오늘은 지난 시간에 소개해 드린 히틀러 랜섬웨어와 비슷한 랜섬웨어입니다. 일단 해당 랜섬웨어는 러시아인들을 대상으로 하는 랜섬웨어인 StalinLocker Ransomware(스탈린락커 랜섬웨어)에 대해 알아보시겠습니다.
일단 스탈린은 1939년 타임지 선정 올해의 인물, 1942년 타임지 선정 올해의 인물이기도 하며 소련의 초대 공산당 중앙위원회 서기장이며 소련 장관회의 주석이자 블라디미르 레닌 아래에서 러시아 혁명에 동참해서 러시아 제국을 무너트리고 소비에트 연방(소련)을 건국하는데 일조했으며 레닌 사후 교묘하게 권력을 장악해서 소련의 최고의 권력자가 되었으며 그리고 독재를 했으며 정적과 반대자를 비롯한 수많은 사람의 목숨을 숙청이라는 이름으로 죽였으며 구 러시아제국시절의 낙후된 농업사회 기반을 5개년 계획으로 중공업 및 화학공업위주로 발전시켜서 초강대국으로 올라갔으며 절대권력을 했기 때문에 일명 강철의 대원수 또는 조지아의 인간 백정이라는 이명으로 불리고 있습니다.
오늘 소개해 드리는 랜섬웨어인 StalinLocker Ransomware(스탈린락커 랜섬웨어)은 일단 감염이 되면 지정된 시간 10분 정도 시간을 주고 그리고 나서 코드를 입력해야 하면 10분 이내에 입력하지 않으면 컴퓨터에 있는 파일들을 삭제하는 랜섬웨어 입니다. 그리고 스탈린이 나오는 화면과 그리고 소련 국가가 연주됩니다.
일단 해당 랜섬웨어는 다음과 같은 폴더를 생성합니다.
%UserProfile%\AppData\Local 폴더를 생성하고 여기서 USSR_Anthem.mp3을 불러와서 소련 국가가 연주됩니다.
%UserProfile%\AppData\Local\stalin.exe 파일을 생성하고 사용자가 컴퓨터에 로그인할 때 화면에 StalinLocker화면에 생성을 하고 화면을 잠그고 그리고 파일 삭제를 준비합니다.
%UserProfile%\AppData Local\fl.dat를 만들고 기존의 시간에서 3초를 나눈 현재 값으로 사용합니다. 그래서 프로그램을 시작할 때마다 카운트 다운이 상당히 줄어듭니다.
Skype,Discord,Explorer.exe,taskmgr.exe이외의 프로세스를 종료를 시도합니다. 그리고 드라이버 업데이트 라는 예약된 작업을 만들어 Stalin.exe를 시작하려고 시도합니다. 그리고 카운트 다운이 0이 될 때까지 코드를 입력하지 않으면 화면 잠금 장치가 컴퓨터에서 발견 한 각 드라이브 문자의 파일을 모두 삭제하려고 시도하며 이 작업은 A에서 Z까지의 모든 드라이브 문자를 살펴보고 액세스 할 수 있는 드라이브 문자를 삭제하면 됩니다.
그리고 해당 랜섬웨어는 연락처 정보가 없어서 코드를 입력할 수가 없을 것입니다. 그리고 날짜를 계산하는 소련이 건국된 1922년12월30일을 날짜를 계산하는 데 이용합니다.
Фундамент социалистической экономики завершен
"Реальность нашего производственного плана - это миллионы трудящихся творящие новую жизнь."
И. Сталин
러시아를 번역기로 돌려보면 다음과 같은 내용을 보여 줍니다.
우리나라 사회주의의 승리가 보장됩니다.
사회주의 경제의 기초가 완성되었습니다.
"우리의 생산 계획의 현실은 새로운 삶을 창조하는 수백만의 노동자들입니다."
스탈린
그리고 잠금 화면은 다음과 같습니다.
그리고 다음 화면은 원본이 되는 배경 화면입니다.
그리고 httpx://yadi.sk/d/Jje1tRgT3VtZgQ에서 USSR_Anthem.mp3를 재생을 합니다.
관련된 레지스터리 파일:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stalin %UserProfile%\AppData\Local\stalin.exe
[소프트웨어 팁/보안] - 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware) 감염 증상
[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper
[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree
[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법
[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware
[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner
[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)
[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법
[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
윈도우 10 1709(Windows 10 1709) KB4103714 누적 업데이트 (2) | 2018.05.22 |
---|---|
윈도우 10 1703,윈도우 10 1607 KB4103722 및 KB4103720 누적 업데이트 (0) | 2018.05.21 |
모질라 파이어폭스 60.0.1(Mozilla Firefox 60.0.1)업데이트 (4) | 2018.05.18 |
윈도우 10 KB4134661 및 KB4134660 업데이트 (2) | 2018.05.18 |
한국 사용자를 노리는 랜섬웨어-RansomAES(랜섬AES) (2) | 2018.05.14 |
윈도우 10 1803 KB4103721 보안 업데이트 (0) | 2018.05.11 |
Apophis Ransomware(아포피스 랜섬웨어)감염 증상 (0) | 2018.05.07 |
TPM 보안 프로세서 펌웨어를 업데이트 후 지우는 방법 (2) | 2018.05.04 |