세계 빈곤 퇴치기구(GPAA)를 가장한 랜섬웨어-GPAA Ransomware(GPAA 랜섬웨어)감염 및 증상

꿈을꾸는 파랑새

오늘은 세계 빈곤 퇴치기구(GPAA)를 가장한 랜섬웨어인 GPAA ransomware(GPAA 랜섬웨어)감염 및 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 랜섬웨어인 GPAA Ransomware(GPAA 랜섬웨어)은 GPAA 바이러스는 파일 암호화를 하는 랜섬웨어로 주로 180여 가지 파일 유형을 대상으로 하고 있으면 한국을 공격을 대상을 했는지 아닌지 모르겠지만, 한국에서 자주 사용하는 한글과 컴퓨터에서 제공하는 확장자인 HWP 확장자도 포함된 랜섬웨어 입니다. 일단 해당 랜섬웨어에 감염이 되면 파일이 암호화가 진행되면 .cerber6 확장명을 변경하고 암호화는 RSA-4096 암호화 개인 키을 사용을 하기 때문에 변경하기 없이는 암호화된 파일을 열수가 없는 것이 특징입니다. 물론 모든 랜섬웨어가 비슷한 방법을 취하고 있습니다. 해당 랜섬웨어에 감염이 되며 세계 빈곤 퇴치기구 (GPAA)의 구성원인 척을 하면 감염된 컴퓨터 사용자가 해당 자선 단체의 회원이 된 것을 축하합니다. 한다는 메시지를 볼 수가 있으면 물론 이것은 거짓말입니다.
해커는 암호화된 파일을 복구하기 위해 대략 비트코인으로 11 BTC를 요구를 하면 해당 몸값을 해독하는 데 필요한 cryptocurrency를 사는 방법과 비트코인 계정으로 보내는 방법에 대해서 친절하게 알려주고 있습니다.
대략 다음과 같은 메시지를 볼 수가 있습니다.
Congradulations! Now you are a member of GPAA(Global Poverty Aid Agency).
We need bitcoins,our crowdfunding goal is to get 1000 BTCs. 1 BTC for 1 CHILD!
>> Click Here To Buy Bitcoins <<
Q: What happened?
A: Ooops, your important files are encrypted.It means you will not be able to access them anymore until they are decrypted.
These files could NOT be decrypted if you do not have the KEY(RSA4096).
Q: How can I get the decrypt programme?
A: Your task is 1.83 btc.
Send the correct amount to the bitcoin address
19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W
You can send more coins.When the goal is achieved,you will get the decrypt programme.
Use your phone to pay it
Q: Where to get the decrypt programme?
A: When the goal is achieved,we will send it to sc19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W@outlook.com
(You may register it first with the specified password: Save1000Children!!! ).
Q: What should I do?
A: Time waits for no man.
Associated Bitcoin Addresses:
19ZLfCEpxdskvWGLLhNUnM6dUGXXXXXXXXXX

대충 번역을 하자면
축하합니다. 이제부터 당신은 GPAA (Global Poverty Aid Agency)의 회원입니다.
우리는 비트 코인이 필요합니다. 크라우드 펀딩 목표는 1,000개의 BTC를 얻는 것입니다. 어린이 한명당 1BTC!
Bitcoins를 사려면 여기를 클릭하십시오.
Q : 무슨 일이 있었습니까?
A : Ooops, 중요한 파일은 암호화되어 있습니다. 암호를 해독할 때까지는 파일을 열수가 없습니다.
KEY(RSA4096)키가없는 경우 이 파일을 해독할 수 없습니다.
Q : 어떻게 복원화 프로그램을 얻을 수 있습니까?
A : 당신의 과제는 10.91 btc입니다.
비트 코인 주소로 올바른 금액을 보내십시오. 19ZLfXXXXXXXXXXXXXXXXXXXXX
더 많은 동전을 보낼 수 있습니다. 목표가 달성되면 해독 프로그램을 받게 됩니다.
Q: 복 원화 프로그램을 어디서 구할 수 있습니까?
A : 목표가 달성되면 sc19ZXXXXXXXXXXXXXXXXXW@outlook.com으로 답변을 보내 드립니다.
(먼저 지정된 비밀번호로 등록할 수 있습니다 : Save1000Children !!!)
한마디로 빈곤퇴치를 가장하고 있지만 실제로는 랜섬웨어 입니다.
그리고 컴퓨터에서 다음과 같은 파일들이 존재하면 해당 파일들을 암호화합니다.
.123, .3dm, .3dmap, .3ds, .3dxml, .3g2, .3gp, .602, .7z, .accdb, .act, .aes, .ai, .arc, .asc, .asf, .asm, .asp, .assets, .avi, .backup, .bak, .bat, .bdf, .blendl, .bmp, .brd, .bz2, .c, .c4dl, .catalog, .catanalysis, .catdrawing, .catfct, .catmaterial, .catpart, .catprocess, .catproduct, .catresource, .catshape, .catswl, .catsystem, .cdd, .cgm, .class, .cmd, .config, .cpp, .crt, .cs, .csr, .csv, .dae, .db, .dbf, .dch, .deb, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .edb, .eml, .fbx, .fla, .flv, .frm, .gif, .gl, .gl2, .gpg, .gz, .h, .hpgl, .hwp, .ibd, .icem, .idf, .ig2, .igs, .ipt, .iso, .jar, .jasl, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .library, .m3u, .m4u, .mal, .max, .maxl, .mb, .mdb, .mdf, .mid, .mkv, .mml, .model, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .obj, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .session, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .step, .sti, .stp, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tdg, .tgz, .tif, .tiff, .txt, .unity3d, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wrl, .xl, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip, .xmind

여기서 보면 hwp 파일이 포함된 것도 확인할 수가 있습니다. 아마도 한국 사람들이 많이 사용을 하는 hwp 파일도 노리고 있다는 것을 확인할 수가 있습니다.
조금은 특이한 것은 먼저 컴퓨터를 공격하고 비트코인 계좌 번호에 연결된 로그인 주소로 변경되므로 비트코인 주소가 19ZLXXXXXXXXX 이었으면 해당 랜섬웨어에 당한 피해자는 sc19ZLXXXXXXXXXX@outlook.com을 통해 계정에 연결해야 합니다. 그리고 처음에 보이는 sc문자는 Save Children(세이브 치들런)을 의미한다고 합니다. 일명 어린이를 위한다고는 하지만 실제로는 의미가 다르다는 것을 아실 것입니다. 그리고 공격하는 방식은 RDP(원격 데스크톱 프로토콜)을 이용을 한다는 것이 특징입니다. 특히 RDP (원격 데스크톱 프로토콜)이라는 것은 MS에서 윈도우 버전에 탑재된 것으로 기본적으로 TCP 3389를 사용하면 다른 컴퓨터에 그래픽 사용자 인터페이스를 제공하는 프로토콜입니다. 즉 일을 하려고 출장을 가거나 집에 있는 PC에 있는 컴퓨터에서 자료를 가져오려고 할 때 사용을 할 수가 있는 기능입니다. 만약 사용을 하지 않으면 미리 꺼두는 것도 좋은 방법입니다.
sysdm.cpl를 입력을 하면 시스템 속성이 나올 것인데 여기서 그냥 원도우를 설치해서 사용하고 있다고 하면 해당 부분은 켜져 있을 것입니다. 해당 부분을 사용을 하지 않는다면 원격지원 부분을 꺼두는 것도 좋은 방법이라고 생각이 됩니다. 물론 사용을 해야 한다면 강력하게 구성을 하는 것이 중요할 것입니다. 참고로 복구도구는 아직은 만들어지지 않고 있으며 특이한 점은 QR코드를 적극적으로 활용을 한다는 점도 눈에 띄는 부분이기도 합니다. 참고로 오타, 철자 오류등이 많은 랜섬웨어이기도 합니다.


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://bubleprice.net 버블프라이스 2017.06.19 06:11 신고

    GPAA Ransomware(GPAA 랜섬웨어) 정보 잘 읽고 갑니다^^

  2. Favicon of https://jongamk.tistory.com 핑구야 날자 2017.06.19 08:11 신고

    국제적으로 이러한 범죄는 반드시 엄하게 처벌해야 합니다.

  3. Favicon of https://urmysweety.tistory.com YYYYURI 2017.06.19 10:27 신고

    좋은 정보 잘 읽고 갑니다.

  4. Favicon of https://ssppmm.tistory.com 판다(panda) 2017.06.19 18:45 신고

    참 별것다 이용해서 랜섬웨어 제작을 하네요..
    될수있으면 검증안된 URL 경로는 들어가지도 않아야될것 같아요

    • Favicon of https://wezard4u.tistory.com Sakai 2017.06.21 00:22 신고

      예전 부터 비슷한걸 있었던걸로 알고 있습니다.검증이된 주소도 관리를 안하는곳이라면 문제가 생기수가 있을거라 생각이 됩니다.

  5. Favicon of https://trip98.tistory.com veneto 2017.06.19 23:43 신고

    와.. 사칭 랜섬웨어라니 사이트를 접속해도 긴장의 끈을 놓으면 안될것 같네요

    • Favicon of https://wezard4u.tistory.com Sakai 2017.06.21 00:22 신고

      보통 랜섬웨어 같은 악성코드들은 기본적으로 보안 취약점을 이용을 하니 보안 업데이트는 필수로 하면 조금은 예방 하는데 도움을 받을수가 있을것입니다.