한국인만 노리는 랜섬웨어-RansomUserLocker Ransomware 감염 증상

꿈을꾸는 파랑새

오늘은 히든티어로 제작된 RansomUserLocker Ransomware 감염 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 Hidden Tear(히든티어)라는것은 2015년 8월 중순 GitHub 페이지에 공개돼 있고 누구나 내려받아서 사용할 수가 있는 교육용 랜섬웨어 제작도구입니다. Hidden Tear라는 프로젝트는 전적으로 오픈 소스입니다. 해당 프로그램은 터키의 프로그램 어인 Utku Sen이라는 사람이 제작할 걸로 알고 있습니다.

해당 히든티어는 proof-of-concept은 AES 암호화를 사용하여 감염된 시스템의 데스크톱에서 \ test디렉토리에있는 파일을 인코딩하며 해당 약어는 Advanced Encryption Standard의 약자이며 원래 Rijndael로 알려 진이 알고리즘은 대칭적입니다. 즉, 암호화 및 암호 해독 키가 동일 함을 의미하며 키의 길이는 128,192 또는 256비트가 될 수 있습니다. 그리고 랜섬웨어는 운영자만 사용할 수 있도록 원격 서버에 키를 전송하며 데이터를 복구하려면 감염된 사람이 특수하게 조작한 암호 해독 프로그램과 비밀 키를 처분할 수 있어야 합니다.

또한, 두 가지 전제 조건은 협상 대상이거나 가해자와 사용자 사이의 협상이 되기 마련입니다. 해당 랜섬웨어는 자세한 복구 지침과 관련 하이퍼 링크가 포함된 문서를 바탕 화면에 생성합니다. 그리고 파일 크기 12KB 밖에 되지 않아서 이메일을 통해서 전파가 가능하면 백신프로그램 제작자들은 이를 탐지하기 위해서 고생을 하시고 있습니다.

그리고 해당 히든티어를 통해서 프로그램에 대해서 조금만 알면 랜섬웨어를 만들어서 가상화폐를 얻을 수가 있습니다. 일단 해당 랜섬웨어인 RansomUserLocker Ransomware 은 한국인을 대상으로 제작되었으면 그리고 한국인이 제작했다는 것을 쉽게 파악할 수가 있습니다. 예를 들어 빗썸같은 한국에 있는 가상화폐거래소 주소를 통해서 구매하고 송금하라는 메시지를 볼 수가 있습니다. 그리고 해당 랜섬웨어에 감염이 되면 RansomUserLocker 확장자로 암호화됩니다.

악성코드는 다양한 방법을 사용하여 스팸 메일을 통해 전달될 수 있으며 그 중 하나는 맬웨어 첨부 파일 이 포함 된 메시지를 만드는 데 의존하기도 하면 다른 사회 공학 기법을 사용하여 악성코드 제작들은 희생자를 조작하고 강요하여 상호 작용할 수 있으며 맬웨어 사이트에서 호스팅 되는. RansomUserLocker 바이러스 샘플을 메시지에 연결할 수 있습니다. 일단 여기서 사회공학기법이라는 것은 쉽게 이야기해서 최근에 평창동계올림픽이 열리는데 평창동계올림픽으로 속인 가짜 사이트 또는 악성코드를 만들어서 사용자가 실행하는 방식입니다. 즉 사람들이 관심이 있는 부분을 이용하는 방법입니다. 그래서 함부로 클릭을 하거나 사이트에 들어가지 말라는 이유입니다.
염이 발생하면 실행되는 첫 번째 작업 중 하나는 정보 수집 모듈입니다. 해당 랜섬웨어 자체는 컴퓨터 호스트에서 중요한 정보를 수집하기 위해서 작업을 수행하며 대개 두 가지 주요 유형으로 분류됩니다.
익명의 통계: 범죄자는 공격 캠페인의 효율성을 결정하는 데 유용한 정보를 수집할 수 있습니다.
개인 구별 정보: 이 유형의 데이터는 사용자 신원을 직접 노출하는 데 사용될 수 있습니다. 악성코드 엔진은 피해자의 이름, 주소, 전화번호, 관심사 및 암호와 관련된 문자열을 검색할 수 있습니다.
그리고 정보 수집 엔진은 개별 컴퓨터 호스트에 할당된 고유한 피해자 ID를 계산하기 위해 추출된 정보를 사용하며 구성에 따라 데이터는 모듈이 실행을 완료하거나 네트워크 연결이 완료되고 해커 운영자에게 릴레이 될 수 있습니다. 그리고 해당 랜섬웨어는 분석을 당하는 것을 싫어해서 샌드 박스 및 디버그 환경 및 가상 컴퓨터상태에서 감염되었는지 검사도 합니다.

그리고 해당 랜섬웨어가 감염이 되면 다음 파일들을 암호화합니다.

.asp, .aspx, .bat, .bmp, .csv, .doc, .docx, .html, .hwp, .java, .jpg, .kys, .mdb, .mp3, .odt,.pdf, .php, .png, .ppt, .pptx, .psd, .rtf, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml, .zip

그리고 랜섬웨어 노트는 다음과 같습니다.

당신의 컴퓨터가 랜섬웨어 감염되었습니다.
1. 당신의 컴퓨터에 무슨 일이 일어났나?
당신의 개인적 파일 예를 들어 사진, 문서, 비디오 및 기타 중요한 파일을 비롯한 개인 파일은 강력한 암호화 알고리즘인 RSA-2048로 암호화되었습니다. RSA 알고리즘은 컴퓨터의 공개 키와 개인 키를 생성합니다. 공개 키는 파일을 암호화하는 데 사용되었습니다.
개인 키는 파일의 암호를 해독하고 복원하는 데 필요합니다.
당신의 개인 키는 우리의 서버에 저장되었습니다. 그리고 장단 하건대 개인키가 없이는 절대 복호화가 이루어지지 않습니다.
RSA 알고리즘: https://namu.wiki/w/RSA%20암호화
2. 어떻게 당신의 파일을 복호화 하나요?
당신은 "24" 시간 안에 지급하셔야 합니다.
만약 그 시간 안에 지급하지 않으면 당신의 개인키는 자동으로 우리의 서버로부터 지워지게 됩니다.
그렇게 되며 그 누구도 당신의 파일을 영원히 복호화할 수가 없습니다.
시간을 낭비하지 마세요.
3. 개인 키를 위해 지급하는 방법은 어떻게 되나요?
세 가지 스텝을 따라 당신의 파일을 복구하세요.
1). 지급은 비트코인 만으로만 가능합니다. 따라서 1 BTC를 구입 한 후 아래 주소로 보내주십시오. 그 후 화면 (랜섬노트)비트코인 주소(Bitcoin Adress)로 1비트코인(1BTC)를 송금하세요.
2). 당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요.
Official Mail:owerhacker@hotmail.com
당신의 개인 ID(Personal ID)를 반드시 확인하세요.
3) 지급을 완료하시고 메일을 보내 시주 시면 당일의 당신의 메일로 암호 해독기와 개인 키를 받게 됩니다.
4.비트코인은 어떻게 구매하나요?
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
비트코인 구매방법
1) 코빗(KoBit)
공식주소:www.localbitcoins.com
2)코인원(CoinOne)
공식주소:www.coinone.com
3)빗썸(Bithumb)
공식주소:www.bithumb.com
4)비트코인을 송금하시고 메일로 개인ID(Personal ID)를 코리아 공식메일 주소로 보내주세요.
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
라고 적혀져 있습니다. 그런데 이게 한가지 알고 보면 저번에 소개해 드린 랜섬웨어인 koreanLocker Ransomware를 보면 일단 이메일 주소는 바뀌었고 비트코인 주소는
Email:powerhacker03@hotmail.com
BTC:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
인 것으로 보면 일단 비트코인 주소가 같은 것으로 보면 일단 해당 랜섬웨어 제작자는 같은 것을 볼 수가 있습니다. 그리고 영어로 번역하면 다음과 같습니다.
1. What's wrong with your computer?
Your personal files, including your photos, documents, videos and other important files have been encrypted with RSA-2048, a strong encryption algorithm. The RSA algorithm generates public and private keys for your computer. The public key was used to encrypt files. A private key is needed to decrypt and restore files. Your private key is stored on our secret server. No one can recover your files without this key.
2. How do I decrypt my files?
To decrypt and restore files, you must pay for the secret key and decryption. You only have 24 hours to make a payment. If payment is not made during this time, then your private key will be automatically deleted from our server. Do not waste your time, because there is no other way to recover your files, other than paying for foreclosures.
3. How do I pay for my private key?
Follow these steps to pay and restore files:
1). Payment is possible only in bitcoins. Therefore, please buy 1 BTC, and then send it to the address below.
2). Send your ID (Personal ID) to our official email address below:
Official Mail: owerhacker@hotmail.com
Be sure to check your personal information. Please refrain from insults and send me an email the same day.
Your personal ID is listed in the title of this screen.
3). You will receive a decryptor and private key to restore all files in one working day.
4. How to find and buy bitcoins?
Buy and send 1 bitcoin to our bitcoin-purse: 1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
Please buy bitcoins and send your ID by mail to our official email address.
We are not good people. But we must keep in the area where we do it.'

일단 이메일 주소만 바뀌었을 뿐 내용도 비슷합니다. 다만, 지난 koreanLocker Ransomware 랜섬웨어 노트 내용에서 조금 발전한 모습을 볼 수가 있습니다. koreanLocker Ransomware 랜섬웨어 노트는 다음과 같습니다.

------------------ koreanLocker Ransomware ------------------
당신의 컴퓨터가 랜섬웨어에 감염되었습니다.
당신의 개인적 파일, 예를 들어 사진, 문서, 비디오 외 다른 중요한 문서들이 RSA-2048이란 강력한 암호화 알고리즘을 이용하여 암호화되었습니다.
당신의 개인키는 우리의 서버에 생성되어 저장되었습니다.
그렇게 되면 그 누구도 당신의 파일을 영원히 복호화할 수 없습니다.
그리고 장담하건대 개인키가 없이는 절대 복호화가 이루어지지 않습니다.
다시 한 번 말하지만 비트코인을 지급하는 것 외해 복호화하는 방법은 존재하지 않습니다.
당신에게 할당된 비트코인 주소를 반드시 확인하세요. 한 글자라도 틀리게 입력하여 보내시면 복구가 되지 않고 당신의 비트코인은 사라지게 됩니다.
당신은 24시간 안에 지급하셔야 합니다.
당신의 개인 ID(personal ID)를 반드시 확인하세요.
만약 그 시간 안에 지급하지 않으면 당신의 변경하기는 자동으로 우리의 서버에서 지워지게 됩니다.
명심하세요.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
세 가지 스텝을 따라 당신의 파일을 복구하세요.
시간을 낭비하시지 마세요.
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (.txt)를 보실 수 있습니다.
우리는 착한 사람들은 아닙니다. 하지만, 이야기한 부분에는 반드시 지킵니다.
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달렸음을 명심하시기 바랍니다.
추가정보:
1). 지급은 비트코인 만으로만 가능합니다. 따라서 1비트코인(1BTC)를 비트코인 거래소를 통하여 구매하세요. 그 후 화면(랜섬노트)비트코인 주소(Bitcoin Address)로 1비트코인(1BTC)를 송금하세요.
2). 당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요.
3). 지급을 완료하시고 메일을 보내 시주 시면 당일의 메일로 복호화툴과 개인키를 보내드립니다.
4) 비트코인을 송금하시고 메일로 개인 ID(Personal ID)를 코리아 공식메일 주소로 보내주세요.
***
개인키(Private Key)는 당신의 파일을 복호화하여 복구하는데 아주 중요한 키입니다.
공개키(Public key)는 당신의 파일을 암호화하는 데 사용되었습니다.
공식주소: www.bithumb.com
공식주소: www.coinone.com
공식주소: www.localbitcoins.com
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다. 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Official Mail: powerhacker03@hotmail.com
***
Best Regards
Korean Ransomware Team
------------------ koreanLocker Ransomware ------------------

그리고 한국인들이 가장 많이 사용이 되는 나무위키에 있는 RSA 관련 글을 링크를 해두어서 사용자들에게 공포를 조장하고 비트코인을 요구하는 것은 똑같은 수법입니다.

그리고 이런 악성코드에 감염되지 않으려고 의심스러운 파일을 실행 내려받기 그리고 토렌트 사용자제, 백신프로그램 설치 및 실시간 감시 및 최신 업데이트 유지,윈도우 보안 업데이트 및 프로그램 최신 프로그램 사용을 해야 악성코드에 감염되는 것을 최소화할 수가 있습니다. 일단 비트코인을 보내기 위해서 비트코인 구매를 하거나 보내기 위한 사이트들이 다 한국에서 운영하는 가상화폐 거래 사이트라는 것이 아마도 한국인이 관련되어 있지 않나 싶습니다.

그리고 랜섬웨어에 걸리면 절대로 랜섬웨어 제작자 한테 가상화폐를 보내지 마세요.그러면 또 다시 이 같은 범죄는 계속 이어질것입니다.그리고 랜섬웨어에 걸리기 전에 외장하드디스크 하나 장만 해서 그곳에서 백업을 해두세요.

그것이 그나마 안전한 방법이며 랜섬웨어 방지 프로그램은 항상 설치해서 사용을 하시길 바랍니다.그리고 백업프로그램은 윈도우 백업을 이용하거나 인터넷에 백업 전문 프로그램 무료 버전과 유료버전이 있으니 자신이 원하는 것을 선택해서 백업을 하시면 되고 하드디스크가 씨게이트 또는 WD같은 경우에는 백업프로그램을 홈페이지에서 일부 기능이 제한된 백업프로그램을 다운로드 해서 백업과 복원이 가능 합니다.

<기타 관련 글>

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[소프트웨어 소개] - 무료 하드디스크 백업 프로그램-AOMEI Backupper Standard Edtion

[소프트웨어 소개] - 컴퓨터 드라이브 백업 도구-Double Driver

[소프트웨어 팁] - Seagate DiscWizard(씨게이트 디스크 위자드)를 활용한 하드디스크 백업하기

[소프트웨어 팁] - Windows 7 시스템 이미지 백업하기!

[소프트웨어 팁] - 원도우에서 복구 파티션을 만드는 방법

[소프트웨어 팁/보안] - 히든티어로 제작된 변종 카카오톡 랜섬웨어 감염 증상

[소프트웨어 팁/보안] - 카카오톡을 사칭하는 랜섬웨어-KOREA Ransomware(한국 랜섬웨어)

[소프트웨어 팁/보안] - KoreanLocker 한국 스타일 랜섬웨어(KoreanLocker Ransomware) 감염 증상

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 한글화를 지원을 하는 랜섬웨어-세이지 랜섬웨어 2.2(Sage 2.2 Ransomware)증상

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.