오늘은 한국과 영어권 사용자를 노리는 File Locker Ransomware(파일락커 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 랜섬웨어는 한국어로 친절하게 제작이 돼 있는 랜섬웨어입니다. 일단 기본적으로 랜섬웨어에 감염이 되면 랜섬웨어가 파일을 암호화 파일들을 풀어주는 대가로 5만 원 또는 미국 달러 50달러를 요구합니다. 일단 해당 랜섬웨어의 특징은 다른 랜섬웨어 보다는 다른 점은 정적 암호인 dnwls07193147 통한 AES 암호화를 사용하므로 쉽게 해독할 수 있을 수가 있습니다. 해당 랜섬웨어에 감염이 되면 기본적으로 감염된 파일 확장자 들은 .locked 확장자로 변경됩니다.
그리고 해당 파일락커 랜섬웨어는 컴퓨터에 있는 다음 파일들을 검색하고 파일을 암호화를 시도합니다.
.txt, .doc, .docx, .xls, .index, .pdf, .zip, .rar, .css, .lnk, .xlsx, .ppt, .pptx, .odt, .jpg, .bmp, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .bk, .bat, .mp3, .mp4, .wav, .wma, .avi, .divx, .mkv, .mpeg, .wmv, .mov, .ogg, .java, .csv, .kdc, .dxg, .xlsm, .pps, .cpp, .odt, .php, .odc, .log, .exe, .cr2, .mpeg, .jpeg, .xqx, .dotx, .pps, .class, .jar, .psd, .pot, .cmd, .rtf, .csv, .php, .docm, .xlsm, .js, .wsf, .vbs, .ini, .jpeg, .gif, .7z, .dotx, .kdc, .odm, .xll, .xlt, .ps, .mpeg, .pem, .msg, .xls, .wav, .odp, .nef, .pmd, .r3d, .dll, .reg, .hwp, .7z, .p12, .pfx, .cs, .ico, .torrent, .c
일단 한국 사람들이 가장 많이 사용을 하는 문서 형식인 hwp도 포함된 것을 확인할 수가 있으면 토렌트 관련 파일도 함께 암호화해버리기 때문에 토렌트를 사용을 하시는 분들에게는 불편함을 줄 수도 있습니다. 일단 크게 다른 랜섬웨어 보다는 목표를 하는 파일 수는 적은 것을 확인할 수가 있습니다.
그리고 파일이 암호화가 완료되면 Warning!!!!!!.txt라는 텍스트 파일을 생성하고 해당 파일을 통해서 몸값을 받으려고 시도를 합니다.
그리고 해당 텍스트 파일을 열어보면 다음과 같은 글이 적혀져 있습니다.
한국어: 경고!!! 모든 문서, 사진, 데이테베이스 및 기타 중요한 파일이 암호화되었습니다!!
당신은 돈을 지불해야 합니다
비트코인 5만원을 fasfry2323@naver.com로 보내십시오 비트코인 지불코드: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
결제 사이트 http://www.localbitcoins.com/
English: Warning!!! All your documents, photos, databases and other important personal files were encrypted!!
You have to pay for it.
Send fifty thousand won to fasfry2323@naver.com Bitcoin payment code: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT Payment site http://www.localbitcoins.com/
일단 한국어 부분에 주어진 비트 코인 주소는 실크로드(Silk Road)게시 중단 계정입니다. 일단은 목적은 비트코인이 목적인 것을 확인할 수가 있습니다. 그리고 해당 부분의 개인적인 생각을 적자고 하면 해당 부분에 보이는 네이버 계정은 아마도 도용당한 네이버 계정이거나 부정적으로 발급이 된 이메일 계정이 아닐까 생각이 됩니다. 저번에 매트릭스 랜섬웨어 처럼 말이죠. 그리고 두 가지 지갑에 대한 많은 거래가 이미 수집되었습니다. 하나는 현재 거의 30 BTC이고 다른 하나는 2 BTC보다 많습니다. 거래 날짜는 최근 지불을 나타내고 있습니다.
일단 해당 랜섬웨어의 해쉬값은 다음과 같습니다.
파일 이름: File-Locker Ransomware.exe
SHA256: b6b5e455c4ebe875907aa185988c2eb654ed373dc0e6b712a391069d63dc5c3f
아마도 랜섬웨어 제작자들이 제일 싫어하는 보안 업체인 Emsisoft 쪽에서 랜섬웨어 복원화 도구를 만들어 낼 것 같습니다. 그리고 바이러스 토탈 결과입니다. 일단 진단이 되지 않는 백신프로그램이 있는데 해당 부분들은 시간이 지나면 업데이트가 될 수가 있으니까 해당 부분은 그냥 참고만 하시면 될 것 같습니다.
네트워크 연결: 없음
이메일:fasfry2323@naver.com
한국어 텍스트의 BTC(비트코인 주소):1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
영어 텍스트의 BTC(비트코인 주소):1BoatSLRHtKNngkdXEeobR76b53LETtpyT
바이러스토탈 결과
일단 기본적으로 이런 랜섬웨어로 부터 컴퓨터가 악성코드가 감염되는 것을 방지하려면 최소한 윈도우 업데이트는 기본적으로 하고 윈도우 업데이트를 하기 귀찮다고 하면 윈도우 업데이트는 자동 업데이트 부분을 수동으로 변경하지 않으면 윈도우는 인터넷에 연결이 되어져 있으면 기본적으로 보안 업데이트를 진행을 합니다. 그리고 나서 사용을 하는 프로그램은 최신 업데이트로 유지를 하면 그리고 백신프로그램도 함께 실시간 감시, 최신 업데이트로 유지를 하는 것이 중요합니다. 그리고 토렌트 같은 곳에서 파일을 함부로 다운로드 및 실행을 하는 것도 주의하시길 바랍니다. 그리고 지난번에 소개해 드린 우크라이나를 노린 랜섬웨어 처럼 아마도 특정 지역, 특정 국가 및 언어를 사용하는 랜섬웨어는 증가할 것으로 생각합니다. 그리고 또 다른 방법으로는 윈도우에서 사용을 하는 스크립트 기능을 무력화시켜버리는 방법도 있습니다. 먼저 레지스트리 편집기를 열어줍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\Enabled
특정 컴퓨터의 모든 사용자에 대해 WSH를 사용하지 않으려면 해당 항목을 만들어 사용하면 됩니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled
적용되면 사용자가 WSH 스크립트를 실행하려고 할 때마다 다음 메시지가 표시됩니다.
물론 스크립트를 사용하고 싶지 않을 때에는 Enabled의 값을 0으로 만들면 되며 Enabled는(DWORD)로 만들어야 합니다. 물론 이런 방법을 사용하면 컴퓨터를 사용하면서 불편함도 있을 것입니다.
<기타 관련 글>
[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)
[보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상
[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법
[보안] - 올크라이 랜섬웨어(AllCry Ransomware) 감염 증상 및 예방 방법
[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree
[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker
[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool
[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법
[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
[보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상
[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner
[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware
[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
윈도우 10 Keeper Password Manager 보안 업데이트 (10) | 2018.01.01 |
---|---|
윈도우 디펜더 오류 코드 0x800106ba 해결 방법 (2) | 2017.12.29 |
Windows Defender 네트워크 보호 기능(윈도우 디펜더 네트워크 보호 기능) 사용하기 (6) | 2017.12.28 |
윈도우 정품 인증 툴 KMSpico에 포함이 된 가상화폐 채굴 악성코드 발견 (6) | 2017.12.26 |
오페라 웹 브라우저 50 버전에서는 비트코인 채굴 스크립트 차단 기능 추가 (4) | 2017.12.23 |
이셋모바일시큐리티(ESET Mobile Security) 통신 실패 에러 20515003 문제 해결 방법 (6) | 2017.12.22 |
윈도우 10 버전 1709 KB4058043 업데이트 (2) | 2017.12.20 |
마이크로소프트 워드에서 악성코드 감염 방지를 위한 DDE 기능 사용 중지 방법 (0) | 2017.12.19 |