꿈을꾸는 파랑새

오늘은 카슈사 랜섬웨어(Katyusha Ransomware)감염 및 증상에 대해 적어보겠습니다. 일단 카슈사(Katyusha)는 걸즈앤판처 에서 나오는 프라우다 고교의 대장이기도 하고 러시아 민요이기도 합니다. 일단 해당 카슈사 랜섬웨어(Katyusha Ransomware)는 DBGer, Lucky, Satan, WannaCry 랜섬웨어와 같이 ETERNALBLUE 취약점(Exploit)을 통해 SMB 프로토콜을 통해 전파되고 있습니다.

물론 해당 취약점은 기본적으로 2017년1월에 있었던 보안 업데이트만 해두었으면 SMB 프로토콜을 취약점을 악용되는 것을 막을 수가 있습니다. 즉 보안 업데이트만 잘해도 랜섬웨어에 감염이 되는 것을 최소화할 수가 있습니다.
Katyusha Ransomware는 2018년 10월 처음으로 발견돼 배포되고 있는 랜섬웨어 입니다.
일단 기본적으로 암호화하는 것은 똑같고 암호 해독 키를 얻으려면 비트코인(가상화폐)를 요구합니다. 일단 해당 랜섬웨어에 감염이 되면 공격 즉 암호화하는 파일은 다음과 같습니다.

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf , .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel. .indd, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx. pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx , .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr, .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc. qbp, .aif, .qba, .tlg, .qbx, .qby, .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd,. cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt, .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, .clk , .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps,. prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar

등을 컴퓨터에서 검색해서 암호화합니다.


그리고 해당 악성코드에 감염되면 기본적으로 TEMP 폴더에 다음과 같은 파일을 생성합니다.
C:\Windows\Temp\Ktsi.exe: 파일 암호화를 위한 파일
C:\Windows\Temp\Zkts.exe : 네트워크 전파를 위한 파일
그리고 C:\Windows\Temp\Zkts.exe에서 생성된 Zkts 파일은 일단 다른 컴퓨터를 감염시키기 위해서 다음과 같은 파일을 생성합니다.C:\Windows\Temp\m32.exe
C:\Windows\Temp\m64.exe
그리고 오픈소스 프로그램 중에서 윈도우 비밀번호를 추출하기 위해서 만들어진 Mimikatz Tool을 생성 및 실행이 됩니다.
C:\Windows\Temp\svchostb.exe : ETERNALBLUE 취약점 악용
그리고 내부 네트워크로 연결된 IP가 연결돼 있는지 확인을 하고 그리고 나서 katyusha.dll를 실행을 합니다.
그리고 컴퓨터가 실행될 때마다 다음과 같은 랜섬노트를 보여줍니다.

===HOW TO DECRYPT YOU FILES===
All your documents, photos, databases, and other important personal files were encrypted!!
Please send 0.5 bitcoins to my wallet address: 3ALmvAWLEothnMF5BjckAFaKB5S6zan9PK
If you paid, send the ID and IDKEY to my email: kts2018@protonmail.com
I will give you the key and tool
If there is no payment within three days
we will no longer support decryption
If you exceed the payment time, your data will be open to the public download
We support decrypting the test file.
Send two small than 2 MB files to the email address: kts2018@protonmail.com
Your ID:[랜덤 챠트 8자리]
Your IDKEY:
===[랜덤챠트]===
Payment site https://www.bithumb.com/
Payment site http://www.coinone.com/
Payment site https://www.gopax.co.kr/
Payment site http://www.localbitcoins.com/
Officail Mail:kts2018@protonmail.com

이 보일것인데 여기서 보면 일단 비트코인 관련해서 보면 한국 도메인이 포함된 것을 볼 수가 있습니다. 그리고 주소는 보안 메일인 protonmail로 만들어져 있습니다. 일단 추적을 피하고자 protonmail를 선택을 한 것 같기도 합니다.
즉 해당 랜섬웨어에 감염이 되기 싫은 분들은 반드시 윈도우 자동업데이트,백신프로그램 설치 및 실시간 감시 및 보조 백신프로그램들도 함께 설치를 해서 실행을 하는 것도 좋은 방법일 것입니다. 그리고 프로그램이나 게임을 공짜로 사용하려고 불법사이트에서 프로그램을 다운로드를 하면 이런 악성코드에 감염이 쉽게 되니까 해당 정품을 이용하는 것도 좋은 방법일 것입니다.


그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band