한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

꿈을꾸는 파랑새

sage 2.2 Ransomware (세이지 랜섬웨어 2.2)는 sage Ransomware의 최신 버전으로서 해당 악성코드의 목적은 간단합니다.Sage 2.2 Ransomware (세이지 랜섬웨어 2.2)는 기본적으로 사용자가 운영체제 등의 보안 업데이트를 소홀히 한상태에서 악의적으로 조작된 사이트 방문 또는 인터넷에서 동영상 다운로드, 파일 다운로드, PDF 관련 프로그램 등 어둠의 경로의 파일을 통해서 자동으로 컴퓨터에 악성코드가 감염되는 방법을 선택하고 있습니다. 즉 프로그램을 어둠의 경로를 통해서 많이 전파되는 특징을 가지고 있습니다.

그래서 프로그램은 반드시 공식사이트에서 다운로드를 해야 하면 보안 업데이트는 필수입니다. 일단 해당 Sage 2.2 Ransomware(세이지 랜섬웨어 2.2)가 파일을 암호화를 통해서 파일 복원 화를 하려고 하면 돈을 요구하는 전형적인 랜섬웨어 형태로 구성돼 있습니다.

일단 해당 랜섬웨어인 Sage 2.2 Ransomware(세이지 랜섬웨어 2.2)은 기본적으로 Windows XP、Windows 7、Windows 8、Windows 8.1, Windows 10에서 정상적으로 동작하는 악성코드입니다. 해당 랜섬웨어는 ChaCha20 스트립암호를 사용하여서 데이터에 대한 접근을 거부합니다. 그리고 암호화가 진행되며. sage이라는 확장자로 암호화를 진행합니다. 일단 해당 파일들이 암호화가 진행되며 해당 암호화가 진행되고 출력이 되는 랜섬 메시지는 다음과 같이 한글화도 이루어져 있습니다.

파일 복구 지침
파일을 열 수 없으며 일부 소프트웨어가 올바르게 작동하지 않는 것으로 나타났습니다. 예상대로 입니다. 파일 내용은 그대로 있지만, Sage 2.2 Ransomware님이 암호화했습니다. 파일을 읽어버리지 않으며 해독하여 정상 상태로 되돌릴 수 있습니다. 당신이 할 수 있는 유일한 방법은 Sage Decrypter 소프트웨어와 개인 복호화 키를 가져 오는 것입니다.
파일을 복원할 수가 있다고 주장하는 다른 소프트웨어를 사용하면 파일이 손상되거나 파괴될 수가 있습니다.

HKLM\SOFTWARE\Classes\AppID\<무작위>.exe
HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Main\Start Page Redirect=”http://무작위>.com”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\virus name
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%AppData%\<Sage 2.2 Ransomware>.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ‘Random’ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Random

의 레지스터리에 추가를 진행합니다. 그리고 바탕화면에서는 다음과 메시지를 보여 줍니다.

ATTENTION! ALL YOUR FILES WERE ENCRYPTED!
PLEASE READ THIS MESSAGE CAREFULLY
All your important and critical files as well as databases, images and videos and so on were encrypted by software known as SAGE!
SAGE 2.2 uses military grade elliptic curve cryptography and you have no chances restoring your files without our help!
But if you follow our instructions we guarantee that you can restore all your files quickly and safely!

To get the instructions open any of this temporary links m your browser:
*** ***
*** ***
This links are temporary and will stop working after some time, so if you can’t open these links, you can use TOR Browser
The TOR Browser is available on the official website https://www.torproiect.org/
Just open this site, click on the “Download Tor” button and follow the installation instructions, then use it to open the following link:
***XXXXXXXq***

그리고 암호화가 이루어지면 현재에는 복구툴이 없는 관계로 복구할 수가 없으면 복구 방법은 해당 세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)를 제작자한테 일정 금액을 지급하고 복구 도구를 받아서 복구하거나 아니면 해당 랜섬웨어 제작자가 사법당국에 검거되어서 마스터키를 확보한 상태에서 복원화 도구를 만들거나 버그로 말미암아서 복원화 도구가 보안 업체에 만들어져 배포하기까지 기다려야 할 것입니다. 파일을 암호화하는 파일명들은 다음과 같습니다.

dat .mx0 .cd .pdb .xqx .old .cnt .rtp .qss .qst .fx0 .fx1 .ipg .ert .pic .imgcur .fxr .slk .m4u .mpe .mov .wmv .mpg .vob .mpeg .3g2 .m4v .avi .mp4 .flv.mkv .3gp .asf .m3u .m3u8 .wav .mp3 .m4a .m .rm .flac .mp2 .mpa .aac .wma .djv.pdf .djvu .jpeg .jpg .bmp .png .jp2 .lz .rz .zipx .gz .bz2 .s7z .tar .7z .tgz.rar .zip .arc .paq .bak .set .back .std .vmx .vmdk .vdi .qcow .ini .accd .db.sqli .sdf .mdf .myd .frm .odb .myi .dbf .indb .mdb .ibd .sql .cgn .dcr .fpx.pcx .rif .tga .wpg .wi .wmf .tif .xcf .tiff .xpm .nef .orf .ra .bay .pcd .dng.ptx .r3d .raf .rw2 .rwl .kdc .yuv .sr2 .srf .dip .x3f .mef .raw .log .odg .uop.potx .potm .pptx .rss .pptm .aaf .xla .sxd .pot .eps .as3 .pns .wpd ..hwp.wps .msg.pps .xlam .xll .ost .sti .sxi .otp .odp .wks .vcf .xltx .xltm .xlsx .xlsm.xlsb .cntk .xlw .xlt .xlm .xlc .dif .sxc .vsd .ots .prn .ods .hwp .dotm .dotx.docm .docx .dot .cal .shw .sldm .txt .csv .mac .met .wk3 .wk4 .uot .rtf .sldx.xls .ppt .stw .sxw .dtd .eml .ott .odt .doc .odm .ppsm .xlr .odc .xlk .ppsx.obi .ppam .text .docb .wb2 .mda .wk1 .sxm .otg .oab .cmd .bat .h .asx .lua .pl.as .hpp .clas .js .fla .py .rb .jsp .cs .c .jar .java .asp .vb .vbs .asm .pas.cpp .xml .php .plb .asc .lay6 .pp4 .pp5 .ppf .pat .sct .ms11 .lay .iff .ldf.tbk .swf .brd .css .dxf .dds .efx .sch .dch .ses .mml .fon .gif .psd .html.ico .ipe .dwg .jng .cdr .aep .aepx .123 .prel .prpr .aet .fim .pfb .ppj .indd.mhtm .cmx .cpt .csl .indl .dsf .ds4 .drw .indt .pdd .per .lcd .pct .prf .pst

등입니다. 기본적으로 영어, 독일어, 네덜란드어, 중국어, 아랍어, 프랑스 어, 포트투칼어등을 지원을 하다고 최근에 한국어가 추가되어오며 한국어 번역이 깔끔한 것으로 보아 번역기는 아닌 것 같습니다.

일단 먼저 할 일은 침착하게 먼저 해당 악성코드부터 제거를 해주어야 할 것입니다. 일단 기본적으로 보안 업체에서는 대응하고 있겠지만 Malwarebytes Anti Malware,Adwcleaner.Zemana AntiMalware 같은 프로그램을 통해서 먼저 악성코드를 제거해줍니다. 그리고 나서 윈도우에서 기본적으로 지원을 하고 있는 시스템->시스템 보호 부분에서 만약 시스템 복원을 활성화 두었다고며 시스템 복원을 통해서 시스템 복구를 시도합니다.

아니면 지난 시간에 소개해 드린 ShadowExplorer(새도우 익스플러워)를 이용을 해서 암호화된 파일을 복구를 시도를 해보는 것도 좋은 방법일 것입니다.

이런 악성코드에 감염되지 않는 방법은 반드시 윈도우 업데이트는 조금은 귀찮더라도 반드시 하면 해당 윈도우 자동 업데이트는 반드시 켜두고 그리고 백신프로그램 최신 업데이트,실시간 감시 활성화 자신이 사용하는 프로그램은 항상 최신 상태로 유지하면 수명이 다한 윈도우 XP,윈도우 비스타는 반드시 Windows 7, Windows 8.1, Windows 10으로 업데이트를 해야 하면 그리고 제일 중요한 것은 백업프로그램을 통해서 백업하는 습관과 그리고 어둠의 경로는 될 수 있으면 이용하지 않는 것이 안전하게 컴퓨터를 사용하는 방법일 것입니다.


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.