오늘은 지금 한국에서 유포되고 있는 랜섬웨어 중 하나인 Maze Ransomware(Maze 랜섬웨어)에 대한 감염 증상 및 예방 방법에 대해 알아보겠습니다. 해당 랜섬웨어는 2019년5월24일 국내 사용자들을 대상으로 유포 중인 랜섬웨어 입니다. 해당 랜섬웨어는 PowerShell을 이용하여 내려지고 Fallout EK 에 의해 유포되는 방식을 사용하고 있습니다. 일단 해당 랜섬웨어는 ChaCha Ransomware의 변종입니다.
해당 랜섬웨어 의 특징은 집 컴퓨터, 서버 또는 워크 스테이션인지에 따라 몸값이 달라진다는 것이 특징입니다. 암호화가 되면 확장자는 여러 가지의 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성되는 것이 특징입니다.
Maze Ransomware는 RSA 및 ChaCha20 암호화를 암호화 프로세스의 일부로 사용되며 RSA 쌍을 실행하면 생성되고 개인 RSA 키는 마스터 RSA 키로 보호되고 공개키는 개별 파일의 ChaCha 키를 암호화하는 데 사용되는 것이 특징입니다.
암호화가 되면 확장자는 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성합니다.
그리고 암호화가 끝나면 컴퓨터 바탕화면을 변경하여 RSA-2048과 ChaCha 알고리즘을 암호화에 사용했다는 것을 사용자에게 알려줍니다.
그리고 암호화 과정에서 폴더 명이 AhnLab 일 경우 해당 폴더의 내부 파일들은 암호화에서 제외되는 것이 특징입니다.
즉 AhnLab이라고 하면 안랩 즉 한국에서는 보안전문업체인 V3를 만드는 보안 업체입니다. 암호화에서 제외되는 폴더는 다음과 같습니다.
\Windows\
\Program Files\
\Games\
\Tor Browser\
\ProgramData\
\cache2\entries\
\Low\Content.IE5\
\User Data\Default\Cache\
\All Users\
\AhnLab\
그리고 암호화에서 제외되는 파일은 다음과 같습니다.
autorun.inf
boot.ini
desktop.ini
ntuser.dat
iconcache.db
bootsect.bak
ntuser.dat.log
thumbs.db
Bootfont.bin
입니다. 그리고 랜섬웨어 노트는 다음과 같습니다. (해당 부분은 해외 에서 유포가 되고 있는 부분과 일부 다름)
0010 SYSTEM FAILURE 0010
*********************************************************************************************************************
Attention! Your documents, photos, databases, and other important files have been encrypted!
*********************************************************************************************************************
The only way to decrypt your files, is to buy the private key from us.
You can decrypt one of your files for free, as a proof that we have the method to decrypt the rest of your data.
In order to receive the private key contact us via email:
filedecryptor@nuke.africa
Remember to hurry up, as your email address may not be avaliable for very long.
Buying the key immediatly will guarantee that 100% of your files will be restored.
Below you will see a big base64 blob, you will need to email us and copy this blob to us.
you can click on it, and it will be copied into the clipboard.
If you have troubles copying it, just send us the file you are currently reading, as an attachment.
부분이 외국에서 유포되고 있는 부분입니다.
사용자 정보를 전송하기 위해서 사용되는 C&C 서버들은 다음과 같습니다.
hxxp://92.63.8.47
hxxp://92.63.32.2
hxxp://92.63.37.100
hxxp://92.63.194.20
hxxp://92.63.17.245
hxxp://92.63.32.55
hxxp://92.63.11.151
hxxp://92.63.194.3
hxxp://92.63.15.8
hxxp://92.63.29.137
hxxp://92.63.32.57
hxxp://92.63.15.56
hxxp://92.63.11.151
hxxp://92.63.32.52
hxxp://92.63.15.6
그리고 해킹된 원격 데스크톱 서비스를 통해 설치되는 것으로 알려졌고 기본적으로 백업은 기본적으로 이루어져야 하면 그리고 기본적으로 취약점을 없애려고 반드시 윈도우 업데이트,Adobe Flash Player 등은 반드시 최신 버번으로 업데이트가 되어야 합니다.
그리고 백신프로그램 등을 기본적으로 설치 자동 업데이트,실시간 감시는 필수입니다. 옵션으로 랜섬웨어 예방프로그램을 설치해서 보조하시는 것도 좋을 것입니다. 그리고 해당 랜섬웨어는 지금 대부분 백신프로그램에서 탐지 및 제거가 이루어지고 있으니까 반드시 백신프로그램은 설치 및 자동업데이트,실시간 감시를 해야 합니다. 그리고 이런 랜섬웨어에 감염이 되지 않을 때에는 반드시 토렌트 등과 같은 곳에서 영화, 애니, 프로그램들을 다운로드 해서 실행을 하시는 것은 이런 악성코드에 감염될 확률이 높아 주는 경우이므로 항상 주의를 하시는 것이 좋을 것 같습니다.
<기타 관련 글>
[소프트웨어 팁/보안] - 앱체크(AppCheck) 안티랜섬웨어에 악성코드 의심파일 신고 및 오진 신고 방법
[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper
[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)
[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Firefox 67.0.2(파이어폭스 67.0.2) 업데이트 (10) | 2019.06.14 |
|---|---|
| 윈도우 10 1903 KB4503292 보안 업데이트 (2) | 2019.06.12 |
| 파이어폭스 콘텐츠 차단에 포함된 개인 정보 보호 방법 (6) | 2019.06.10 |
| 파이어폭스 67.0.1(Firefox 67.0.1) 업데이트 (6) | 2019.06.05 |
| GetCrypt Ransomware 감염 증상 및 예방 방법 (10) | 2019.05.31 |
| 윈도우 10 1903 누적 업데이트 KB4497935 공개 (0) | 2019.05.30 |
| 모질라 파이어폭스 67.0(Firefox 67.0) 업데이트 (0) | 2019.05.22 |
| 윈도우 10 Internet Explorer 11,Microsoft Edge KB4505056 업데이트 (3) | 2019.05.20 |
