꿈을꾸는 파랑새

오늘은 마이크로소트 엣지 브라우저로 위장하는 악성코드 Chaos ransomware는 마이크로소프트에서 제공하는 브라우저인 엣지 브라우저인 Microsoft Edge.exe로 위장하고 있습니다.
랜섬웨어(ランサムウェア)라고 하면 아마도 쉽게 이야기하면 사용자의 컴퓨터에 있는 문서 파일, 동영상 파일 등을 암호화해서 가상화폐인 비트코인 같은 걸로 송금하면 해당 복구 도구를 주겠다고 협박을 하는 악성코드를 말을 합니다. 보통 랜섬웨어이 감염되는 경로는 간단합니다. 기본적으로 해야 하는 Windows 업데이트을 하기 귀찮아서 윈도우 자동 업데이트를 꺼 버리고 설치를 하지 않았으면 자동 갱신에서 수동 업데이트로 전환을 했더라고 업데이트를 해야 하는데 하지 않았으면 프로그램을 최신 갱신을 하지 않은 경우, 브라우저도 최신 갱신을 유지해야 하는데 하지 않은 경우, 어둠의 경로를 이용하다가 걸리는 경우 등 다양합니다.
일단 해쉬값은 다음과 같습니다.
MD5:c6f844c748dfaa9db24483c45fcfb31f
SHA1:8c3df16117b524addb56511f31df703c8ec3c172
SHA256:2baa450fe71d29480b0dcf27977c156a7b3cb37f29d27f6e3fd49e2dea1abebe
입니다.

마이크로소프트 엣지 악성코드 비교
마이크로소프트 엣지 악성코드 비교

일단 악성코드는 2021년 10월 20일로 최근에 제작되었으며 해당 악성코드를 실행하면 암호화를 진행합니다. 일단 개인적으로 가상환경으로 윈도우 7 으로 실행했습니다. 기본적으로 정상적인 마이크로소프트에서 제공하는 설치 파일과 비교한 것과 그리고 가짜 마이크로소프트 엣지 브라우저 실행 파일을 비교한 것을 보면 일단 기본적으로 디지털 인증서도 없는 것을 볼 수가 있으면 마이크로소프트에서 제공하는 마이크로소프트 엣지 브라우저의 실행 파일을 보면 정확하게 디지털 서명 등이 들어가 져 있는 것을 확인할 수가 있고 파일 크기도 다르다는 것을 확인할 수가 있습니다.

정상적인 마이크로소프트 엣지
정상적인 마이크로소프트 엣지

암호화되는 확장자는 다음과 같습니다.
txt, html, htm, pdf,doc, docx, dot, dotx ,xls, xlsx, csv,ppt, pptx ,dwg, dwt, jpg, jpeg, png, psd, cs, bmp,mov, mkv, avi, wmv, swf,m4a, mp3, mp4, jar, zip, rar, apk, iso,sql, mdb, asp, aspx 등의 파일을 암호화하지만, 개인적으로 사용한 환경에서는 암호화는 진행되지 않았습니다. 다만, 랜섬웨어 노트는 다음과 같이 생성이 되었습니다.

----> Chaos is multi language ransomware. Translate your note to any language <----
All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?You can buy our special
decryption software, this software will allow you to recover all of your data and remove the
ransomware from your computer.The price for the software is $1,500. Payment can be made in Bitcoin only.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search
yourself  to find out how to buy Bitcoin.
Many of our customers have reported these sites to be fast and reliable:
Coinmama - hxxps://www.coinmama(.)com Bitpanda - hxxps://www.bitpanda(.)com
Payment informationAmount: 0.1473766 BTC
Bitcoin Address:17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

이며 암호화 하는 폴더는 다음과 같습니다.

[소프트웨어 팁/보안 및 분석] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

 

랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

앱체크(APP Check)이라는 프로그램은 한국의 보안 업체 중 하나인 CheckMAL에서 제작을 하여서 제공하는 랜섬웨어 보호 도구입니다. 일단 개인이 사용하는 비영리 버전과 기업에서 사용하는 프로 버

wezard4u.tistory.com

Desktop, Links, Contacts, Desktop, Documents, Downloads, Pictures, Music, OneDrive, Saved Games, Favorites, Searches, Videos, %appdata%, %CommonDocuments%, %CommonPictures%, %CommonMusic%, %CommonVideos%, %CommonDesktopDirectory%

랜섬웨어 감염 과 랜섬노트 생성

일단 랜섬웨어가 실행이 되면 READ_ME.txt,desktop 가 만들어지는 것을 확인할 수가 있었습니다.

랜섬노트
랜섬노트

그리고 랜섬웨어는 파일 복호화를 위해 랜섬노트에서 안내하는 비트코인 주소로 0.1473766 BTC를 입금하라고 하는 것을 볼 수가 있습니다.
일단 기본적으로 윈도우 업데이트 최신 상태로 유지하며 그리고 기본적으로 백신프로그램을 설치해서 사용하며 자신이 사용하는 프로그램들은 최신으로 유지 및 그리고 랜섬웨어 예방을 위해서 기본적으로 앱체크을 따로 사용을 하거나 아니면 기본적으로 백신 프로그램에서는 랜섬웨어 방어하는 기능들이 활성화돼 있습니다. 그리고 출처가 확인되지 않은 곳에서 파일을 다운로드 및 실행은 하지 않는 것이 좋습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band