데스노트 랜섬웨어-SHINIGAMI LOCKER Ransomware(시미가미 락커 랜섬웨어)

일단 데스노트라고 하면 아마도 만화 또는 애니메이션, 영화로도 유명한 만화책이기도 하면서 애니메이션, 영화이기도 합니다. 오늘은 해당 데스노트에서 나오는 사신 중 하나인 류크가 나오는 랜섬웨어 입니다.

일단 해당 랜섬웨어는 이름은 데스노트에서 나오는 死神の目(しにがみのめ) 즉 데스노트에 등장하는 특별한 능력이기도 하면 사신들이 가진 눈, 얼굴을 보는 것만으로도 그 사람의 이름, 사람이 남은 수명이 보이며 사신은 死神の目(しにがみのめ)을 이용해 인간을 죽여 자신의 수명을 보충하며 그 인간이 원래 살았어야 했던 수명만큼 사신의 수명이 보충되며 사신은 노트를 주운 인간의 눈을 사신의 눈으로 만들어 줄 수 있고 死神の目(しにがみのめ)을 가질 수가 있는 조건은 인간의 수명 반을 사신에게 주는 것입니다.

일단 해당 死神の目(しにがみのめ)랜섬웨어에 감염이 되면 기본적으로 사과를 좋아하는 사신인 류크가 등장합니다. 일단 해당 SHINIGAMI LOCKER(시미가미 락커)에 감염이 되면 shinigami (Death of God)에 의해 사용자를 감염됩니다. 그리고 감염이 시작되면 감염된 컴퓨터의 파일을 암호화하여 감염된 확장자들을. shinigami 파일 확장 명으로 변경을 시도합니다.

감염을 시도하는 파일명은 다음과 같습니다.

PNG.PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .PSPS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL. APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD File .DWG .DXF GIS .GPX .KML .KMZ .ASP .ASPX .CER. CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN ​​.PPS .PPT .PPTX ..INI .PRF .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML,오디오 파일 .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA 비디오 파일 .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG

그리고 나서 배경화면은 류크가 있는 배경화면과 그리고 비트코인을 요구하는 화면을 볼수가 있습니다.
그리고 랜섬웨어가 생성한 배경화면에는 다음과 같이 적혀져 있습니다.

시미가미 락커
당신은 해킹을 당했습니다.
귀하의 파일이 암호화되었습니다.
이 단계에서 RID를 제거하십시오.
STEP 1 https://localbitcoins.com/으로 이동하십시오.
2단계 실제 금액 지급
델파이를 요청하십시오. 올바른 주소로 지급하는지 확인하십시오.
PAYMENTIS가 확인하고 귀하의 PC를 즐겁게 할 때까지
3단계 BITCOIN $50을 지급해야 합니다!
이 소프트웨어를 종료하거나 삭제할 때 발생하는 모든 사항은 귀하의 PC를 손상할 수 있습니다.
금액 : $50 지급을 위한 BTC BITCOIN 지갑 1MBPSrn46eEVBHoypyjgfdCCf5DQxQsx3f
YOU HAVE BEEN HACKED
YOUR FILES WERE ENCRYPTED
GED RID OF THIS IN FEW STEPS
STEP 1 GOTO https://localbitcoins.com/
STEP 2 PAY THE EXACT AMOUNT
REQUEST BELOW.MAKE SURE YOU PAY
IT TO THE CORRECT ADDRESS
STEP 3 WAIT UNTIL THE PAYMENTIS
CONFIRMED AND ENJOY YOUR PC
YOU NEED TO PAY BITCOIN
WORTH 50$
ANY ATTEMT ON CLOSING
OR DELETING THIS
SOFTWARE WILL DAMAGE YOUR PC

일단 감염이 되면 윈도우 레지스트리에 새로운 레지스터리를 추가합니다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software \ Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software \ Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunOnce
그리고 윈도우 폴더에 몇가지 파일을 추가를 시도 합니다.
%AppData %
%Local%
%LocalLow%
%Roam

를 시도를 합니다. 그리고 그리고 새도우익스플러워를 이용해서 파일을 복구하지 못하게 하기 위해서 섀도우 볼륨 사본을 삭제합니다….
process call create"cmd.exe/c vssadmin.exe delete shadows /all / quiet & bcdedit.exe / set {default} recoveryenabled no & bcdedit.exe / set {default} bootstatus ignoreallfailures"
즉 새도우 복사본을 삭제하기 때문에 중요한 파일은 백업해 놓지 않았으면 감염이 되었으면 해당 파일들은 복구할 수가 있습니다.
일단 감염 경로는 스팸이 메일, 이메일 첨부 파일, 실행 파일로 감염되면 이메일에 첨부된 파일 중에서 악의적으로 조작된 첨부파일들을 실행을 시켰을 때 악성코드에 감염됩니다. 보통은 다음과 같은 첨부파일이 첨부돼 있습니다.
.doc, .docx, .exe, .pdf, .vbs, .cmd, .bat, .vbs, .tmp, .js, .wsf
일단 이런 악성코드에 감염되지 않으려면 기본적으로 윈도우 보안 업데이트를 하고 백신프로그램 사용, 출처가 불분명한 사이트 또는 토렌트 같은 곳에서 파일을 다운로드해서 실행을 하거나 출처가 불분명한 이메일에 첨부된 파일을 실행하는 것을 자제해야 하면 그리고 보조 백신프로그램 또는 랜섬웨어예방프로그램등으로 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 항상 조심하는 것이 제일 안전하게 컴퓨터를 사용하는 방법입니다.

<기타 관련 글>

[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법