꿈을꾸는 파랑새

오늘은 간단하게 산타 할아버지가 나오는 랜섬웨어인 산타 랜섬웨어(Santa Encryptor Ransomware)에 대해 알아보는 시간을 가져 보겠습니다. 일단 산타클로스(Father Christmas, Santa Claus,サンタクロース, サンタさん)는 아마도 크리스마스 하면 떠오는 인물 중 하나가 산타할아버지일 것입니다.

일단 어릴 때에는 착한 아이들에게 선물을 준다는 전설과 아이들에게 선물을 주고 산타클로스(Santa Claus)라는 이름은 생전 선행을 베풀었던 것으로 유명한 그리스도교의 성인 성 니콜라오(Saint Nicholas)로부터 유래한 것으로 알려졌고 약 17세기쯤 아메리카 신대륙으로 이주한 네덜란드 사람들이 자선을 베푸는 사람을 성 니콜라우스라는 이름 대신 산타클로스라고 부르게 되었고 해당 발음이 그대로 영어가 되었고 약 19세기경 크리스마스가 전 세계에 알려지면서 오늘날의 산타클로스로 불리게 되었으며 그리고 유럽에서는 크리스마스 아버’라고 불리고 있다고 합니다. 아마도 이 산타할아버지를 이름을 악용한 랜섬웨어인것 같습니다.

일단 기본적으로 해당 악성코드가 전파되는 방식은 스팸 메일, 이메일 첨부 파일, 실행 파일을 통해서 악성코드가 전파가 됩니다. 아마도 겨울 방학과 크리스마스를 노린 랜섬웨어일것입니다. 일단 기본적으로 감염되면 파일을 암호화하고 나서 BTC(비트코인)을 지급하라고 메시지를 보여줍니다.

그리고 비트코인은 150달러를 지급하라고 할 것입니다. 그리고 비트코인(BitCoin)를 이체할 수 있는 마감 기한을 제공합니다.

일단 기본적으로 악성코드를 실행을 숨기는 Obfuscator 방식, 스팸 못 및 스팸 소프트웨어 등의 방식으로 악성코드로 감염됩니다. 그리고 이메일은 송장·영수증·은행 계산서·주문 확인서 등으로 위장하고 있으면 이메일에 첨부된 파일 또는 이메일에 연결된 링크된 파일을 다운로드 및 실행을 했으면 해당 랜섬웨어에 감염이 됩니다. 그리고 랜섬웨어는 악성코드를 감염을 시키고 나서 윈도우 폴더에 있는 악성코드를 삭제를 시도합니다.
%AppData%
%Local%
%LocalLow%
%Roaming%
%Temp%

그리고 파일을 암호화하고 나서 랜섬노트를 보여줍니다. 랜섬노트 내용은 다음과 같습니다.

Oop’s Your File’s Have Been Encrypted!
What Happened To Your PC?
Your Important File’s Have Been Encrypted
Many Of Your Documents, Photos, Databases And Other File’s Are No Longer Accessible.
Because They Have Been Encrypted Using AES-256
How Can I Decrypt My File’s?
Your Lucky Santa Is Here To Help You To Decrypt Your File’s
With the Power Of Christmas Spirit! Santa Needs You To Send $150 Worth Of Bitcoin To
The Given Bitcoin Address Below
How Do I Pay?
Their Are A Few Links For You To Buy The Bitcoin,
Send $150 Worth Of Bitcoin To The Given Address To Decrypt Your File’s
Send $150 Worth Of Bitcoin To This Address:
(이런 파일이 암호화되었습니다!
컴퓨터에 무슨 일이 일어 났습니까?
중요한 파일의 암호화 여부
많은 문서, 사진, 데이터베이스 및 기타 파일에 더는 액세스 할 수 없습니다.
그들은 AES-256을 사용하여 암호화되었기 때문에
내 파일의 암호를 해독할 수 있습니까?
너의 운이 좋은 산타는 너의 파일의 암호문을 해독하는 것을 도우려고 여기 있습니다.
크리스마스 정신의 힘으로! 산타는 Bitcoin을 150달러 가치이어야 됩니다.
주어진 Bitcoin 주소 아래
어떻게 지급하나요?
그들의 Bitcoin을 살 수 있는 몇 가지 링크,
귀하의 파일의 암호를 해독하려면 주어진 주소로 Bitcoin의 $150 가치를 보내십시오.
이 주소로 Bitcoin의 $150을 보내십시오.

일단 기본적으로 섀도우 볼륨 사본(shadow volume copies)을 삭제를 합니다. 한마디로 사용자 컴퓨터를 복구하는 것을 못하게 막는 것입니다.
즉 해당 명령어는 다음과 같습니다.
vssadmin delete shadows /for= [/oldest | /all | /shadow=] [/quiet]
그리고 다음 명령어를 또다시 실행합니다. 즉 한 번 더 사용자가 암호화된 파일을 복구할 수가 없게 만듭니다. 조금은 정교하게 제작이 된 랜섬웨어 일 것입니다.
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Santa Encryptor – Encryption Process
그리고 XOR 암호화 알고리즘으로 구성돼 있으면 컴퓨터에서 다음 파일들이 있는지 검색을 합니다.

PNG.PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .PSPS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL. APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD 파일 .DWG .DXF GIS 파일 .GPX .KML .KMZ .ASP .ASPX .CER. CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN ​​PPS .PPT .PPTX ..INI .PRF 인코딩 된 파일 .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML 오디오 파일 .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA 비디오 파일 .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS. CFG

그리고 해당 랜섬웨어는 특이하게 컴퓨터의 일부 파일을 허용 목록으로 만들 수가 있습니다. 해당 산타 랜섬웨어(Santa Encryptor Ransomware)에 감염이 되면 랜섬웨어 복구툴이 없어서 감염되지 않게 조심하는 것이 좋습니다. 일단 새도우 볼륨 복사본이 삭제되지 않았으면 일단 해당 랜섬웨어를 백신프로그램으로 제거하고 나서 새도우익스플러워로 복구를 시도할 수가 있습니다. 물론 100% 복구가 된다는 것은 보장할 수가 없으면 기본적으로 랜섬웨어에 감염이 되기 싫으면 반드시 윈도우 보안 업데이트,백신프로그램 사용,보조 백신프로그램 또는 랜섬웨어예방프로그램등을 설치를 하면 자신이 사용하는 프로그램은 항상 최신으로 유지하면 그리고 이메일에 첨부된 파일은 함부로 다운로드 및 실행 및 의심스러운 링크는 함부로 클릭하는 것을 조심해야 할 것입니다. 오늘은 간단하게 산타 랜섬웨어(Santa Encryptor Ransomware)에 대해서 알아보았습니다.


그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band