72시간 지나면 몸값을 올리는 랜섬웨어-Locker

꿈을꾸는 파랑새

Locker이라는 랜섬웨어는 작년에 발견된 랜섬웨어 이지만 국내에서는 잘 알려지지 않은 랜섬웨어 입니다. 일단 거의 모든 안티바이러스에서 해당 랜섬웨어 탐지를 할 수가 있습니다.

일단 해당 Locker이라는 랜섬웨어는 2015년 5월에 발견이 되었으면 해당 랜섬웨어는 Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10에서 작동하는 악성코드입니다. 해당 핸섬웨어에 감염이 되면 일단 기본적으로 특정 파일 확장자에 대한 모드 드라이브를 스캔을 시작하고 AES암호화를 진행을 하고 해당 암호화가 성공을 하면 가상화페인 비트코인을 요구를 시작하면 해당 요구는 72시간이 지나고 나면 사용자에서 몸값을 지급하지 않았으니 몸값은 1비트 코인을 올려버립니다.

그리고 해당 랜섬웨어는 이동식 드라이브, 네트워크 공유를 검사해서 데이터 암호화를 실행합니다.

그리고 감염이 완료되면 하드디스크에 있는 Shadow Volume 사본을 삭제를 시도하면 그리고 랜섬웨어 분석을 방지하기 위해서 컴퓨터에 VMware, 버추얼 박스,와이어샤크, netmon, Procexp,processhacker,fiddler,anvir,cain,nwinvestigatorpe,uninstalltool,installwatch,inctrl5,installspy,systracer,whatchanged,trackwinstall프로세스를 감지를 하면 해당 자동으로 종료하게 돼 있어서 악성코드 분석을 방해합니다. 보면 anvir라는것을 백신프로그램 프로세스를 검사하는 것을 확인할 수가 있습니다.

해당 랜섬웨어는 암호화에 성공했으면 정보화면, 결제를 위한 결제 화면, 파일화면, 상태 화면으로 사용자에게 친절하게? 결제화면과 해당 암호화된 파일을 볼 수가 있습니다.

기본적으로 예방 방법으로 윈도우 보안 업데이트를 진행을 합니다. 그리고 오래된 소프트웨어가 설치돼 있으면 해당 프로그램을 사용하지 않으면 삭제를 하거나 아니면 업데이트를 통해서 최신 상태로 유지합니다. 그리고 해당 Locker에 감염되었을 때는 해당 랜섬웨어 복원화 파일이 존재하고 있습니다.

Locker 복원화 도구

일단 복원도구인 Lockerunlocker 다운로드해서 설치를 합니다.그리고서 실행을 하고 나서 Brute BTC를 통해서 암호화를 복원화를 할수가 있을것입니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.