꿈을꾸는 파랑새

오늘은 카슈사 랜섬웨어(Katyusha Ransomware)감염 및 증상에 대해 적어보겠습니다. 일단 카슈사(Katyusha)는 걸즈앤판처 에서 나오는 프라우다 고교의 대장이기도 하고 러시아 민요이기도 합니다. 일단 해당 카슈사 랜섬웨어(Katyusha Ransomware)는 DBGer, Lucky, Satan, WannaCry 랜섬웨어와 같이 ETERNALBLUE 취약점(Exploit)을 통해 SMB 프로토콜을 통해 전파되고 있습니다.

물론 해당 취약점은 기본적으로 2017년1월에 있었던 보안 업데이트만 해두었으면 SMB 프로토콜을 취약점을 악용되는 것을 막을 수가 있습니다. 즉 보안 업데이트만 잘해도 랜섬웨어에 감염이 되는 것을 최소화할 수가 있습니다.
Katyusha Ransomware는 2018년 10월 처음으로 발견돼 배포되고 있는 랜섬웨어 입니다.
일단 기본적으로 암호화하는 것은 똑같고 암호 해독 키를 얻으려면 비트코인(가상화폐)를 요구합니다. 일단 해당 랜섬웨어에 감염이 되면 공격 즉 암호화하는 파일은 다음과 같습니다.

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf , .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel. .indd, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx. pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx , .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr, .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc. qbp, .aif, .qba, .tlg, .qbx, .qby, .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd,. cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt, .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, .clk , .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps,. prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar

등을 컴퓨터에서 검색해서 암호화합니다.


그리고 해당 악성코드에 감염되면 기본적으로 TEMP 폴더에 다음과 같은 파일을 생성합니다.
C:\Windows\Temp\Ktsi.exe: 파일 암호화를 위한 파일
C:\Windows\Temp\Zkts.exe : 네트워크 전파를 위한 파일
그리고 C:\Windows\Temp\Zkts.exe에서 생성된 Zkts 파일은 일단 다른 컴퓨터를 감염시키기 위해서 다음과 같은 파일을 생성합니다.C:\Windows\Temp\m32.exe
C:\Windows\Temp\m64.exe
그리고 오픈소스 프로그램 중에서 윈도우 비밀번호를 추출하기 위해서 만들어진 Mimikatz Tool을 생성 및 실행이 됩니다.
C:\Windows\Temp\svchostb.exe : ETERNALBLUE 취약점 악용
그리고 내부 네트워크로 연결된 IP가 연결돼 있는지 확인을 하고 그리고 나서 katyusha.dll를 실행을 합니다.
그리고 컴퓨터가 실행될 때마다 다음과 같은 랜섬노트를 보여줍니다.

===HOW TO DECRYPT YOU FILES===
All your documents, photos, databases, and other important personal files were encrypted!!
Please send 0.5 bitcoins to my wallet address: 3ALmvAWLEothnMF5BjckAFaKB5S6zan9PK
If you paid, send the ID and IDKEY to my email: kts2018@protonmail.com
I will give you the key and tool
If there is no payment within three days
we will no longer support decryption
If you exceed the payment time, your data will be open to the public download
We support decrypting the test file.
Send two small than 2 MB files to the email address: kts2018@protonmail.com
Your ID:[랜덤 챠트 8자리]
Your IDKEY:
===[랜덤챠트]===
Payment site https://www.bithumb.com/
Payment site http://www.coinone.com/
Payment site https://www.gopax.co.kr/
Payment site http://www.localbitcoins.com/
Officail Mail:kts2018@protonmail.com

이 보일것인데 여기서 보면 일단 비트코인 관련해서 보면 한국 도메인이 포함된 것을 볼 수가 있습니다. 그리고 주소는 보안 메일인 protonmail로 만들어져 있습니다. 일단 추적을 피하고자 protonmail를 선택을 한 것 같기도 합니다.
즉 해당 랜섬웨어에 감염이 되기 싫은 분들은 반드시 윈도우 자동업데이트,백신프로그램 설치 및 실시간 감시 및 보조 백신프로그램들도 함께 설치를 해서 실행을 하는 것도 좋은 방법일 것입니다. 그리고 프로그램이나 게임을 공짜로 사용하려고 불법사이트에서 프로그램을 다운로드를 하면 이런 악성코드에 감염이 쉽게 되니까 해당 정품을 이용하는 것도 좋은 방법일 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
트위터
네이버
밴드
카톡
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730

댓글 보기

  1. Favicon of https://heysukim114.tistory.com *저녁노을* 2018.12.20 02:35 신고

    잘 보고 갑니다.^^

  2. Favicon of https://deborah.tistory.com Deborah 2018.12.20 03:29 신고

    카슈사 랜섬웨어도 조심해야겠어요. 이름들이 생긴 과정을 보면 재미 있는 내용들이 많네요.

    • Favicon of https://wezard4u.tistory.com Sakai 2018.12.21 01:13 신고

      랜섬웨어 이름 작명 하는것도 개인적인 취향 이나 정치적인 의도도 많이 있는것 같습니다.

  3. Favicon of https://bubleprice.net 버블프라이스 2018.12.20 04:52 신고

    오늘은 ‘카슈사 랜섬웨어’ 에 대해 알고갑니다^^

  4. Favicon of https://jongamk.tistory.com 핑구야 날자 2018.12.20 07:07 신고

    랜섬웨어가 계속 생기는군요 조심해야 할 것 같아요

  5. Favicon of https://xuronghao.tistory.com 공수래공수거 2018.12.20 07:32 신고

    카슈사 랜섬웨어 알아갑니다.^^

  6. Favicon of https://joyfulhome.tistory.com 즐거운 우리집 2018.12.20 12:36 신고

    조심해야겠네요...
    오늘 날씨는 괜찮은데 미세먼지가 안좋다고 하네요.
    마스크 챙기시고 건강도 챙기세요~^^

  7. Favicon of https://trip98.tistory.com veneto 2018.12.20 23:21 신고

    여전히 랜섬웨어는 위험하네요 ㅠㅠ

    • Favicon of https://wezard4u.tistory.com Sakai 2018.12.21 01:15 신고

      아마도 비트코인 같은 가상화폐 가격이 올라가면 더 활개를 칠것 같습니다.

  8. Favicon of https://prolite.tistory.com IT넘버원 2018.12.21 00:55 신고

    조심 해야할게 계속 생기네요.

  9. Favicon of https://avada.tistory.com avada 2018.12.21 12:12 신고

    랜섬웨어, 멀웨어, 바이러스 등을 방지하기 위해 항상 보안 업데이트를 설치하고 바이러브 스캔 프로그램을 설치하여 미리 대비하는 것이 중요한 것 같습니다.