꿈을꾸는 파랑새

오늘은 WannaDie(WanaDie)Ransomware(워너다이 랜섬웨어) 감염 및 증상에 대해 알아보겠습니다.해당 WannaDie(WanaDie)Ransomware(워너다이 랜섬웨어)은 일단 보면 러시아로 돼 있어서 러시아 어를 사용하는 사람들을 대상으로 겨냥한 것이 아닌가 싶습니다. 그리고 보면 지난 5월인가 6월에 있었던 워너크라이 랜섬웨어하고 상당히 똑같은 것을 보입니다.

아마도 워너크라이 랜섬웨어를 가져다가 만들었는지 생각이 됩니다. 일단 기본적으로 해당 WannaDie(WanaDie)Ransomware(워너다이 랜섬웨어)은 조금은 특이하게 보통 최근에 만들어지는 랜섬웨어들은 기본적으로 AES+RSA를 사용을 하는데  해당 WannaDie(WanaDie)Ransomware(워너다이 랜섬웨어)은 AES+SHA-256를 사용을 합니다.

일단 WannaCry(워너 크라이)가짜 랜섬웨어입니다.일단 작동을 하는 파일은 wndi와 wndi.exe입니다. 일단 해당 랜섬웨어에 감염이 되면 랜섬웨어의 목표가 되는 파일의 확장자가 .Wndie 확장자로 변경됩니다. 암호화하는 파일 확장자들은 다음과 같습니다.

.1cd, .csv, .dat, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dt, .DT, .dt, .ged, .hbk, .hbk,. htm, .html, .key, .keychain, .md, .pps, .pptx, .sdf, .tar, .tax2014, .tax2015, .txt, .vcf, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml

일단 다른 랜섬웨어 보다는 적게 파일을 암호화합니다.
그리고 기본적으로 윈도우에서 사용을 하고 새도우 볼륨 복사본을 삭제를 시도합니다. 사용하는 명령어는 다음과 같습니다.
vssadmin.exe delete shadows /all /Quiet
즉 사용자가 ShadowExplorer(새도우 익스플로워)를 사용을 해서 파일을 복구하는 시도를 차단합니다.

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

즉 외장하드디스크 나 클라우드 같은 곳에 중요한 파일은 백업을 해두지 않으면 파일을 복구할 수가 없을 것입니다. 그리고 Wana Die Decrypt0r이라는 윈도우 화면에 몸값을 기록합니다.

일단 배포를 하는 방법은 악의적으로 제작된 스크립트인 페이로드 드로퍼 (payload dropper) 또는 인터넷을 통해서 전파가 됩니다.페이로드 드로퍼 (payload dropper)로 전파되는 방식은 기본적으로 트위터,페이스북,인스타그램,토렌트등으로 전파를 합니다.

그리고 해당 랜섬웨어는 모두 러시아 어로 구성이 돼 있습니다. 그리고 가상화폐인 Bitcoin(비트코인)을 노리고 있습니다. 그리고 러시아어로 대상으로 제작돼 있는데 일부 러시아 어 시스템에서는 암호화가 이루어지지 않습니다.
그리고 랜섬웨어가 생성하는 랜섬노트는 다음과 같습니다.

Файлы зашифрованы, что делать?
ЧТО СЛУЧИЛОСЬ С МОИМ КОМПЬЮТЕРОМ ?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
МОЖНО ЛИ ВОССТАНОВИТЬ ФАЙЛЫ ?
Конечно Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у нас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать “Расшифровать”.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
Каждую минуту мы будем уничтожать по одному нужному вам файлу, чтобы ускорить процесс (оплата-дешифровка).
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течении 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мороприятия для пользователей, которые настолько бедны, что не смогут заплатить за 6 дней.
 КАК МНЕ ОПЛАТИТЬ ?
Оплата принимается только в биткоинах. Для дополнительной информации нажмите “Что такое биткоин?”.
Пожалуйста, проверьте текущую цену биткоинов и переведите биткоины на указанную сумму. Для перевода средств нажмите “Перечислить биткоины”.
И отправьте правильную сумму на адрес, указанный в этом окне.
[1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT] [Копировать] [Введите ключ расшифровки] [Расшифровать]
Оплата будет повышена
Времени осталось
02:7:38:43
Ваши файлы будут утеряны
Времени осталось
06:22:45:23
Утеря важного файла
Времени осталось
00:0:01:03
Что такое биткоин?
Перечислить биткоины
Связаться с помощью
이것을 영어로 번역으로 하면 다음과 같습니다.
WHAT HAPPENED WITH MY COMPUTER?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer available, because they have been encrypted. Perhaps you are busy searching for a way to restore your files, but do not waste your time. No one can recover your files without our decryption service.
CAN I RESTORE FILES?
Of course We guarantee that you will be able to safely and easily restore all your files. But we do not have much time.
You can decrypt some of your files for free. Try clicking Decrypt.
But if you want to decrypt all your files, you need to pay.
Every minute we will destroy one file you need to speed up the process (payment-decryption).
You only have 3 days to send the payment. After that, the price will be doubled.
In addition, if you do not pay within 7 days, you will not be able to restore the files permanently.
 We will have free events for users who are so poor that they will not be able to pay for 6 days.
HOW DO I PAY?
Payment is accepted only in bitcoins. For more information, click “What is bitcoin?”.
Please check the current price of bitcoins and transfer the bitcoins to the specified amount. To transfer funds, click “List Bitcoins”.
And send the correct amount to the address specified in this window.
[1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT] [Copy] [Enter the decryption key] [Decipher]
Payment will be increased
Time left
02: 7: 38: 43
Your files will be lost
Time left
06: 22: 45: 23
Loss of an important file
Time left

00: 0: 01: 03
What is bitcoin?
List the bitcoins
Contact Us
다시 한국어로 번역하면 다음과 같습니다.
파일이 암호화되어 있는데 어떻게 해야 합니까?
내 컴퓨터와 무슨 관계가 있었습니까?
 중요한 파일은 암호화됩니다.
문서, 사진, 비디오, 데이터베이스 및 기타 파일은 암호화되어 있어 더는 사용할 수 없습니다. 아마도 파일을 복원하는 방법을 찾는 데 바쁘지만, 시간을 낭비하지는 않습니다. 아무도 우리 암호 해독 서비스 없이는 파일을 복구할 수 없습니다.
파일을 복원할 수 있습니까?
물론 우리는 귀하가 모든 파일을 안전하고 쉽게 복원할 수 있음을 보증합니다. 그러나 우리에게는 시간이별로 없습니다.
일부 파일은 무료로 해독할 수 있습니다. 해독을 클릭하십시오.
그러나 모든 파일의 암호를 해독하려면 지급해야 합니다.
매분 프로세스 가속화에 필요한 하나의 파일을 삭제합니다 (지급 - 암호 해독).
지급을 보내는 데 3일밖에 걸리지 않습니다. 그 후에 가격은 두 배가됩니다.
또한, 7일 이내에 비용을 지급하지 않으면 파일을 영구적으로 복원할 수 없습니다.
우리는 엿새 동안 돈을 내지 못할 정도로 가난한 사람들을 위한 무료 이벤트를 할 것입니다.
어떻게 지급하나요?
지급은 비트 코인으로 만 접수됩니다. 자세한 내용을 보려면 "비트 코는 무엇입니까?"를 클릭하십시오.
비트 코인의 현재 가격을 확인하고 비트 코인을 지정된 금액으로 이체하십시오. 자금을 이체하려면 "List Bitcoins"를 클릭하십시오.
이 창에 지정된 주소로 정확한 금액을 보내십시오.
[1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT] [복사] [해독 키 입력] [해독]
지불은 증가할 것이다.
남은 시간
02 : 7 : 38 : 43

파일이 손실됩니다.
남은 시간
06 : 22 : 45 : 23

중요한 파일의 손실
남은 시간
00 : 0 : 01 : 03

비트 코인이란 무엇입니까?

비트 코인 목록
연락처

그리고 바탕화면에는 사용자가 사용하는 바탕화면을 강제로 바꾸어 버립니다.

Ууупс, ваши важные файлы зашифрованы.
Если вы читаете этот текст, но не видите окно “Wanna die decrypt0r”, то тогда ваш антивирус удалил дешифратор. Отключите антивирусное программное обеспечение или удалите его с вашего компьютера.
Ooops, your important files are encrypted.
If you read this text, but do not see the window “Wanna die decrypt0r”, then your antivirus has removed the decryptor. Disable antivirus software or remove it from your computer.
Ooops, 중요한 파일은 암호화되어 있습니다.
이 텍스트를 읽었을 때 wanna die decrypt0r 창이 보이지 않으면 바이러스 백신이 암호 해독기를 제거했습니다.

그리고 Утеря важного файла부분이 보일 것입니다. 랜섬웨어가 작동을 하면 볼 수가 있는 부분인데 해당 Утеря важного файла에서 초읽기가 되는 것을 볼 수가 있는데 해당 초읽기가 완료되면 파일 하나를 삭제하고 다시 카운트다운을 시작을 하고 파일을 삭제하는 것을 반복합니다.
바이러스 백신 소프트웨어를 사용하지 않도록 설정하거나 컴퓨터에서 제거하십시오.

 

라는 메시지를 볼 수가 있습니다. 즉 해당 바탕화면에서는 바탕화면에서 백신프로그램을 제거하기를 권장하고 있습니다. 일단 어느 것을 선택하든 백신프로그램은 삭제하지 마시길 바랍니다. 일단 기본적으로 이런 랜섬웨어에 감염이 되는 것을 최소화하려면 기본적으로 백신프로그램을 설치하고 실시간 감시, 최신 업데이트 유지,윈도우 업데이트 최신업데이트 유지, 자신이 사용하는 프로그램은 항상 최신 업데이트를 유지를 하면 인터넷에서 함부로 링크를 클릭하지 말고 토렌트와 같이 출처가 불분명한 곳에서 파일을 다운로드 및 실행을 하는 것은 자제해야 할 것입니다.

그리고 참고로 보조 백신프로그램과 랜섬웨어방어예방프로그램 중 하나를 선택해서 설치해서 사용하는 것도 좋은 방법이라고 생각이 되면 참고로 해당 랜섬웨어인 WannaDie(WanaDie)Ransomware(워너다이 랜섬웨어)은 지금 웬만한 백신프로그램들은 다 탐지를 하고 있습니다. 그렇다고 방심은 하지 말고 백신프로그램은 항상 설치해서 랜섬웨어 예방을 하는 것이 좋은 방법의 하나일 것입니다.

<기타 관련 글>

[보안] - 가짜 백신(Fake AV)를 제거(삭제)하는데 도움을 받을수 있는 Fake Antivirus Remover

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - WannaCry(워너크라이)랜섬웨어 감염 증상 및 예방 방법

[보안] - 워너 크라이 랜섬웨어(WannaCry Ramsomware) 킬 스위치 우회 도메인 등장 및 워너 크라이 랜섬웨어(WannaCry Ramsomware) 예방법

[보안] - WannaCry(워너크라이)랜섬웨어를 모방한 WannaCry(워너크라이)랜섬웨어 4.0 변종 랜섬웨어 등장

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법


글 공유하기 및 아이허브 추천 코드

페이스북
트위터
네이버
밴드
카톡
카스

댓글 보기

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2017.11.29 07:06 신고

    바이러스 프로그램 미리 조심하는 게 좋을 것 같아요

TOP