카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

오늘은 간단하게 한국의 유명 메신저인 카카오톡을 사칭하는 랜섬웨어인 KOREA Ransomware(한국 랜섬웨어)에 대해 알아보는 시간을 가져 보겠습니다. 먼저 오늘은 오리지널 버전부터 시작하겠습니다. 해당 KOREA Ransomware(한국 랜섬웨어)은 일단 지난 시간에 소개해 드린 한국스타일랜섬웨어하고 제작자가 동일한것으로 판단이 됩니다.

일단 이메일 주소가 똑같기 때문입니다. AES-256 알고리즘을 통해 파일의 내용을 암호화하는 Ransomware 유형의 트로이 목마입니다. 먼저 해당 랜섬웨어에 감염이 되면 랜섬웨어는 다음과 같이 파일을 만들기 시작을 합니다.
C:\Users\W7_MMD\Desktop\ReadMe.txt이라는 파일을 생성합니다. 그리고서 해당 랜섬웨어는 CreatePassword () 함수를 통해 15바이트 길이의 암호를 생성하여 실행을 시작합니다.

[보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

그리고 다음의 파일을 암호화합니다.
.txt,.doc,.doc,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.hwp,.pdf,.php,.asp,.aspx,.html,.xml,.psd
그리고 나서 EncryptFile 함수를 사용하여 시스템 바탕 화면에 있는 파일의 내용을 수정을 시도합니다. 사용자에게 알리는 것은 2가지로 알려줍니다.

첫 번째 알림용 화면은 카카오 톡 캐릭터를 이용해서 해골이 있는 부분 그리고 두 번째 화면은 결제용으로 사용자에게 알려줍니다.
내용은 다음과 같습니다.
당신의 파일이 암호화되었습니다. 토르 브라우저를 다운로드하고 httx://www.torproject.org/projects/torbrowser.html.en
httx://t352fwt225ao5mom.onion
당신의 키를 입력하세요. 그 후 결제 프로세스를 진행하십시오.
그리고 두 번째인 결제 화면에서는 당신은 파일이 암호화되었습니다. 아래 주소로 가서 암호화를 풀기 위한 정보 확인을 할 수가 있습니다.
2dasasfwt225dfs5mom.onion
% 위 사이트를 가려면 Tor브라우저가 필요함
1246C9FE1BD1FBE35D9E193A352970456975E4F905C7AF1103071BA700814231
으로 구성이 돼 있습니다.

그리고 사이트 t352fwt225ao5mom.onion에서 25개 언어로 인터페이스 언어를 선택할 수가 있으며 CryMIC 에서 해독서비스를 생각이 들기도 하는 랜섬웨어입니다. 그리고 해당 랜섬웨어 제작자는 약 2개월 동안 일하고 있었던 것을 확인할 수가 있습니다.
일단 기본적으로 이메일 및 악의적인 첨부파일을 통해서 전파가 됩니다. 그리고 마지막으로 원래 실행 파일의 복사본은 cmd.exe 명령 프롬프트를 통해 삭제됩니다.

네트워크 연결 및 연결 :
이메일:powerhacker03@hotmail.com
httx://www.torproject.org/projects/torbrowser.html.en
httx //t352fwt225ao5mom.onion
httpx://2dasasfwt225dfs5mom.onion.city

dkqskej,

입니다. 그리고 지난 시간에 소개해 드린 KoreaLock한국스타일 랜섬웨어 하고 악성코드 제작자 이메일이 똑같아서 해당 랜섬웨어는 한국인이 만들 것으로 추정됩니다.

그리고 랜섬웨어 메시지 내용은 다음과 같습니다.
당신의 파일이 암호화되었습니다. 비밀번호라는 메시지를 볼 수가 있습니다.

바이러스토탈 결과

Korean-HT.exe
MD5: 913031b8d460367501a8e84c4143d627
SHA1: f7a78789197db011b55f53b30d533eb4297d03cd
SHA256: 1ad95b74b1e10f41b4ac7d2ee96c74e99f237e1e5717d9e59273a81477d8c9b6
Korean-HT2.exe
MD5: e9dd12f20b0359266e2e151f64231e50
SHA1: ab5dc6e44029dc56d0dd95b75c3db901b7fe629a
SHA256: 8997e8d0cdefde1dbd4d806056e8509dea42d3805f4ac77cff7021517ad1ba06
입니다.

<기타 관련 글>

[보안] - 랜섬웨어 예방 프로그램-RansomStopper

[보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법