꿈을꾸는 파랑새

오늘은 히틀러 랜섬웨어(Hitler Ransomware) 감염 및 증상에 대해 알아보는 시간을 가져 보겠습니다. 일단 히틀러는 제3제국의 독재자이기도 하면 유럽을 전쟁으로 몰고 간 사람이기도 합니다. 히틀러랜섬웨어(Hitler Ransom ware)은 일단 히틀러가 나오는 화면이 나오고 나서 유로화로 25 폰 카드의 현금 코드를 입력하라는 메시지가 나타납니다.
해당 랜섬웨어는 임베디드 배치 파일의 주석을 기반으로 하는 테스트 변형이며 파일을 전혀 암호화하지 않지만, 그 대신에 악성코드는 컴퓨터에 있는 모든 파일의 확장을 제거하고 잠근 화면을 표시 한 다음 1시간 초읽기를 표시하며 해당 주어진 시간이 지나면 피해자의 컴퓨터가 충돌이 발생하며 재부팅 할 때 피해자의 % UserProfile % 아래에 있는 모든 파일을 삭제합니다.

그리고 개발자는 또한 임베디드 배치 파일에 있는 텍스트를 기반으로 한 독일어로 표시합니다. 배치 파일에는 다음 독일어가 적혀져 있습니다.
Das ist ein Test besser gesagt ein HalloWelt copyright HalloWelt 2016 :d by CoolNass Ich bin ein Pro fuer Tools für Windows
영어로 번역하면 다음과 같습니다.
This is a test rather a Hello World copyright Hello World 2016 : D by Cool Wet I am a Pro for Tools for Windows

그리고 다음 폴더 아래의 파일에 대한 모든 확장 명을 제거하는 배치 파일을 실행합니다.
%userprofile%\Pictures
%userprofile%\Documents
%userprofile%\Downloads
%userprofile%\Music
%userprofile%\Videos
%userprofile%\Contacts
%userprofile%\Links
%userprofile%\Desktop
C:\Users\Public\Pictures\Sample Pictures
C:\Users\Public\Music\Sample Music
C:\Users\Public\Videos\Sample Videos
이 대상이 됩니다.
그리고 chrst.exe ,ErOne.vbs 및 firefox32.exe 파일을 대상의%Temp% 폴더에 있는 폴더로 추출하며 firefox32.exe 파일은 Common Startup 폴더에도 복사되므로 재부팅 할 때 자동으로 시작되고 ErOne.vbs 스크립트가 실행되어 "파일을 찾을 수 없습니다!"라는 경고가 표시되며 해당 경고는 희생자가 프로그램이 올바르게 작동하지 않는다고 생각하게 하려고 표시됩니다. 그리고 설치 관리자는 chrset.exe 파일을 실행하여 위에 표시된 잠금 화면을 표시하고 한 시간 내에 파일을 삭제하는 타이머를 시작하며 해당 타이머가 끝나면 csrss.exe 프로세스가 종료되어 Windows 충돌 또는 BSOD(블루스크린)이 발생하며 결국 피해자가 컴퓨터를 재부팅 할 때까지 이 화면에서 자동으로 재부팅되거나 중지됩니다.

그리고 재부팅 및 로그인 시 firefox32.exe는 자동으로 배치 파일을 실행하고 피해자의 % UserProfile % 폴더 아래에 있는 모든 파일을 시작하고 삭제합니다. 그리고 랜섬웨어가 실행을 하는 동안 taskmgr,utilman,sethc 또는 cmd 라는 이름의 프로세스를 계속 찾으며 해당 프로세스 중 하나가 감지되면 프로세스를 종료합니다.

일단 해당 랜섬웨어는 2016년에 제작이 되었기 때문에 모든 백신프로그램에서 탐지됩니다. 다만, 해당 랜섬웨어 이외에도 다른 랜섬웨어에 감염이 되는 것을 최소화하려면 반드시 보안 업데이트 같은 규칙을 지키는 것이 좋습니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band