꿈을꾸는 파랑새

오늘은 가짜 어도비플래쉬플레이어업데이트로 위장하는 랜섬웨어인 JCry Ransomware에 대해 알아보겠습니다. 일단 해당 랜섬웨어는 이스라엘 웹 사이트에서 유포되고 있으며 어도비플래쉬플레이어로 위장하는 랜섬웨어 입니다. 일단 감염이 되면. jcry 확장명으로 변경되는 것이 특징입니다. 또 다른 이름은 OpJerusalem JCry Ransomware이라고 부르고 있습니다.

해당 랜섬웨어는 이스라엘 사용자를 목표하는 것이 특징입니다.

일단 해당 랜섬웨어의 특징은 도메인의 IP를 대체 한 후 스크립트는 악성코드에 감염된 피해자의 USER-AGENT를 찾는 update.html 페이지로 트래픽을 리다이렉트하며 해당 부분을 문자열 비교를 하면 일단  Windows(윈도우)사용자가 아닌 경우 스크립트에 손상 페이지만 표시되고 그렇지 않았으면 가짜  어도비플래쉬플레이어업데이트가 희생자에게 제공 됩니다.

즉 공격자는 스크립트는 방문자의 Windows(윈도우) 실행 여부를 확인하기 위해 브라우저의 사용자 에이전트를 검사하고 변수가 특정 문자열 Windows(윈도우)와 같으면 JCry Ransomware를 감염을 시키려고 사용되는 가짜 Adobe 업데이트 메시지가 사이트에 표시되고 그렇지 않으면 손상된 페이지가 표시됩니다. 그리고 훼손된 페이지에는 아래와 같이 예루살렘은 팔레스타인의 수도 #OpJerusalem이라는 텍스트가 포함된 것이 특징입니다.

아마도 팔레스타인에서 제작되었거나 극단이슬람주의자들이 만든 것이 아닐까 생각이 드는 랜섬웨어 입니다. 즉 정치적인 색깔이 강한편 합니다. 그리고 가짜 어도비플래쉬플레이어업데이트 페이지를 표시합니다. 그리고 해당 파일을 다운로드를 하면 flashplayer_install.exe가 다운로드가 되며 해당 파일이 Jcry ransomware  실행 파일입니다.

그리고 JCry ransomware는 사용자의 Startup 폴더에 dec.exe 및 enc.exe라는 두 개의 파일을 만듭니다. 그리고 나서 enc.exe 파일이 실행되어 컴퓨터의 데이터를 암호화하기 시작합니다. 암호화된 파일의 이름에. jcry 확장자를 추가합니다. 그리고 컴퓨터 암호화를 마친 후에 암호 해독키가 입력될 때까지 암호 해독기가 자동으로 시작되며 비트코인으로 500달러의 상당의 금액을 요구합니다. 비트 코인 주소 및 hXXp://kpx5wgcda7ezqjty.onion 주소를 가지고 있고 TOR 사이트(토르 사이트)인 JCRY_Note.html 이라는 몸값을 작성하여 공격자는 사용자에게 몸값 지급을 요구합니다.

그리고 TOR 사이트에는 지급한 송장 주소와 미리 지정된 고유 ID를 입력하는 필드가 있습니다.
지불에 사용된 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt 비트 코인 주소가 모든 희생자에게 같은 것이 특징입니다.

그리고 랜섬노트는 다음과 같습니다.
All Your Important Files have been Encrypted 1- Send 500$ worth of Bitcoin to this Address : 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt 2- Download Tor Browser and Open the following Link : Recovery Link 3- Enter the Address used in Payement 4- We'll check your Payement and upload your Decryption Key 5- Open the same link again (after a while) and enter your Unique ID to get your Decryption Key Your Unique Key : [id]

%UserProfile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\enc.exe %UserProfile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dec.exe %UserProfile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PersonalKey.txt
일단 간단하게 JCry Opjerusalem Ransomware에 대해 알아보았습니다. 일단 이런 악성코드에 감염되기 싫은 신분들은 반드시 윈도우 업데이트 및 백신프로그램, 랜섬웨어방어프로그램등을 사용 및 최신 업데이트를 하는 것이 안전하게 컴퓨터를 사용하는 방법입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 갠드크랩 랜섬웨어(v5.1) 무료 복구툴 공개(BitDefender Decryption Utility for GandCrab v1,v4,v5)

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[사이트 리뷰] - 이스트소프트 랜섬웨어 보호 도구 기업용 버전 랜섬 쉴드 PC 배포 이벤트

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법


글 공유하기 및 아이허브 추천 코드

페이스북
트위터
네이버
밴드
카톡
카스

댓글 보기

  1. Favicon of https://prolite.tistory.com IT세레스 2019.03.07 03:43 신고

    플래쉬플레이어 빨리 사라졌으면 좋겠습니다.

  2. Favicon of https://bubleprice.net 버블프라이스 2019.03.07 05:10 신고

    조심해야겟네요
    이제는 랜섬웨어가.. 어도비플래시플레이어 업데이트로 위장을 햇군요?..
    잘보고 갑니다.

    • Favicon of https://wezard4u.tistory.com Sakai 2019.03.07 17:29 신고

      예전 부터 사용을 하던 방법입니다.또 다른 방법으로 이력서로 위장을 하든지 아니면 북한 폰트 이런식으로 위장 하던지 최근에 이슈가된 인터넷검열을 이용을 하는 방식등이 있습니다.

  3. Favicon of https://jongamk.tistory.com 핑구야 날자 2019.03.07 06:50 신고

    랜섬웨어란 정말 조심해야 할 것 같아요 잘 알고 갑니다

  4. Favicon of https://xuronghao.tistory.com 공수래공수거 2019.03.07 09:04 신고

    주의해야겟네요.
    자칫하면 모를수도 있겠습니다.

    • Favicon of https://wezard4u.tistory.com Sakai 2019.03.07 17:30 신고

      기본적인 보안 수칙을 지킨다고 하면 악성코드에 감염이 되는것을 최소화 할수가 있습니다.

  5. Favicon of https://perfume700.tistory.com 아이리스. 2019.03.07 21:38 신고

    플래시 플래이어 업데이트로 위장을 하다니
    조심해야겠네요..
    좋은정보 감사해여~^^

    • Favicon of https://wezard4u.tistory.com Sakai 2019.03.08 15:41 신고

      어차피 2020년에 어도비에서 공식적으로 기술지원중지 한다고 합니다.즉 폐기한다고 뜻입니다.

  6. Favicon of https://www.neoearly.net 라디오키즈 2019.03.08 08:47 신고

    이런 녀석들 때문에 어도비 플래시 플레이어가 공공의 적이 되어 버렸죠.~ㅎㅎ

    • Favicon of https://wezard4u.tistory.com Sakai 2019.03.08 15:41 신고

      어차피 2020년에 사라질것이니까 없어질떄까지 보안 업데이트는 잘 해야 된다고 생각이 됩니다.

TOP