꿈을꾸는 파랑새

오늘은 컴퓨터 MBR 영역을 파괴하는 랜섬웨어인 RedEye Ransomware(레드아이 랜섬웨어)에 대해 알아보는 시간을 가져 보겠습니다. RedEye Ransomware 는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 돈을 요구하는 악성코드입니다.

일단 해당 RedEye Ransomware(레드아이 랜섬웨어)에 감염이 되면 기본적으로 컴퓨터 파일들을 지우고 MBR(마스터 부트 레코드)를 지우면 컴퓨터를 부팅을 할 수가 없게 만드는 랜섬웨어 입니다.
RedEye Ransomware(레드아이 랜섬웨어)는 파일을 암호화하고 나서. RedEye 확장자로 변경합니다.

파일 크기를 0KB 로 변경을 합니다. 암호화는 AES 암호화 알고리즘을 사용합니다. 해당 랜섬웨어는 악의적인 스크립트를 시작하는 페이로드 드로퍼(payload dropper)가 인터넷에 퍼져 나가고 있으며 해당 파일이 컴퓨터 시스템에 저장되고 어떻게 든 실행 하면 컴퓨터 시스템이 감염됩니다. 일단 기본적으로 윈도우 업데이트는 최신을 유지하면서 의심 가는 파일은 실행하는 것은 삼가야 합니다.
랜섬웨어 노트는 다음과 같습니다.

RedEye Ransomware
All your personal files has been encrypted with an very strong key by RedEye!
(Rijndael-Algorithmus – AES – 256 Bit)
The only way to get your files back is:
– Go to http://redeye85x9tbxiyki.XXXXXon/tbxIyki –개인 ID
and pay 0.1 Bitcoins to the adress below! After that you need to click on
“Check Payment”. Then you will get a special key to unlock your computer.
You got 4 days to pay, when the time is up,
then your PC will be fully destroyed!
Your personal ID: [xxxxxxx]
대충 번역을 하면 다음과 같습니다.
RedEye Ransomware
RedEye는 모든 개인 파일을 매우 강력한 키로 암호화합니다!
(Rijndael-Algorithmus-AES-256 비트)
파일을 다시 가져 오는 유일한 방법은 다음과 같습니다.
- http://redeye85x9tbxiyki.XXXXXXX/tbxIyki로 이동 - 개인 ID를 입력하십시오.
아래 주소에 0.1 비트코인를 지급하십시오! 그 후 클릭해야 합니다.
"지급 확인". 그런 다음 컴퓨터의 잠금을 해제하는 특수 키를 받게 됩니다.
당신은 지급할 사흘이 있고, 시간이 다되면,
그러면 PC가 완전히 파괴될 것입니다!
귀하의 개인 ID: [XXXXX]

일단 기본적으로 비트코인를 지급을 한다고 해당 복원키를 받는다고 보장을 할 수가 없습니다. 그리고 해당 랜섬웨어는 PC 종료를 하거나 해당 랜섬웨어가 제시하는 타이머가 만료되면 컴퓨터가 다시 시작되고 MBR(마스터 부트 레코드)이 시스템에 액세스 할 수 없다고 간주하여 MBR 영역이 교체됩니다. 그리고 운영체제를 재부팅을 하고 나면 다음과 같은 메시지를 볼 수가 있습니다.
RedEye Terminated your computer!
The reason for that could be:
– The time has expired
– You clicked on the ‘Destroy PC’ button
There is no way to fix your PC! Have Fun to try it :)
My YouTube Channel: iCoreX <- Subscribe :P Add me on discord! iCoreX#3333 <- Creator of Jigsaw, Annabelle & RedEye Ransomware! My old discord account named ’ iCoreX#1337’ got terminated by discord.
그리고 암호화하는 파일은 다음과 같습니다.
.bmp, .doc, .docx, .jpg, .png, .ppt, .pptx, .mp3, .xsl, .xslx
RedEye Ransomware(레드아이 랜섬웨어)는 섀도우 볼륨 복사본을 삭제하는 명령어를 다음과 같이 실행을 합니다.
vssadmin.exe delete shadows /all /Quiet를 실행을 합니다.
그래서 시스템복원지점을 만들어 놓았더라도 그렇게 도움이 되지 않습니다. 그래서 미리 중요한 파일은 백업하는 것이 제일 좋은 방법이고 그다음은 윈도우 자동업데이트는 함부로 끄지 말고 UAC도 마찬가지로 끄지 말고 그리고 백신프로그램도 실시간 감시 최신 갱신을 해야 하면 그리고 지난 시간에 소개해 드린 MBRFilter 같은 것을 사용해서 MBR 영역이 파괴되는 것을 차단할 수가 있을 것입니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band