오늘은 북한의 해커 조직 라자루스(Lazarus)에서 Ryuk Ransomware(류크 랜섬웨어)는 2018년8월13일에 발견이 된 랜섬웨어 입니다. 전 세계의 다양한 조직을 공격했습니다. 지금까지 캠페인은 여러 기업을 대상으로 각 감염된 회사의 수백 가지 PC, 스토리지 및 데이터 센터를 암호화에 성공했고 특히 미국 및 전 세계의 최소한 3개 조직이 랜섬웨어에 심각한 피해를 보았으며 또한 일부 조직에서는 파일을 복구하기 위해 몸값을 지급했으며 그리고 희생자에 따라서 몸값 자체가 다르지만 (15 BTC~50 BTC 범위) 공격자가 이미 640,000달러 이상을 랜섬웨어를 통해서 확보했다고 합니다.
일단 환율 1118.70원 기준으로 하면 71억 5,968만 1118.70원을 벌어들인 것입니다. 상당히 아주 많이 받아들인 거라고 생각이 됩니다. 해당 랜섬웨어는 HERMES ransomware(HRS)는 가장 대표적인 표적 공격에도 사용된 악명 높은 북한 APT Lazarus에서 제작된 랜섬웨어 입니다.
해당 랜섬웨어인 Ryuk Ransomware(류크 랜섬웨어)을 이용한 표적 공격이 되세 인 것 같습니다. HERMES 운영자, 북한 단체 또는 HERMES 소스 코드를 획득 한 배후의 작업 일 수 있다고 생각이 됩니다.
보통 랜섬웨어는 대량의 스팸 및 악용 키트를 통해 체계적으로 배포되는 것이 특징이라고 하면 해당 북한 해커 그룹에서 제작된 Ryuk Ransomware(류크 랜섬웨어)는 맞춤형 공격이라는 것이 특징입니다.
즉 Bitpaymer Ransomware와 Hermes Ransomware 간의 하이브리드로 생성된 랜섬웨어 입니다. Ryuk Ransomware(류크 랜섬웨어)는 현재까지 3가지 버전이 발견되었습니다.
일단 변종들은 기본적으로 해당 메일 주소는 다음과 같습니다. 여기서 보면 이메일 추적을 따돌리려고 protonmail.com에서 제공되고 있는 암호화 이메일인 protonmail을 사용을 하고 있습니다. 해당 protonmail은 기본적으로 스위스에 있는 익명 메일서비스입니다.
변종 1:MelisaPeterman@protonmail.com과 MelisaPeterman@tutanota.com 사용
변종 2:eliasmarco@tutanota.com,CamdenScott@protonmail.com을 사용
변형 3:AndyMitton@protonmail.com AndyMitton@protonmail.com을 사용
그리고 Ryuk Ransomware는 임의적으로 이름을 Temp 폴더에서 실행되며 RyukReadMe.txt라는 제목의 사용자 데스크톱에 몸값을 저장하며 Ryuk Ransomware은 공유 폴더 및 암호로 보호되지 않은 네트워크 드라이브를 통해 연결된 컴퓨터에 위협을 제거하려고 시도를 합니다. 물론 랜섬웨어 답게 기본적으로 사진, 음악, 비디오 등 파일들을 암호화합니다. 그리고 일단 첫 번째 버전인 RyukReadMe.txt 내용은 다음과 같습니다.
'Gentlemen!
Your business is at serious risk.
There is a significant hole in the security system of your company.
We've easily penetrated your network.
You should thank the Lord for being hacked by serious people not some stupid schoolboys or dangerous punks.
They can damage all your important data just for fun.
Now your files are crypted with the strongest millitary algorithms RSA4096 and AES-256.
No one can help you to restore files without our special decoder.
Photorec, RannohDecryptor etc. repair tools are useless and can destroy your files irreversibly.
If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files
(Less than 5 Mb each, non-archived and your files should not contain valuable information
(Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decoder.
Please don't forget to write the name of your company in the subject of your e-mail.
You have to pay for decryption in Bitcoins.
The final price depends on how fast you write to us.
Every day of delay will cost you additional +0.5 BTC
Nothing personal just business
As soon as we get bitcoins you'll get all your decrypted data back.
Moreover you will get instructions how to close the hole in security and how to avoid such problems in the future
+ we will recommend you special software that makes the most problems to hackers.
Attention! One more time !
Do not rename encrypted files.
Do not try to decrypt your data using third party software.
P.S. Remember, we are not scammers.
We don't need your files and your information.
But after 2 weeks all your files and keys will be deleted automatically.
Just send a request immediately after infection.
All data will be restored absolutely.
Your warranty - decrypted samples.
contact emails
eliasmarco@tutanota.com or CamdenScott@protonmail.com
BTC wallet:15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
No system is safe'
이라는 메시지를 볼 수가 있으면 한마디로 2주 동안 돈 안 주면 파일삭제 된다는 메시지입니다.
그리고 2번째 변종 버전은 다음과 같습니다.
Your network has been penetrated
'All files on each host in the network have been encrypted with a strong algorithm.
Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
We exclusively have decryption software for your situation
No decryption software is available in the public.
DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
This may lead to the impossibility of recovery of the certain files.
To get info (decrypt your files) contact us at
MelisaPeterman@protonmail.com or MelisaPeterman@tutanota.com
BTC wallet:14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk
Ryuk
No system is safe'
입니다. 일단 기본적으로 시스템복원지점을 그냥 삭제합니다. 쉽게 이야기하면 복구가 사실상 불가입니다. 그리고 (Ahnlab, Microsoft,$Recycle.Bin등)를 화이트리스트에 저장하면 파일에 저장된 파일의 암호화를 피할 수 있습니다. 일단 보면 한국의 대표적인 백신프로그램인 안랩(Ahnlab)이 포함이 돼 있는 것을 볼 수가 있습니다.
그리고 레지스터리 에 다음과 같은 항목을 추가합니다.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”/v “svchos” /t REG_SZ /d’
일단 이런 랜섬웨어에 감염이 안 되는 방법은 정말로 간단합니다. 윈도우 업데이트를 자동으로 해놓고 업데이트를 하고 백신프로그램 사용을 하고 실시간감시,최신 업데이트 그리고 이것만 부족하다면 랜섬웨어 방어프로그램을 사용하면 됩니다. 그리고 제일 중요한 것은 인터넷을 하게 되면 기본적으로 브라우저를 사용하게 될 것인데 자신이 사용하는 브라우저는 최신 업데이트를 유지를 하셔야 합니다. 그리고 토렌트 같은 사이트에서 함부로 파일을 다운로드 하는 것을 자제해야 합니다.
<기타 관련 글>
[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper
[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)
[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool
[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법
[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware
[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner
[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
스마트폰 SD카드 암호화 로 개인정보 지키는 방법 (8) | 2018.10.12 |
---|---|
윈도우 10 레드스톤 5 KB4464330(OS Build 17763.55) 보안 업데이트 (0) | 2018.10.11 |
Adobe Flash Player 31.0.0.122(어도비플래쉬플레이어 31.0.0.122)업데이트 (0) | 2018.10.10 |
파이어폭스 62.0.3(Firefox 62.0.3) 보안 업데이트 (4) | 2018.10.05 |
윈도우 10 1803 KB4458469 누적 업데이트 (4) | 2018.09.28 |
갠드크랩랜섬웨어 V5(GANDCRAB V5 Ransomware) 업데이트 (2) | 2018.09.27 |
모질라 파이어폭스 62.0.2(Firefox 62.0.2) 보안 업데이트 (2) | 2018.09.22 |
윈도우 10 KB4458469, KB4457136, KB4457141,KB4457127 누적 업데이트 (0) | 2018.09.22 |