꿈을꾸는 파랑새

오늘은 오픈소스 형태로 공개된 교육용 랜섬웨어 제작프로그램인 히든티어(Hidden Tear)이라는 것은 교육용으로 제작되고 있는 랜섬웨어 제작도구입니다. GitHub에서도 공개돼 있습니다. 덕분에 랜섬웨어 제작은 증가하고 있어서 백신프로그램 제작 업체들은 긴장하게 된 프로그램이라고 샐 수가 있습니다. 그래서 덕분에 누구나 쉽게 랜섬웨어를 만들어서 악성코드를 퍼뜨려서 가상화폐를 송금하는 데 이용을 하고 있습니다.
오늘 소개해 드리는 랜섬웨어는 지난 시간에 소개해 드렸던 랜섬웨어인 카카오톡 변종 랜섬웨어입니다.

가장 최근에 나온 아주 따끈한 랜섬웨어라고 할 수가 있습니다. 일단 기본적으로 한국인을 대상으로 제작되었다고 생각이 됩니다. 정식 이름은 변종 KOREAN 랜섬웨어입니다. 이번에 제작된 카카오 톡 랜섬웨어는 일단 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분이 비슷합니다.
해당 랜섬웨어는 Hidden-Tear 오픈 소스 기반으로 제작되었으며 랜섬웨어는 바탕 화면 경로에 있는 파일 중 아래에 해당하는 확장자만 AES 알고리즘으로 구성돼 있습니다. 해당 AES 암호 알고리즘을 이용해서 기존파일명 기존확장자명.암호화됨 으로 암호화를 진행하고 비트코인을 요구합니다. 대략 가상화폐를 한화으로 환전을 했다고 하면 약 13,500,000원 정도 될 것으로 생각합니다.

해당 랜섬웨어가 암호화하는 대상은 다음과 같습니다.
.txt,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.sln,.php,.asp,.aspx,.html,.xml,.psd,.URL,.kys,.bat,.java,.hwp,.zip,.mp3,.bmp,.rtf,.pdf입니다.

그리고 지난 2016년 8월에 발견된 악성코드과 비교하여 보면 토르 사이트 주소는 같고 폰트와 이미지, 암호화 대상 확장자 등 바뀌었으며 특히 기존에는 %위로 사용을 했지만 이제는  응위 로 작성되었으면 해당 랜섬웨어 제작자가 이번에 조금 변화를 준 것을 확인할 수가 있습니다.
C:\Users\test\Desktop\소스\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\KakaoTalk.pdb
C:\Users\power\Desktop\VapeHacksLoader\obj\Debug\Minecraft.pdb

랜섬웨어 제작자 고객 센터 이메일 주소: powerhacker03@hotmail.com
토르 사이트:http://2dasasfwt225dfs5mom.onion.city
그리고 암호화에 사용하는 확장자가 암호화됨이라는 한국어인 점과 한국에서 사용하는 메신저 앱인 카카오 톡 이미지를 사용하고 한국에서 만든 나무 위키를 이용한다는 점 비트 코인 구매 방법으로 한국에 있는 가상화폐 거래소 등을 이용하는 점에서 한국인이 제작한 것 확률이 매우 높습니다. 일단 지난 카카오톡 랜섬웨어하고 제작자는 같습니다.

일단 기본적으로 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내려고 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다. 일단 해당 랜섬웨어 제작자는 지난주에 소개해 드린 koreanLocker Ransomware등의 많은 랜섬웨어를 제작을 한 것을 알 수가 있습니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 강제로 마인크래프트 게임을 하게하는 랜섬웨어-RansomMine Ransomware(랜섬마인 랜섬웨어)

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 악성코드 수동 제거 프로그램-Adwcleaner 7.0 업데이트

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상


글 공유하기 및 아이허브 추천 코드

페이스북
트위터
네이버
밴드
카톡
카스

댓글 보기

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2018.02.02 07:08 신고

    모바일도 안심해서는 안되겠군요

    • Favicon of https://wezard4u.tistory.com Sakai 2018.02.02 19:37 신고

      해당 랜섬웨어는 모바일용이 아니라 컴퓨터에 감염이 되는 랜섬웨어 입니다.

  2. Favicon of https://trip98.tistory.com veneto 2018.02.04 00:06 신고

    교육용 랜섬웨어 제작툴이 엄한데 사용되고있나보네요;;

    • Favicon of https://wezard4u.tistory.com Sakai 2018.02.05 02:42 신고

      원래는 교육용인데 그걸을 악용한것이죠.우리가 살아가는것도 마찬가지이죠.원래는 좋은 의도로 만들었는데 이것을 범죄에 이용을 하는것과 비슷하지 않을까 생각이 됩니다.

TOP