꿈을꾸는 파랑새

오늘은 스캐럽 랜섬웨어(Scarab Ransomware) 감염 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 스캐럽 랜섬웨어(Scarab Ransomware)은 일단 기본적으로 스팸 전자 메일, 전자 메일 첨부 파일, 실행 파일 형태로 악성코드가 감염이 이루어집니다. 스캐럽(Scarab)처럼 풍뎅이입니다. 아마도 해당 랜섬웨어를 만든 사람이 풍뎅이를 좋아해서 붙였을 것 같습니다. 스캐럽 랜섬웨어(Scarab Ransomware)은 일단 앞서 이야기한 것처럼 이메일 형태로 배포됩니다. 스팸 패턴은 기본적으로 Necurs 봇넷(Necurs botnet)으로 유포가 되며 AES 암호화 알고리즘을 사용하고 있습니다. 일단 해당 랜섬웨어에 감염이 되며 언제나 현금보다는 가상화폐인 BitCoin(비트코인)으로 몸값을 지급을 요구합니다. 그리고 나서 암호화한 파일 확장자 이름은 .scarab으로 변경을 해버리고 IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT이라는 파일을 추가합니다. 일단 전자메일은 Lexmar, HP, Canon, Epson 등과 같은 유명한 회사의 이름을 내세워서 해당 회사에서 직접 이메일을 보낸 것처럼 속이는 이메일을 무작위로 보냅니다. 이메일 자체에는 .vbs 파일로 된 7Zip 형식의 파일이 포함되어 있고 해당 VBS 스크립트가 활성화되면 Scarab ransomware의 악의적인 파일인 .exe 실행 파일 유형을 내려받고 실행하는 원격 호스트에 연결을 시도합니다. 물론 이메일을 통해서 배포만 이루어지지 않습니다. 배포 방식은 다양합니다.
Exploit kits,Web injectors,Fake updates.,E-mail spam messages.,Malicious e-mail attachments.,Web-injectors,Infected software setups,Malicious macros 즉 스팸메일, 이메일에 포함된 첨부파일 방식, 악성코드에 감염된 프로그램, 악성 매크로, 가짜 업데이트,윈도우,어도비 플래시플레이어, 브라우저 취약점을 활용해서 악의적으로 제작된 웹사이트에 접속하자마자 다운로드 해서 실행을 하는 방법 등 여러 가지 방법이 있습니다.

스캐럽 랜섬웨어(Scarab Ransomware)은 악의적인 목적이 있는 사람이 사용하는 명령 및 제어 서버에 연결할 수 있으며 다음에는 스캐럽 랜섬웨어(Scarab Ransomware)는 감염된 컴퓨터의 시스템 정보를 중계하고 악성 실행 파일 내의 기능을 사용하여 감염된 컴퓨터를 고유번호로 구별합니다. Scarab Ransomware의 악의적으로 제작된 파일은 무작위로 명명된 .exe 파일이며 다양한 % SystemDrive % 디렉터리에 존재합니다. 그리고 암호화를 시작하고 나서 IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT라는 텍스트 파일을 만듭니다.
그리고 해당 랜섬웨어 노트는 다음과 같습니다.

*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
Your files are now encrypted!
—–BEGIN PERSONAL IDENTIFIER—–
**************************************
—–END PERSONAL IDENTIFIER—–
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: qa458@yandex.ru
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
‘Buy bitcoins’, and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
*** 모든 파일을 가져오고 싶다면이 파일을 읽어주십시오 ***
이제 파일이 암호화됩니다!
- 최초 개인 신상 기록자 (BEGIN PERSONAL IDENTIFIER)
***************************************
- 개인 신상 기록
모든 파일은 PC의 보안 문제로 말미암아 암호화되었습니다.
이제 귀하의 개인 식별자를 이메일로 보내주십시오.
이 전자 메일은 암호 해독 키 비용을 지급할 준비가 되었음을 나타냅니다.
Bitcoins에서 암호 해독에 대한 비용을 지급해야 합니다. 가격은 당신이 우리에게 얼마나 빨리 쓰는지에 달렸습니다.
지급 후 모든 파일을 해독할 수 있는 해독 도구를 보내드립니다.
이 이메일 주소로 문의하기 :qa458@yandex.ru
보증으로 무료 암호 해독!
지급하기 전에 무료 암호 해독을 위해 최대 3개의 파일을 보낼 수 있습니다.
파일의 전체 크기는 5MB 미만 (보관되지 않음)이어 야하며 중요한 정보 (데이터베이스, 백업, 큰 Excel 시트 등)가 포함되어서는 안 됩니다.
Bitcoins을 얻는 방법?
* 비트 코인을 사는 가장 쉬운 방법은 LocalBitcoins 사이트입니다. 등록을 클릭해야 합니다.
구매 비트 코인'을 선택하고 지급 방법 및 가격별로 판매자를 선택하십시오.
https://localbitcoins.com/buy_bitcoins
* 또한, Bitcoins 및 초보자 가이드를 구입할 수 있는 다른 장소를 찾을 수 있습니다 :
http://www.coindesk.com/information/how-can-i-buy-bitcoins
주의!
* 암호화된 파일의 이름을 변경하지 마십시오.
* 타사 소프트웨어를 사용하여 데이터의 암호 해독을 시도하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
* 제3자의 도움을 받아 파일을 해독하면 가격이 올라가고 (우리 회사에 요금이 추가됨) 사기의 희생자가 될 수 있습니다.

일단 보면 3개 정도는 무료로 복원화 해주지만 나머지 파일을 복원화 하려면 비트코인을 보내어야 풀 수가 있다는 것을 볼 수가 있으면 그리고 친절하게 비트코인이 없는 사람들을 위해서 비트코인을 구매를 할 수가 있게 비트코인을 구매를 할 수가 있는 주소와 그리고 비트코인이 무엇인지 모르는 사람들을 위해서 비트코인에 대한 초보자 가이드를 제공하는 비트코인 구매 사이트 주소를 볼 수가 있습니다.
그리고 해당 랜섬웨어를 제거를 하고 파일을 복구할 수가 있을 수 있는 시스템복원도구인 섀도우 볼륨 복사본을 삭제합니다.
암호화 대상이 되는 파일 확장자들은 다음과 같습니다.

PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG

일단 섀도우 볼륨 복사본이 삭제되지 않았으며 먼저 랜섬웨어를 제거를 하고 나서 Shadow Explorer(새도우익스플로워)를 이용을 해서 파일을 이용해서 시도합니다. 물론 100% 복구된다는 보장은 없습니다.

그리고 이런 랜섬웨어에 감염이 되지 않으려면 출처가 불분명한 사이트에 있는 사이트에 있는 파일을 내려받기 실행을 하지 않으며 그리고 윈도우 업데이트를 최신업데이트로 유지를 하면 그리고 백신프로그램 사용과 자신이 사용하는 프로그램은 항상 최신 업데이트를 유지를 하면 만약을 대비해서 외장하드디스크에 중요한 파일은 반드시 백업을 해두고 사용을 하는 것도 좋은 방법일 것입니다. 그리고 랜섬웨어 방지 프로그램을 사용하는 것도 좋은 방법일 것입니다.

<기타 관련 글>

[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 소개/소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법


728x90
반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band