북한 해커 조직 라자루스에서 제작한 랜섬웨어-Ryuk Ransomware(류크 랜섬웨어)

꿈을꾸는 파랑새

오늘은 북한의 해커 조직 라자루스(Lazarus)에서 Ryuk Ransomware(류크 랜섬웨어)는 2018년8월13일에 발견이 된 랜섬웨어 입니다. 전 세계의 다양한 조직을 공격했습니다. 지금까지 캠페인은 여러 기업을 대상으로 각 감염된 회사의 수백 가지 PC, 스토리지 및 데이터 센터를 암호화에 성공했고 특히 미국 및 전 세계의 최소한 3개 조직이 랜섬웨어에 심각한 피해를 보았으며 또한 일부 조직에서는 파일을 복구하기 위해 몸값을 지급했으며 그리고 희생자에 따라서 몸값 자체가 다르지만 (15 BTC~50 BTC 범위) 공격자가 이미 640,000달러 이상을 랜섬웨어를 통해서 확보했다고 합니다.

일단 환율 1118.70원 기준으로 하면 71억 5,968만 1118.70원을 벌어들인 것입니다. 상당히 아주 많이 받아들인 거라고 생각이 됩니다. 해당 랜섬웨어는 HERMES ransomware(HRS)는 가장 대표적인 표적 공격에도 사용된 악명 높은 북한 APT Lazarus에서 제작된 랜섬웨어 입니다.

해당 랜섬웨어인 Ryuk Ransomware(류크 랜섬웨어)을 이용한 표적 공격이 되세 인 것 같습니다. HERMES 운영자, 북한 단체 또는 HERMES 소스 코드를 획득 한 배후의 작업 일 수 있다고 생각이 됩니다.

보통 랜섬웨어는 대량의 스팸 및 악용 키트를 통해 체계적으로 배포되는 것이 특징이라고 하면 해당 북한 해커 그룹에서 제작된 Ryuk Ransomware(류크 랜섬웨어)는 맞춤형 공격이라는 것이 특징입니다.

즉 Bitpaymer Ransomware와 Hermes Ransomware 간의 하이브리드로 생성된 랜섬웨어 입니다. Ryuk Ransomware(류크 랜섬웨어)는 현재까지 3가지 버전이 발견되었습니다.
일단 변종들은 기본적으로 해당 메일 주소는 다음과 같습니다. 여기서 보면 이메일 추적을 따돌리려고 protonmail.com에서 제공되고 있는 암호화 이메일인 protonmail을 사용을 하고 있습니다. 해당 protonmail은 기본적으로 스위스에 있는 익명 메일서비스입니다.
변종 1:MelisaPeterman@protonmail.com과 MelisaPeterman@tutanota.com 사용
변종 2:eliasmarco@tutanota.com,CamdenScott@protonmail.com을 사용
변형 3:AndyMitton@protonmail.com AndyMitton@protonmail.com을 사용
그리고 Ryuk Ransomware는 임의적으로 이름을 Temp 폴더에서 실행되며 RyukReadMe.txt라는 제목의 사용자 데스크톱에 몸값을 저장하며 Ryuk Ransomware은 공유 폴더 및 암호로 보호되지 않은 네트워크 드라이브를 통해 연결된 컴퓨터에 위협을 제거하려고 시도를 합니다. 물론 랜섬웨어 답게 기본적으로 사진, 음악, 비디오 등 파일들을 암호화합니다. 그리고 일단 첫 번째 버전인 RyukReadMe.txt 내용은 다음과 같습니다.

'Gentlemen!
Your business is at serious risk.
There is a significant hole in the security system of your company.
We've easily penetrated your network.
You should thank the Lord for being hacked by serious people not some stupid schoolboys or dangerous punks.
They can damage all your important data just for fun.
Now your files are crypted with the strongest millitary algorithms RSA4096 and AES-256.
No one can help you to restore files without our special decoder.
Photorec, RannohDecryptor etc. repair tools are useless and can destroy your files irreversibly.
If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files
(Less than 5 Mb each, non-archived and your files should not contain valuable information
(Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decoder.
Please don't forget to write the name of your company in the subject of your e-mail.
You have to pay for decryption in Bitcoins.
The final price depends on how fast you write to us.
Every day of delay will cost you additional +0.5 BTC
Nothing personal just business
As soon as we get bitcoins you'll get all your decrypted data back.
Moreover you will get instructions how to close the hole in security and how to avoid such problems in the future
+ we will recommend you special software that makes the most problems to hackers.
Attention! One more time !
Do not rename encrypted files.
Do not try to decrypt your data using third party software.
P.S. Remember, we are not scammers.
We don't need your files and your information.
But after 2 weeks all your files and keys will be deleted automatically.
Just send a request immediately after infection.
All data will be restored absolutely.
Your warranty - decrypted samples.
contact emails
eliasmarco@tutanota.com or CamdenScott@protonmail.com
BTC wallet:15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
No system is safe'

이라는 메시지를 볼 수가 있으면 한마디로 2주 동안 돈 안 주면 파일삭제 된다는 메시지입니다.
그리고 2번째 변종 버전은 다음과 같습니다.

Your network has been penetrated
'All files on each host in the network have been encrypted with a strong algorithm.
Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
We exclusively have decryption software for your situation
No decryption software is available in the public.
DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
This may lead to the impossibility of recovery of the certain files.
To get info (decrypt your files) contact us at
MelisaPeterman@protonmail.com or MelisaPeterman@tutanota.com
BTC wallet:14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk
Ryuk
No system is safe'

입니다. 일단 기본적으로 시스템복원지점을 그냥 삭제합니다. 쉽게 이야기하면 복구가 사실상 불가입니다. 그리고 (Ahnlab, Microsoft,$Recycle.Bin등)를 화이트리스트에 저장하면 파일에 저장된 파일의 암호화를 피할 수 있습니다. 일단 보면 한국의 대표적인 백신프로그램인 안랩(Ahnlab)이 포함이 돼 있는 것을 볼 수가 있습니다.
그리고 레지스터리 에 다음과 같은 항목을 추가합니다.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”/v “svchos” /t REG_SZ /d’
일단 이런 랜섬웨어에 감염이 안 되는 방법은 정말로 간단합니다. 윈도우 업데이트를 자동으로 해놓고 업데이트를 하고 백신프로그램 사용을 하고 실시간감시,최신 업데이트 그리고 이것만 부족하다면 랜섬웨어 방어프로그램을 사용하면 됩니다. 그리고 제일 중요한 것은 인터넷을 하게 되면 기본적으로 브라우저를 사용하게 될 것인데 자신이 사용하는 브라우저는 최신 업데이트를 유지를 하셔야 합니다. 그리고 토렌트 같은 사이트에서 함부로 파일을 다운로드 하는 것을 자제해야 합니다.


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://rdsong.com 알송달송IT세상 2018.10.02 22:24 신고

    랜섬웨어 만 보면 조금 후덜덜 합니다 ...윈 업뎃 무진장 신경쓰고 있습니다

    • Favicon of https://wezard4u.tistory.com Sakai 2018.10.03 20:04 신고

      윈도우 업데이트는 그냥 자동업데이트로 설정을 해두면 알아서 업데이트를 하니까 그부분에 대해서는 신경을 쓸필요가 없을것 같습니다.