꿈을꾸는 파랑새

오늘은 문재인 대통령이 나오는 랜섬웨어인 HiddenBeer Ransomware(히든비어 랜섬웨어)에 대해 글을 적어보겠습니다. 일단 개인적으로 생각으로는 아마도 문재인 대통령을 싫어하시는 분이 만든 랜섬웨어가 아닐까 생각이 됩니다.

일단 랜섬웨어는 기본적으로 2018년4월에 있었던 판문점 선언 당시 사진을 이용한 HiddenBeer Ransomware(히든비어 랜섬웨어) 입니다.

일단 기본적으로 해당 랜섬웨어는 HiddenTear ransomware의 오픈 소스 기반으로 제작돼 있습니다. 해당 랜섬웨어는 기본적으로 암호화를 하고 나면 암호화된 파일은 원래 이름에 추가된 확장명. beer이라는 확장자를 추가합니다. 일단 암호화가 되면 비트코인(Bitcoin)에서 해당 암호화된 파일을 암호화를 푸는 조건으로 미국달러 $100 정도의 몸값 지급을 요구합니다.
HiddenBeer ransomware는 명령 및 제어 서버를 연결하고 다음 감염 단계에 필요한 추가 악성 파일을 다운로드 할 가능성이 큽니다. 암호화 바이러스가 악의적인 파일과 개체를 저장하는 데 일반적으로 사용되는 몇 가지 폴더는 다음과 같습니다.

%Temp%
%Roaming%
%UserProfile%
%AppData%


해당 랜섬웨어는 일단 컴퓨터를 재부팅을 했어도 해당 랜섬웨어를 실행을 하려고 레지스터리에 다음 장소에 레지스터리 값을 추가합니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

에 추가를 했어 Windows 시작 시 악성 파일의 자동 실행을 하며 레지스터리에 값을 추가하면 HiddenBeer는 암호화 프로세스가 완료된 직후 몸값을 볼 수가 있습니다. 랜섬웨어 노트는 다음과 같습니다

<!HIDDENBEER!>
Your files have been encrypted.
Why have they been encrypted?
To help ensure your security.
To get them decrypted by our specialists,
 just send $100 worth of Bitcoin(BTC), to:33Lf7BrDXwNBMM4ZVg5dMQg1Bvuwzd1VQm.
Afterwards send a Email to "tr0ning@protonmail.com" with your computer name and transaction data.
Computer name:XXXXXXXXXX
Once you have your decryption key, Use it in the file decrypter.
If it isn't open, goto your Desktop and run "@FILE-DECRYPTER.exe"
<!HIDDENBEER!>

한마디로 번역을 하면 당신의 파일은 암호화가 되었고 암호화를 풀고 싶은 경우 비트코인을 요구합니다.

그리고 나서 감염된 컴퓨터 이름을 볼 수가 있고 그리고 연락을 하려는 방법에 보면 이메일이 있는데 해당 Protonmail은 개인정보를 보호하기 위해서 사용하는 보안 메일입니다. 그리고 바탕화면에서 문재인 대통령이 나오는 모습을 볼 수가 있습니다.

AES 암호 알고리즘을 사용했으며 그리고 오디오 파일, 비디오 파일, 문서 파일, 이미지 파일 등을 파일을 암호화를 하며 그리고 제일 중요한 것은 감염되면 해당 랜섬웨어를 복구를 할 수가 없으므로 반드시 윈도우 업데이트, 백신프로그램 실시간 감시 및 최신업데이트 사용, 보조 백신프로그램, 모든 프로그램 최신 업데이트 및 제일 중요한 것은 프로그램은 출처가 불분명한 곳에서 파일을 다운로드 및 실행을 하며 안됩니다.


해당 랜섬웨어 해쉬값은 다음과 같습니다.
MD5 571d39c9d14668e3e8f438d80e64ed50
SHA1 4360c00ac96c6b64dab99e8750b2083a4d12e5b3
SHA256 dbcbe67d9b3e4977aa663e751c994ce91c00b3d2b47c12a8307b012d4f5a807b
입니다. 현재 대부분 백신프로그램에서 탐지하고 있고 제거를 할 수가 있습니다. 그리고 복원화는 불가입니다.만약 윈도우 시스템복원을 사용을 하고 계시는 분들은 ShadowExplorer(새도우 익스플러워)를 이용해서 한번 복구를 시도 해 보세요.단 제일 먼저 할일은 랜섬웨어를 제거를 하고 시도를 해야 합니다.그리고 제일 중요한것은 1달에 한번 시간 내어서 외장하드에 백업을 해두는 것이 도움이 될것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법


728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band