재 대부분의 백신프로그램에서는 탐지가 되고 있습니다.보통 탐지명은 다음과 같습니다.
Artemis!2B745E0A8DAD
Generic.Ransom.WCryG.334FECBF
Ransom_RAMSIL.SM
Trojan ( 0052dbd31 )
Trojan-Ransom.Win32.Spora.fcp
Trojan.IGENERIC
Trojan/Win32.FileCoder.C2493620
W32/Ransom.PLIR-3520
W32/Trojan.HLCA-1666
Win32:Malware-gen
으로 탐지가 되고 있습니다.바이러스 토탈에서는 쉽게 확인을 할수가 있을것입니다.


그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band