꿈을꾸는 파랑새

오늘은 GetCrypt Ransomware 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. RIG 익스플로잇킷으로 리디렉션하는 기능을 가진 랜섬웨어 중 하나입니다. 해당 랜섬웨어에 감염이 되면 기본적으로 GetCrypt Ransomware는 컴퓨터의 모든 파일을 암호화한 다음 파일을 해독하기 위해 몸값 지불을 요구합니다.

익스플로잇 키트가 ransomware(랜섬웨어)가 실행이 되며 GetCrypt Ransomware는 Windows 언어가 우크라이나어, 벨로루시어, 러시아 어 또는 카자흐스탄 어로 설정되었는지 확인하기를 시작합니다. 해당 국가들인 CIS(독립국가연합,Commonwealth of Independent States)국가들인 경우에는 랜섬웨어는 암호화를 진행하지 않고 랜섬웨어를 진행을 중단하는 것이 특징입니다. 아마도 러시아 어를 사용하는 제작자가 만든 악성코드가 아닐까 생각이 됩니다.
컴퓨터의 CPUID를 검사하여 암호화된 파일의 확장자로 사용될 4자 문자열을 작성하는 데 사용하며 그리고 대부분의 랜섬웨어가 그렇듯이 컴퓨터 복구를 막기 위해서 vssadmin.exe delete shadows/all/quiet 명령을 실행하여 섀도우 볼륨 복사본을 지우는 것이 특징입니다.

그리고 컴퓨터에서 암호화할 파일을 검색하기 시작하며 파일을 암호화할 때 특정 파일 형식을 대상으로 하지 않고 다음 폴더에 있는 폴더들은 해당 부분에서 제외합니다.


C:\Windows\System32
C:\Windows\System32\svchost.exe
C:\$Recycle.Bin
C:\ProgramData
C:\Users\All Users
C:\Program Files
C:\Local Settings
C:\Windows

C:\Boot
C:\System Volume Information
C:\Recovery
AppData
입니다. 일단 보면 컴퓨터를 부팅을 하는 데 필요한 부분은 기본적으로 놔두는 것이고 있습니다. 사용을 하는 알고리즘은 Salsa20 및 RSA-4096 암호화 알고리즘을 사용합니다. 그리고 파일을 암호화할 때 이전에 생성된 4자 확장자를 추가합니다.


파일을 암호화하는 동안 GetCrypt는 암호화된 각 폴더에서 암호화를 풀려고 가상화폐를 지급하기를 위한 몸값을 생성합니다.
 바탕 화면 배경을 % LocalAppData
% Tempdesk.bmp에 저장된 파일을 사용합니다. 그리고 네트워크 공유에 있는 파일을 암호화하려고 시도합니다. 암호화할 때 GetCrypt Ransomware는 WNetEnumResourceW 함수를 사용하여 사용 가능한 네트워크 공유 목록을 열거합니다.
공유에 연결할 수 없는 경우 사용자 이름과 암호가 포함된 목록을 사용하여 공유에 대한 자격 증명을 브루핑하며 WNetAddConnection2W 기능을 사용하여 마운트를 진행합니다. 랜섬노트 내용은 다음과 같습니다.
Attention! Your computer has been attacked by virus-encoder!
All your files are now encrypted using cryptographycalli strong aslgorithm.
Without the original key recovery is impossible.
네트워크에 접속할 때 목록들을 대입합니다.
admin
administrator
Administrator
test
1111
11111
111111
Guest
Home
root
developer
r00t
ro0t
r0ot
qwerty
1234
12345
123456
1234567
12345678
123456789
1234567890
보면 가장 기본적인 비밀번호들인 것을 볼 수가 있는데 기본적으로 네트워크 공유를 한다고 하면 계정 ID, 비밀번호들은 변경해서 사용해서 사용하시면 됩니다.

GetCrypt Ransomware 복구 도구
일단 다행인 것은 해당 랜섬웨어에 대한 복구툴이 존재는 하고 있습니다.Emsisoft 에서 제작해서 배포하고 있습니다. 일단 해당 랜섬웨어 복구 도구를 이용해서 감염되었으면 복구를 시도해 보시는 것도 좋은 방법일 것입니다. 그리고 기본적으로 윈도우 업데이트,백신프로그램,랜섬웨어 예방 프로그램들은 기본적으로 설치하고 그리고 제일 중요한 것은 출처가 불분명한 곳에서 파일을 다운로드 해서 실행을 하시는 것은 자제하시는 것이 안전하게 컴퓨터를 사용하는 방법일 것입니다.

글 공유하기 및 아이허브 추천 코드

페이스북
트위터
네이버
밴드
카톡
카스

댓글 보기

  1. Favicon of https://deborah.tistory.com Deborah 2019.05.31 00:14 신고

    네 잘 보고 있습니다. 편안한 밤 되세요.

  2. Favicon of https://jongamk.tistory.com 핑구야 날자 2019.05.31 06:44 신고

    랜섬웨어가 여전히 기승을 부리고 있군요 널 조심하는게 좋을 거 같아

    • Favicon of https://wezard4u.tistory.com Sakai 2019.05.31 17:08 신고

      아마도 계속 해당 종류의 악성코드는 계속 생길것이라고 생각이 됩니다.

  3. Favicon of https://xuronghao.tistory.com 공수래공수거 2019.05.31 07:01 신고

    GetCrypt 랜섬웨어에 대해 알고 갑니다..

  4. Favicon of https://kangdante.tistory.com kangdante 2019.05.31 08:13 신고

    랜섬웨어 감영증상 및 예방법에 대해 알고 갑니다
    오늘도 여유로운 하루되세요.. ^^

  5. Favicon of https://patinfo.tistory.com Patrick30 2019.05.31 16:08 신고

    랜덤쉐어는 정말 너무 무서운 것 같습니다 ㅎ

    • Favicon of https://wezard4u.tistory.com Sakai 2019.05.31 17:10 신고

      일단 기본적으로 백신프로그램,랜섬웨어 예방 프로그램,윈도우 업데이트 자동 업데이트 사용,기술종료된 브라우저, 운영체제는 사용을 하지 않는등 기본적인 보안 수칙을 지틴다고 하면 랜섬웨어 등과 같은 악성코드에 감염이 되는것을 최소화 할수가 있을것입니다.

  6. Favicon of https://www.neoearly.net 라디오키즈 2019.06.03 12:31 신고

    랜섬웨어 같은 건 왜 그리 열심히 만들어서 사람들을 괴롭히는지 원...=_=^ 앞으로도 조심해야 겠습니다.

TOP