꿈을꾸는 파랑새

오늘은 지난 시간에 소개해 드린 애나벨 랜섬웨어(Annabelle Ransomware)에서 새롭게 업데이트가 된 애나벨 랜섬웨어 2.1(Annabelle Ransomware 2.1)은 기본적으로 한국어로 구성된 랜섬웨어 입니다. 애나벨 랜섬웨어(Annabelle Ransomware)은 공포영화인 애나벨(Annabelle)을 모티브로 제작된 랜섬웨어 입니다. 일단 해당 랜섬웨어인
Annabelle Ransomware은 일단 기본적으로 일단 해당 애나벨 랜섬웨어는 일단 사용자의 컴퓨터를 엉망진창으로 만들려고 만들어진 랜섬웨어 입니다. 일단 해당 랜섬웨어는 파일을 암호화하고 파일을 복원하기 위해 몸값으로 비트코인을 요구를 하면 그리고. Annabelle2 또는. AnnabelleCreate로 확장자로 변경합니다.

악의적인 스크립트를 통해서 배포되고 있으며 페이로드 드로퍼 (payload dropper)를 통해서 인터넷을 통해서 유포되고 있습니다. 일단 해당 랜섬웨어가 감염이 되면 랜섬노트는 GUI (그래픽 사용자 인터페이스) 안에 표시됩니다. 해당 랜섬노트는 다음과 같습니다.

[소프트웨어 팁/보안] - 애나벨 랜섬웨어(Annabelle Ransomware) 감염 증상

당신의 컴푸터 파일이 모든 Annabelle 2.1에 감염되엉 파일이 모두 파일을 복구를 할려고 해도 데이터가 모두 파괴가 되어 파일을 복
1.파일을 복구할 방법을 없습니다.
2.이 랜섬웨어는 SHA1 알고리즘으로 파일을 모두 파괴 합니다.

그리고 해당 랜섬웨어는 다음과 같은 작업을 합니다.

C:\Users\Administrator\Desktop\bait.docx.AnnabelleCreate
C:\Users\Administrator\Desktop\bait.xlsx.AnnabelleCreate
C:\Users\Administrator\Desktop\bait.docx


C:\Users\Administrator\Desktop\bait.xlsx
C:\Users\Administrator\Desktop\bait.docx.AnnabelleCreate
C:\Users\Administrator\Desktop\bait.xlsx.AnnabelleCreate

그리고 나서 해당 랜섬웨어가 정상적으로 작동하고 난 후 다음 파일을 삭제합니다.
C:\Users\Administrator\Desktop\bait.docx
C:\Users\Administrator\Desktop\bait.xlsx


그리고 해당 랜섬웨어는 기본적으로 윈도시스템복구지점을 삭제해서 새도우익스플러워를 통해서 파일을 복구하는 것을 못하게 시도합니다.
vssadmin.exe delete shadows /all/Quiet
그러면 사용자는 파일을 복구할 기회를 놓치게 됩니다. 그리고 해당 랜섬웨어는 실행을 하면 넷프레임워크 오류가 나타나는 것을 볼 수가 있습니다. 그리고 해당 jpg 파일 안에 보면 HACKED라는 부분을 볼 수가 있습니다. 일단 랜섬웨어 제작자가 랜섬웨어를 만들면서 한국어 오타들을 확인하지 못한 부분들이 보이는 것이 특징입니다. 그리고 해당 랜섬웨어는 백신프로그램에서 Trojan.Ransom.Annabelle,Win32:Trojan-gen,HEUR:Trojan-Ransom.MSIL.Encoder.gen,Ransom.Wannacry로 진단을 하고 있습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band