StalinLocker Ransomware(스탈린락커 랜섬웨어) 감염 증상

StalinLocker Ransomware(스탈린락커 랜섬웨어) 감염 증상

Posted by Sakai
2018.05.16 00:00 소프트웨어 팁/보안

오늘은 지난 시간에 소개해 드린 히틀러 랜섬웨어와 비슷한 랜섬웨어입니다. 일단 해당 랜섬웨어는 러시아인들을 대상으로 하는 랜섬웨어인 StalinLocker Ransomware(스탈린락커 랜섬웨어)에 대해 알아보시겠습니다.

일단 스탈린은 1939년 타임지 선정 올해의 인물, 1942년 타임지 선정 올해의 인물이기도 하며 소련의 초대 공산당 중앙위원회 서기장이며 소련 장관회의 주석이자 블라디미르 레닌 아래에서 러시아 혁명에 동참해서 러시아 제국을 무너트리고 소비에트 연방(소련)을 건국하는데 일조했으며 레닌 사후 교묘하게 권력을 장악해서 소련의 최고의 권력자가 되었으며 그리고 독재를 했으며 정적과 반대자를 비롯한 수많은 사람의 목숨을 숙청이라는 이름으로 죽였으며 구 러시아제국시절의 낙후된 농업사회 기반을 5개년 계획으로 중공업 및 화학공업위주로 발전시켜서 초강대국으로 올라갔으며 절대권력을 했기 때문에 일명 강철의 대원수 또는 조지아의 인간 백정이라는 이명으로 불리고 있습니다.

오늘 소개해 드리는 랜섬웨어인 StalinLocker Ransomware(스탈린락커 랜섬웨어)은 일단 감염이 되면 지정된 시간 10분 정도 시간을 주고 그리고 나서 코드를 입력해야 하면 10분 이내에 입력하지 않으면 컴퓨터에 있는 파일들을 삭제하는 랜섬웨어 입니다. 그리고 스탈린이 나오는 화면과 그리고 소련 국가가 연주됩니다.

일단 해당 랜섬웨어는 다음과 같은 폴더를 생성합니다.
%UserProfile%\AppData\Local 폴더를 생성하고 여기서 USSR_Anthem.mp3을 불러와서 소련 국가가 연주됩니다.
%UserProfile%\AppData\Local\stalin.exe 파일을 생성하고 사용자가 컴퓨터에 로그인할 때 화면에 StalinLocker화면에 생성을 하고 화면을 잠그고 그리고 파일 삭제를 준비합니다.
%UserProfile%\AppData Local\fl.dat를 만들고 기존의 시간에서 3초를 나눈 현재 값으로 사용합니다. 그래서 프로그램을 시작할 때마다 카운트 다운이 상당히 줄어듭니다.
Skype,Discord,Explorer.exe,taskmgr.exe이외의 프로세스를 종료를 시도합니다. 그리고 드라이버 업데이트 라는 예약된 작업을 만들어 Stalin.exe를 시작하려고 시도합니다. 그리고 카운트 다운이 0이 될 때까지 코드를 입력하지 않으면 화면 잠금 장치가 컴퓨터에서 발견 한 각 드라이브 문자의 파일을 모두 삭제하려고 시도하며 이 작업은 A에서 Z까지의 모든 드라이브 문자를 살펴보고 액세스 할 수 있는 드라이브 문자를 삭제하면 됩니다.
그리고 해당 랜섬웨어는 연락처 정보가 없어서 코드를 입력할 수가 없을 것입니다. 그리고 날짜를 계산하는 소련이 건국된 1922년12월30일을 날짜를 계산하는 데 이용합니다.

그리고 구호에 담긴 포스터 배경은 스탈린과 잠금 화면이 표시되면 내용은 다음과 같습니다.
Победа социализма в нашей стране обеспечена
Фундамент социалистической экономики завершен
"Реальность нашего производственного плана - это миллионы трудящихся творящие новую жизнь."
И. Сталин
러시아를 번역기로 돌려보면 다음과 같은 내용을 보여 줍니다.
우리나라 사회주의의 승리가 보장됩니다.
사회주의 경제의 기초가 완성되었습니다.
"우리의 생산 계획의 현실은 새로운 삶을 창조하는 수백만의 노동자들입니다."
스탈린
그리고 잠금 화면은 다음과 같습니다.
그리고 다음 화면은 원본이 되는 배경 화면입니다.

그리고 httpx://yadi.sk/d/Jje1tRgT3VtZgQ에서 USSR_Anthem.mp3를 재생을 합니다.

그리고 바이러스 토탈 결과는 다음과 같습니다. 물론 해당 결과에서는 진단하고 있지 않지만, 지금은 대부분 백신프로그램에서 진단하고 삭제를 합니다.
해시 :SHA256: 853177d9a42fab0d8d62a190894de5c27ec203240df0d9e70154a675823adf04
관련된 레지스터리 파일:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stalin %UserProfile%\AppData\Local\stalin.exe
<기타 관련 글>

[소프트웨어 팁/보안] - 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware) 감염 증상

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 덕분에 좋은 정보 잘 얻어갑니다
  2. 업데이트만 잘해도 랜섬웨어 덜 걸릴텐데 말이죠..
    신규 랜섬웨어 잘 보고 갑니다..
  3. 정말 이런 랜섬웨어 개발하는 사람도 대단하네요. -_-
    • 저도 그렇게 생각을 하고 있습니다.