꿈을꾸는 파랑새

오늘은 올크라이 랜섬웨어(AllCry Ransomware) 감염 증상 및 예방 방법에 대해 알아보는 것을 알아보겠습니다. 일단 기본적으로 모든 랜섬웨어들 또는 악성코드의 공통점은 바로 윈도우 보안 업데이트 등과 같이 보안 업데이트가 이루어지지 않은 취약점을 가지는 컴퓨터를 노리게 돼 있고 이런 컴퓨터들이 악의적인 목적이 있는 웹사이트 방문 또는 파일을 다운로드 했을 때는 악성코드에 감염될 확률이 높아서 개인정보 유출 및 금전적인 피해로 이어지는 형태로 구성돼 있습니다.

그리고 가상화폐인 비트코인(Bitcoin)을 지급을 하면 암호화된 파일을 풀어준다는 식으로 협박하게 되면 그리고 물론 가상화폐인 비트코인(BitCoins)를 지급을 한다고 해도 암호화된 파일을 복구할 수가 있는 파일을 줄 확률도 낮습니다. 즉 간단하게 이야기하면 먹튀 할 수가 있으면 랜섬웨어 복구 도구를 제공한다고 해도 100% 복구된다는 보장이 없습니다. 올크라이 랜섬웨어(AllCry Ransomware)은 2017년9월26일부터 발견이 되고 있습니다.

일단 추석연휴가 끝이 나면 올크라이 랜섬웨어(AllCry Ransomware)에 감염된 컴퓨터가 활동할 가능성도 있습니다. 그리고 웹하드 설치 프로그램과 재적으로 불필요한 프로그램(Potentially Unwanted Program)등을 이용해서 컴퓨터 등을 변조해서 사용자에게 유포되고 있습니다. 일단 해당 랜섬웨어는 닷넷(.NET)을 통해서 악성코드이며 악성코드의 분석 및 탐지 회피 등을 하기 위해서 .NET Reactor 코드프로텍터로 Packing으로 돼 있습니다. 올크라이 랜섬웨어(AllCry Ransomware)는 난독화되어져 있는 숨겨진 코드를 해석하면 닷넷(.NET)으로 작성된 악성코드를 발견할 수가 있습니다. 그리고 올크라이 랜섬웨어(AllCry Ransomware)는 East Assia 즉 동북아시아 지역인 한국어, 중국어를 사용하는 사람을 대상으로 하고 있으며 물론 기본적으로 영어로도 구성돼 있습니다.

그리고 readme.txt에서는 한국어, 영어, 중국어를 선택할 수가 있게 구성이 돼 있습니다. 그리고 해당 랜섬웨어는 autoexe.bat, config.sys과 같은 특정 시스템 파일도 암호화되며 암호화 후 암호화된 파일을 확장자를 allcry 확장자로 변경합니다.암호화가 진행되면 랜섬 메시지에서는 다음과 같은 랜섬 메시지가 표시됩니다.

일부 파일이 암호화되었습니다.
비트코인 0.2개를 아래 지갑 주소에 보내시고 위에 보이는 하드웨어 코드를 아래 메일 주소로 보내주시면 암호해제프로그램하고 암호를 보내드립니다. 7일 이내에 지불이 없으면 더 이상 해독을 지원하지 않습니다.
(Some File have been encrypted
Please send 0.2 bit coins to my btc wallet
If you paid, send the hardware Id to my email
I will give you program to decryper
If there is no payment with seven days,
we will no longer support decrtption
Email: allcy@allcy@alquds.com
BTC wallet:XXXXXXXXXXXXXXXXXX
Your Hardware ID:XXXXXXXXXXXXX

 

일단 대충 비트코인을 0.2이면 약 886달러입니다.
해외에서는 Hoax.Win32.FakeRansom,Unwanted / Win32.FakeRansom.C2174 등으로 진단하고 있습니다. 랜섬웨어 내부에는 allcrys.exe이 포함이 돼 있고 파일 속성을 열어보면 마이크로소프트로 돼 있고 allcyrs이름으로 오타도 포함돼 있습니다. 즉 해당 올크라이 랜섬웨어(AllCry Ransomware)속성에 있는 마이크로소프트는 가짜입니다.
그리고 올크라이 랜섬웨어(AllCry Ransomware)가 정상적으로 설치되고 동작을 하면 한국에 있는 특정 C&C로 하드웨어 코드를 전송하고 응답을 기다립니다. 만약 응답이 정상적으로 암호화 작업이 시작되면 최근에서는 인터넷 접속을 차단했으면 올크라이 랜섬웨어(AllCry Ransomware)로 암호화가 되지 않습니다. 그리고 암호화가 정상적으로 되면 앞서 이야기한 랜섬노트가 나오고 해당 올크라이 랜섬웨어는 allcy@alquds.com(이스라엘 메일),allcry@naij.com(나이지리아 메일)를 사용을 하고 있습니다.

물론 지금은 웹서버가 차단돼 있기 때문에 오류가 뜨는 것을 볼 수가 있습니다. 그리고 삭제를 한다고 수동으로 삭제하는 것보다 백신프로그램들로 삭제하는 것이 안전하게 삭제를 하는 방법이고 그리고 자신이 사용하는 운영체제, 그리고 웹브라우저는 반드시 최신 상태 유지 백신프로그램은 반드시 설치해서 사용하시는 것이 안전하게 사용을 하는 방법입니다. 물론 랜섬웨어 보호 도구들을 따로 설치해서 운영하는 것도 좋은 방법이라고 생각이 됩니다.
만약 이지만 시스템 복원지점을 생성해놓은 상태에서 해당 시스템 복원 지점이 삭제되지 않았다고 하면 ShadowExplorer

(새도우 익스플러워)로 한번 랜섬웨어 복구를 시도는 할 수가 있을 것입니다. 그리고 기본적으로 윈도우 업데이트는 기본적으로 하면 백신프로그램 설치 및 백신프로그램 실시간.그리고 랜섬웨어 차단 프로그램을 통해서 컴퓨터가 랜섬웨어에 감염이 되는 것을 최소화할 수가 있을 것입니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band