오늘은 가짜 어도비플래쉬플레이어업데이트로 위장하는 랜섬웨어인 JCry Ransomware에 대해 알아보겠습니다. 일단 해당 랜섬웨어는 이스라엘 웹 사이트에서 유포되고 있으며 어도비플래쉬플레이어로 위장하는 랜섬웨어 입니다. 일단 감염이 되면. jcry 확장명으로 변경되는 것이 특징입니다. 또 다른 이름은 OpJerusalem JCry Ransomware이라고 부르고 있습니다.
해당 랜섬웨어는 이스라엘 사용자를 목표하는 것이 특징입니다.
일단 해당 랜섬웨어의 특징은 도메인의 IP를 대체 한 후 스크립트는 악성코드에 감염된 피해자의 USER-AGENT를 찾는 update.html 페이지로 트래픽을 리다이렉트하며 해당 부분을 문자열 비교를 하면 일단 Windows(윈도우)사용자가 아닌 경우 스크립트에 손상 페이지만 표시되고 그렇지 않았으면 가짜 어도비플래쉬플레이어업데이트가 희생자에게 제공 됩니다.
즉 공격자는 스크립트는 방문자의 Windows(윈도우) 실행 여부를 확인하기 위해 브라우저의 사용자 에이전트를 검사하고 변수가 특정 문자열 Windows(윈도우)와 같으면 JCry Ransomware를 감염을 시키려고 사용되는 가짜 Adobe 업데이트 메시지가 사이트에 표시되고 그렇지 않으면 손상된 페이지가 표시됩니다. 그리고 훼손된 페이지에는 아래와 같이 예루살렘은 팔레스타인의 수도 #OpJerusalem이라는 텍스트가 포함된 것이 특징입니다.
아마도 팔레스타인에서 제작되었거나 극단이슬람주의자들이 만든 것이 아닐까 생각이 드는 랜섬웨어 입니다. 즉 정치적인 색깔이 강한편 합니다. 그리고 가짜 어도비플래쉬플레이어업데이트 페이지를 표시합니다. 그리고 해당 파일을 다운로드를 하면 flashplayer_install.exe가 다운로드가 되며 해당 파일이 Jcry ransomware 실행 파일입니다.
그리고 JCry ransomware는 사용자의 Startup 폴더에 dec.exe 및 enc.exe라는 두 개의 파일을 만듭니다. 그리고 나서 enc.exe 파일이 실행되어 컴퓨터의 데이터를 암호화하기 시작합니다. 암호화된 파일의 이름에. jcry 확장자를 추가합니다. 그리고 컴퓨터 암호화를 마친 후에 암호 해독키가 입력될 때까지 암호 해독기가 자동으로 시작되며 비트코인으로 500달러의 상당의 금액을 요구합니다. 비트 코인 주소 및 hXXp://kpx5wgcda7ezqjty.onion 주소를 가지고 있고 TOR 사이트(토르 사이트)인 JCRY_Note.html 이라는 몸값을 작성하여 공격자는 사용자에게 몸값 지급을 요구합니다.
그리고 TOR 사이트에는 지급한 송장 주소와 미리 지정된 고유 ID를 입력하는 필드가 있습니다.
지불에 사용된 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt 비트 코인 주소가 모든 희생자에게 같은 것이 특징입니다.
그리고 랜섬노트는 다음과 같습니다.
All Your Important Files have been Encrypted 1- Send 500$ worth of Bitcoin to this Address : 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt 2- Download Tor Browser and Open the following Link : Recovery Link 3- Enter the Address used in Payement 4- We'll check your Payement and upload your Decryption Key 5- Open the same link again (after a while) and enter your Unique ID to get your Decryption Key Your Unique Key : [id]
%UserProfile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\enc.exe %UserProfile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dec.exe %UserProfile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PersonalKey.txt
일단 간단하게 JCry Opjerusalem Ransomware에 대해 알아보았습니다. 일단 이런 악성코드에 감염되기 싫은 신분들은 반드시 윈도우 업데이트 및 백신프로그램, 랜섬웨어방어프로그램등을 사용 및 최신 업데이트를 하는 것이 안전하게 컴퓨터를 사용하는 방법입니다.
<기타 관련 글>
[소프트웨어 팁/보안] - 갠드크랩 랜섬웨어(v5.1) 무료 복구툴 공개(BitDefender Decryption Utility for GandCrab v1,v4,v5)
[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)
[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper
[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기
[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법
[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool
[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법
[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
[사이트 리뷰] - 이스트소프트 랜섬웨어 보호 도구 기업용 버전 랜섬 쉴드 PC 배포 이벤트
[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner
[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent
[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
윈도우 10 KB4482887 설치시 게임성능 저하문제 해결 방법 (14) | 2019.03.14 |
---|---|
윈도우 10 KB4489899 누적 보안 업데이트 (6) | 2019.03.13 |
애나벨 랜섬웨어 2.1(Annabelle Ransomware 2.1) 감염 증상 (5) | 2019.03.09 |
윈도우 10 1809 KB4482887 게임 환경 개선 업데이트 (2) | 2019.03.08 |
Stop 랜섬웨어(STOP Ransomware)증상 및 복구 방법 (8) | 2019.03.04 |
파이어폭스 65.0.2(Firefox 65.0.2) Geolocation 정보 수정 (2) | 2019.03.02 |
VirusTotal(바이러스토탈)을 사용하여 이메일 첨부 파일 검사 방법 (8) | 2019.02.27 |
윈도우 디펜더에서 검색 폴더를 제외하는 방법 (6) | 2019.02.25 |