히든티어로 제작된 변종 카카오톡 랜섬웨어 감염 증상

꿈을꾸는 파랑새

오늘은 오픈소스 형태로 공개된 교육용 랜섬웨어 제작프로그램인 히든티어(Hidden Tear)이라는 것은 교육용으로 제작되고 있는 랜섬웨어 제작도구입니다. GitHub에서도 공개돼 있습니다. 덕분에 랜섬웨어 제작은 증가하고 있어서 백신프로그램 제작 업체들은 긴장하게 된 프로그램이라고 샐 수가 있습니다. 그래서 덕분에 누구나 쉽게 랜섬웨어를 만들어서 악성코드를 퍼뜨려서 가상화폐를 송금하는 데 이용을 하고 있습니다.
오늘 소개해 드리는 랜섬웨어는 지난 시간에 소개해 드렸던 랜섬웨어인 카카오톡 변종 랜섬웨어입니다.

가장 최근에 나온 아주 따끈한 랜섬웨어라고 할 수가 있습니다. 일단 기본적으로 한국인을 대상으로 제작되었다고 생각이 됩니다. 정식 이름은 변종 KOREAN 랜섬웨어입니다. 이번에 제작된 카카오 톡 랜섬웨어는 일단 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분이 비슷합니다.
해당 랜섬웨어는 Hidden-Tear 오픈 소스 기반으로 제작되었으며 랜섬웨어는 바탕 화면 경로에 있는 파일 중 아래에 해당하는 확장자만 AES 알고리즘으로 구성돼 있습니다. 해당 AES 암호 알고리즘을 이용해서 기존파일명 기존확장자명.암호화됨 으로 암호화를 진행하고 비트코인을 요구합니다. 대략 가상화폐를 한화으로 환전을 했다고 하면 약 13,500,000원 정도 될 것으로 생각합니다.

해당 랜섬웨어가 암호화하는 대상은 다음과 같습니다.
.txt,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.sln,.php,.asp,.aspx,.html,.xml,.psd,.URL,.kys,.bat,.java,.hwp,.zip,.mp3,.bmp,.rtf,.pdf입니다.

그리고 지난 2016년 8월에 발견된 악성코드과 비교하여 보면 토르 사이트 주소는 같고 폰트와 이미지, 암호화 대상 확장자 등 바뀌었으며 특히 기존에는 %위로 사용을 했지만 이제는  응위 로 작성되었으면 해당 랜섬웨어 제작자가 이번에 조금 변화를 준 것을 확인할 수가 있습니다.
C:\Users\test\Desktop\소스\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\KakaoTalk.pdb
C:\Users\power\Desktop\VapeHacksLoader\obj\Debug\Minecraft.pdb

랜섬웨어 제작자 고객 센터 이메일 주소: powerhacker03@hotmail.com
토르 사이트:http://2dasasfwt225dfs5mom.onion.city
그리고 암호화에 사용하는 확장자가 암호화됨이라는 한국어인 점과 한국에서 사용하는 메신저 앱인 카카오 톡 이미지를 사용하고 한국에서 만든 나무 위키를 이용한다는 점 비트 코인 구매 방법으로 한국에 있는 가상화폐 거래소 등을 이용하는 점에서 한국인이 제작한 것 확률이 매우 높습니다. 일단 지난 카카오톡 랜섬웨어하고 제작자는 같습니다.

일단 기본적으로 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내려고 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다. 일단 해당 랜섬웨어 제작자는 지난주에 소개해 드린 koreanLocker Ransomware등의 많은 랜섬웨어를 제작을 한 것을 알 수가 있습니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어)

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 악성코드 수동 제거 프로그램-Adwcleaner 7.0 업데이트

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2018.02.02 07:08 신고

    모바일도 안심해서는 안되겠군요

    • Favicon of https://wezard4u.tistory.com Sakai 2018.02.02 19:37 신고

      해당 랜섬웨어는 모바일용이 아니라 컴퓨터에 감염이 되는 랜섬웨어 입니다.

  2. Favicon of https://trip98.tistory.com veneto 2018.02.04 00:06 신고

    교육용 랜섬웨어 제작툴이 엄한데 사용되고있나보네요;;

    • Favicon of https://wezard4u.tistory.com Sakai 2018.02.05 02:42 신고

      원래는 교육용인데 그걸을 악용한것이죠.우리가 살아가는것도 마찬가지이죠.원래는 좋은 의도로 만들었는데 이것을 범죄에 이용을 하는것과 비슷하지 않을까 생각이 됩니다.