꿈을꾸는 파랑새

일단 기본적으로 랜섬웨어들은 기본적으로 컴퓨터에 있는 파일들을 암호화하거나 파일들을 삭제해버린다고 해서 기본적으로 금전적인 요구 즉 가상 화폐인 비트코인을 요구를 합니다. 물론 비트코인을 지급을 한다고 해도 해당 파일들이 복구된다는 보장이 없습니다. 그리고 최근에서는 특정 국가를 목표로 한 랜섬웨어들이 있습니다.

오늘 소개 시켜 드리는 랜섬웨어는 END of ISRAEL Ransomware(이스라바이 랜섬웨어)이라고 불리고 있고 israbye(이스라바이)라는 랜섬웨어 입니다. 일단 해당 랜섬웨어는 기본적으로 이스라엘을 목표하고 있으면 해당 랜섬웨어에 감염이 되면 그냥 파일을 삭제합니다. 일단 파일명은 israbye.exe이라는 파일이 있습니다. 일단 감염이 되면 먼저 랜섬웨어 처럼 먼저 파일을 암호화합니다. 그리고 암호화한 파일명은 israbye로 변경을 합니다. 일단 기본적으로 해당 랜섬웨어는 NET Framework로 코딩으로 제작되었으면 윈도우 파일에 해당 폴더에 감염을 시도합니다.
%UserProfile%
%AppData%
%Roaming%
%Local%
%LocalLow%
%Temp%
그리고 바탕화면이 아랍어인지 힌디어인지 모르겠지만, 아랍어로 추정되는 언어로 바탕화면이 바뀌고 그리고 마우스 포인트가 END of ISRAEL이라는 글자가 따라 다니 것을 볼 수가 있고 Cry.exe 실행 파일은 바탕 화면의 배경을 반 이스라엘과 친 팔레스타인 이미지로 바꿉니다. 그리고 모든 파괴된 파일을 메모장에 열수가 있고 해당 메모장으로 해당 파일을 열면 다음과 같은 메시지가 포함돼 있습니다.

Fu?k-Israel, [컴퓨터 이름] You Will never Recover your Files Until Israel disepeare
보면 F자로 시작하는 영어 욕설이 들어가 져 있으며 이스라엘을 싫어하는 메시지를 볼 수가 있습니다.
그리고 바탕화면은 이스라엘 국기가 불이 타는 것을 볼 수가 있으면 그리고 아랍어로 쓰여 있는 것을 볼 수가 있습니다. 일단 아랍어를 모르지만, 이스라엘을 싫어하는 내용일 것으로 추측됩니다.
그리고 procexp64, ProcessHacker, taskmgr, procexp, xns5 프로세스가 있으면 강제 종료합니다. 해당 프로세스는 보안에 관심이 있으신 분들은 아실 것입니다. 그리고 악성코드 퍼뜨리려고 기본 Israbye.exe 파일을 ClickMe.exe라는 파일로 다른 드라이브의 루트에 복사합니다.
그리고 랜섬웨어 노트가 나타납니다.

END of ISRAEL
What Happened to My Computer? All Your files and data are Fu?ked For Ever! Can I Recover My Files? Sure you can recover your files
and guarantee that For Free! When will I recover your files? You will recover your files when we recover Palestine, When we recover AL AQSA, When we Recover Our Victims, Our Souls, Our Freedom
(당신의 컴퓨터는 어떻게 되었습니까? 모든 파일과 데이터는 절대로 파괴했습니다! 당신의 파일을 복구할 수 있습니까? 물론 당신은 당신의 파일을 복구할 수 있으며 Free For Free! 파일을 언제 복구합니까? 팔레스타인을 회복할 때, 우리가 AL AQSA(알아크사 모스크)를 회복할 때, 피해자를 회복할 때, 우리의 영혼을, 우리의 자유를 회복할 때 파일을 복구할 것입니다. )
이라는 단어와 아랍어로 돼 있습니다.

그리고 보면 랜섬웨어 팝업에 보면 왼쪽 아래에 보면 특정 단체를 표시하는 것을 볼 수가 있습니다. 일단 이스라엘이라는 국가가 주변에 있는 중동국가들과 원수 관계이기 때문에 이스라엘하고 사이가 안 좋은 단체에서 만든 것을 볼 수가 있고 해당 로고를 보고 한번 인터넷에 보니까 하마스가 사용하는 로고라고 합니다.

그리고 AL AQSA(알아크사 모스크)가 무엇일까 해서 인터넷에 검색을 해보니까 해당 알아크사 모스크(Al-Aqsa Mosque)가 이슬람에서는 메디나, 메카와 더불어 이슬람교 3대 성지의 하나이면서 8세기에 압델 말릭과 알델 말릭의 아들에 의해 건설되었고 십자군 원정 때에는 십자군의 왕궁으로 사용되기도 했다고 합니다.

Leaf | Aptus-II 12 | 55.0mm | ISO-100

알아크사 모스크

알아크사 모스크 사진 출처

해당 사진 저작권 표시 조건

저작자표시-동일조건변경허락 4.0 국제 (CC BY-SA 4.0)
이용자는 다음의 권리를 갖습니다:
공유 — 복제, 배포, 전시, 공연 및 공중송신 (포맷 변경도 포함)
변경 — 리믹스, 변형, 2차적 저작물의 작성
영리목적으로도 이용이 가능합니다.
저자:Godot13

일단 해당 랜섬웨어 배포 방식은 스팸 메일, 이 메일 첨부 파일 등을 통해서 전파가 되고 있습니다. 일단 해당 랜섬웨어인 israbye(이스라바이)랜섬웨어는 또 특이한 것은 음악이 파일이 포함돼 있다는 것입니다. 해당 음악파일을 재생하면 아랍어로 나오는 음악이 나오는 것을 들을 수가 있습니다. 물론 이스라엘을 증오하는 내용이라고 생각이 됩니다. 굳이 해당 음악을 듣고 싶은 경우 유튜브에서 검색을 해보면 해당 음악을 들을 수가 있습니다. 일단 최근에 특정 국가를 목표로 하는 랜섬웨어들이 많이 나오는 것 같습니다.

그리고 중요한 것은 기본적으로 윈도우 업데이트하고 백신프로그램, 랜섬웨어예방 프로그램, 보조 백신프로그램 등을 사용해서 예방할 수가 있으면 출처가 확실하지 않은 파일들은 실행하지 않는 것이 좋습니다.


글 공유하기 및 아이허브 추천 코드

페이스북
트위터
네이버
밴드
카톡
카스

댓글 보기

  1. Favicon of https://bubleprice.net 버블프라이스 2017.12.05 03:38 신고

    이스라엘을 목표를 하는 랜섬웨어-Israby Ransomware 관련 정보 잘 보고 갑니다.

  2. Favicon of https://jongamk.tistory.com 핑구야 날자 2017.12.05 07:38 신고

    전쟁을 하는 것보다 바이러스로 침투하는 게 오히려 더 무서운 일이 될 수도 있겠군요

  3. Favicon of https://deborah.tistory.com Deborah 2017.12.05 21:52 신고

    조심 해야겠어요. 좋은 정보 주셔서 감사합니다.

    • Favicon of https://wezard4u.tistory.com Sakai 2017.12.05 22:55 신고

      기본적인 보안 수칙을 준수한다고 하면 아마도 랜섬웨어등과 악성코드에 감염이 되는것을 최소화 할수가 있을거라 생각이 됩니다.

TOP