꿈을꾸는 파랑새

오늘은 Locky Ransomware(.Asasin)록키 랜섬웨어((.Asasin))감염 증상 및 예방 방법에 대해 알아보는시간을 가져보겠습니다.Locky Ransomware(.Asasin)은 Locky Ransomware의 변종입니다.일단 기본적으로 해당 랜섬웨어는 .vbs 파일로 악성코드로 제작된 첨부파일을 통해서 이메일을 통해서 악성코드가 퍼져 나갔습니다.

일단 해당 Locky Ransomware(.Asasin)록키 랜섬웨어((.Asasin))은 감염이 되면 사용자의 피해자 컴퓨터에 감염되면 내려받아서 실행되어 감염이 진행됩니다. 일단 감염에 성공되면. Asasin 확장자로 변경합니다.

기본적으로 RSA-2048 및 AES-128 암호화 알고리즘으로 사용해서 알고리즘을 데이터를 암호화합니다. 암호화 과정에서 확장자 명은. asasin확장자 또는.aesir,.ykcol,.diablo6등으로 기타 확장자로 암호화가 진행됩니다. 이름은 36자 및 숫자 조합을 사용하여 암호화된 파일의 이름을 변경이 되며 파일이 암호화되면 Asasin은 세 가지 파일을 추가를 시도합니다. 추가로 생성되는 파일은 다음과 같습니다.
asasin.bmp(컴퓨터 배경 화면으로 설정), asasin-5eac.htm, asasin.html입니다.
해당 생성된 파일은 랜섬웨어에 감염이 된 피해자 컴퓨터에 비트코인(Bitcoin)을 요구하기 위해서 Asasin 악성코드 제작자가 제작한 웹사이트로 권장하는 메시지인 랜섬노트를 생성합니다.

!!! 중요 정보 !!!!
모든 파일은 RSA-2048 및 AES-128 암호로 암호화됩니다. RSA 및 AES에 대한 자세한 내용은 다음을 참조하십시오.
hxxp://en.wikipedia.org/wiki/RSAicryptosysteml
hxxp://en.wikipedia.org/wiki/Advanced_Encryption_Standard
파일의 암호 해독은 비밀 서버에 있는 개인 키 및 암호 해독 프로그램을 통해서만 가능합니다. 비공개 키를 받으려면 다음 링크 중 하나를 따르십시오.
이 주소를 모두 사용할 수 없는 경우 다음 단계를 수행하십시오.
1. Tor 브라우저를 내려받아 설치하십시오.
hxxps://www.torproject.org/download/download-easy.html
2. 설치가 성공적으로 완료되면 브라우저를 실행하고 기다립니다. 초기화를 위해
3. 검색 주소창에 다음을 입력하십시오:g46mbrrzpfszonuk.onion/xxxxxxxxxxx
!!! 귀하의 신분증 ID: xxxxxxxxxxxxxxxxx
(!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers. More information about the RSA and AES can be found here: hxxp://en.wikipedia.org/wiki/RSAicryptosysteml hxxp://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server. To receive your private key follow one of the links:
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser:hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar:g46mbrrzpfszonuk.onion/XXXXXXXXXXXX
4. Follow the instructions on the site.
!!! Your personal identification ID: xxxxxxxxxxxxxxxxx!!!)

그리고 나서 Tor 브라우저를 다운로드를 해야 한다고 합니다. 즉 우리가 사용하는 일반적인 브라우저로는 접속되지 않으면 인터넷에서 익명성을 위해서 사용을 하는 Tor 브라우저를 이용해서 해당 웹사이트에 접속할 수 있습니다. 해당 토르 브라우저를 사용해서 랜섬웨어 감염자가 원하는 사이트로 이동합니다. 이동을 하면 다음과 같은 화면을 볼 수가 있습니다.

Locky Decryptor™
We present a special software - Locky Decryptor™
which allows to decrypt and return control to all your encrypted files.
How to buy Locky Decryptor™?
You can make a payment with BitCoins, there are many methods to get them.
You should register BitCoin wallet:
Simplest online wallet or Some other methods of creating wallet
Purchasing Bitcoins, although it's not yet easy to buy bitcoins, it's getting simpler every day.
Send 0.3 BTC to Bitcoin address: xxxxxxxxxxxxxxxxxxxxxx
Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient...
Refresh the page and download decryptor.
When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.
간단하게 번역을 해보면 다음과 같습니다.
Locky Decryptor ™
우리의 특별한 소프트웨어-Locky Decryptor ™
모든 암호화 된 파일을 해독하고 제어권을 반환할 수 있습니다.
Locky Decryptor ™ 구매 방법
BitCoins를 사용하여 지급할 수 있습니다. BitCoins을 구입할 수 있는 방법이 많이 있습니다.
BitCoin 지갑을 등록해야 합니다.
가장 간단한 온라인 지갑 또는 지갑을 만드는 다른 방법
Bitcoins를 사면 아직 비트 코인를 사기가 쉽지는 않지만, 매일매일 더 단순해지고 있습니다.
Bitcoin 주소로 0.3 BTC를 보냅니다.XXXXXXXXXXXXXXXXXXXXXXXXXXX
참고 : 거래 확인을 위해 최대 30분 이상 결제 보류 중입니다. 기다려주세요.
페이지를 새로 고침하고 암호 복원화 도구를 다운로드하십시오.

Bitcoin 트랜잭션이 하나의 확인을 받으면  복원화 도구를 다운로드하기위한 페이지로 리디렉션됩니다.
라는 메시지를 볼 수가 있습니다. 여기서 비트코인 0.3 BTC은 대략 1,440달러입니다. 일단 랜섬웨어 복원화 도구를 보내고 있다고 하지만 실제로는 BitCoins를 정상적으로 보냈다고 해도 악의적인 목적을 가진 사람은 복원화키를 보내지 않을 가능성이 거의 99%입니다. 설상 파일을 받았다고 해도 자신의 컴퓨터에 감염된 복원화가 정상적으로 복구된다는 보장이 없습니다.

일단 기본적으로 해당 랜섬웨어를 백신프로그램으로 제거하고 나서 파일을 복구를 진행해야 합니다. 기본적으로 윈도우를 사용을 하고 계시면 기본적으로 사용자가 마음대로 설정을 변경하지 않으면 기본적으로 시스템 복원기능이 설정이 적용되어서 작동되고 있습니다. 물론 대부분의 사용자 부분들은 아마도 컴퓨터 최적화라는 것을 보고 해당 시스템 복원기능을 꺼두고 사용을 하시는 분들도 있습니다. 이런 분들은 일단 복구 시도를 할 수가 없습니다. 만약 해당 시스템 복원기능을 사용하고 있다고 하면 일단 기본적으로 ShadowExplorer(새도우 익스플로러)를 통해서 해당 복구를 시도할 수가 있습니다. 그러나 해당 악성코드가 해당 시스템 복원지점을 삭제하면 방법이 없습니다. 복구되는 방법은 사법기관에서 해당 랜섬웨어를 제작한 사람을 체포하고 복원키를 만들어 내거나 아니면 보안업체에서 버그를 이용해서 복원하거나 아니면 능력이 좋은 분이 해당 랜섬웨어 복원화 도구를 만들어 내거나 아니면 보안 업체에서 랜섬웨어를 분석을 하다가 자신들이 복원화 도구를 할 수가 있으면 복원화 도구를 만들어서 배포되는 경우입니다.
일단 기본적으로 랜섬웨어 등과 같은 악성코드에 감염되는 것을 최소화하려면 반드시 윈도우 보안 업데이트 와 기타 프로그램을 최신으로 업데이트를 유지하고 백신프로그램을 반드시 설치하고 실시간 감시 최신 업데이트로 유지하는 것이 안전하게 컴퓨터를 사용하는 방법일 것입니다.


728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band