꿈을꾸는 파랑새

오늘은 지금 한국에서 유포되고 있는 랜섬웨어 중 하나인 Maze Ransomware(Maze 랜섬웨어)에 대한 감염 증상 및 예방 방법에 대해 알아보겠습니다. 해당 랜섬웨어는 2019년5월24일 국내 사용자들을 대상으로 유포 중인 랜섬웨어 입니다. 해당 랜섬웨어는 PowerShell을 이용하여 내려지고 Fallout EK 에 의해 유포되는 방식을 사용하고 있습니다. 일단 해당 랜섬웨어는 ChaCha Ransomware의 변종입니다.

해당 랜섬웨어 의 특징은 집 컴퓨터, 서버 또는 워크 스테이션인지에 따라 몸값이 달라진다는 것이 특징입니다. 암호화가 되면 확장자는 여러 가지의 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성되는 것이 특징입니다.

Maze Ransomware는 RSA 및 ChaCha20 암호화를 암호화 프로세스의 일부로 사용되며 RSA 쌍을 실행하면 생성되고 개인 RSA 키는 마스터 RSA 키로 보호되고 공개키는 개별 파일의 ChaCha 키를 암호화하는 데 사용되는 것이 특징입니다.

암호화가 되면 확장자는 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성합니다.


그리고 암호화가 끝나면 컴퓨터 바탕화면을 변경하여 RSA-2048과 ChaCha 알고리즘을 암호화에 사용했다는 것을 사용자에게 알려줍니다.

그리고 암호화 과정에서 폴더 명이 AhnLab 일 경우 해당 폴더의 내부 파일들은 암호화에서 제외되는 것이 특징입니다.

즉 AhnLab이라고 하면 안랩 즉 한국에서는 보안전문업체인 V3를 만드는 보안 업체입니다. 암호화에서 제외되는 폴더는 다음과 같습니다.
\Windows\
\Program Files\
\Games\
\Tor Browser\
\ProgramData\
\cache2\entries\
\Low\Content.IE5\
\User Data\Default\Cache\
\All Users\
\AhnLab\


그리고 암호화에서 제외되는 파일은 다음과 같습니다.
autorun.inf
boot.ini
desktop.ini
ntuser.dat
iconcache.db
bootsect.bak
ntuser.dat.log
thumbs.db
Bootfont.bin

입니다. 그리고 랜섬웨어 노트는 다음과 같습니다. (해당 부분은 해외 에서 유포가 되고 있는 부분과 일부 다름)
0010 SYSTEM FAILURE 0010
*********************************************************************************************************************
Attention! Your documents, photos, databases, and other important files have been encrypted!
*********************************************************************************************************************
The only way to decrypt your files, is to buy the private key from us.
You can decrypt one of your files for free, as a proof that we have the method to decrypt the rest of your data.
In order to receive the private key contact us via email:
filedecryptor@nuke.africa
Remember to hurry up, as your email address may not be avaliable for very long.
Buying the key immediatly will guarantee that 100% of your files will be restored.
Below you will see a big base64 blob, you will need to email us and copy this blob to us.
you can click on it, and it will be copied into the clipboard.
If you have troubles copying it, just send us the file you are currently reading, as an attachment.

부분이 외국에서 유포되고 있는 부분입니다.

사용자 정보를 전송하기 위해서 사용되는 C&C 서버들은 다음과 같습니다.
hxxp://92.63.8.47
hxxp://92.63.32.2
hxxp://92.63.37.100
hxxp://92.63.194.20
hxxp://92.63.17.245
hxxp://92.63.32.55
hxxp://92.63.11.151
hxxp://92.63.194.3
hxxp://92.63.15.8
hxxp://92.63.29.137
hxxp://92.63.32.57
hxxp://92.63.15.56
hxxp://92.63.11.151
hxxp://92.63.32.52
hxxp://92.63.15.6
그리고 해킹된 원격 데스크톱 서비스를 통해 설치되는 것으로 알려졌고 기본적으로 백업은 기본적으로 이루어져야 하면 그리고 기본적으로 취약점을 없애려고 반드시 윈도우 업데이트,Adobe Flash Player 등은 반드시 최신 버번으로 업데이트가 되어야 합니다.

바이러스토탈 진단 결과

그리고 백신프로그램 등을 기본적으로 설치 자동 업데이트,실시간 감시는 필수입니다. 옵션으로 랜섬웨어 예방프로그램을 설치해서 보조하시는 것도 좋을 것입니다. 그리고 해당 랜섬웨어는 지금 대부분 백신프로그램에서 탐지 및 제거가 이루어지고 있으니까 반드시 백신프로그램은 설치 및 자동업데이트,실시간 감시를 해야 합니다. 그리고 이런 랜섬웨어에 감염이 되지 않을 때에는 반드시 토렌트 등과 같은 곳에서 영화, 애니, 프로그램들을 다운로드 해서 실행을 하시는 것은 이런 악성코드에 감염될 확률이 높아 주는 경우이므로 항상 주의를 하시는 것이 좋을 것 같습니다.


그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band