꿈을꾸는 파랑새

오늘은 소디노키비(Sodinokibi) 랜섬웨어 감염 및 예방 방법에 대해 알아보겠습니다. 일단 기본적으로 랜섬웨어 라는 것은 기본적으로 사용자의 파일을 RSA, AES 등과 같은 암호알고리즘을 이용해서 사용자의 파일들을 암호화해서 가상화폐를 요구하는 방법을 사용하거나 옵션으로 데이터 파괴형도 있습니다. 최근에 공정거래위원회로 속인 악성 메일로 Sodinokibi 랜섬웨어가 유포가 되고 있습니다.

물론 또 다른 메일로 속일 수가 있습니다. 공정거래위원회 사칭 악성메일은 전자상거래에 대한 위반행위 조사통지서 내용을 포함하고 있으며 메일 본문 하단에 붙임. 전산 및 비 전산 자료 보존요청서 1부 내용으로 첨부 파일을 열기를 유도하고 있습니다.
전산 및 비전산자료 보존 요청서.egg 파일에는 2개의 PDF 파일로 위장한 악성 코드가 첨부된 파일이 포함돼 있으며 두 파일은 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도합니다.

이를 해결하기 위해서 윈도 설정을 살짝 변경을 해주면 쉽게 발견을 할 수가 있을 것입니다. 변경 방법은 폴더를 열고 보기->옵션->폴더 및 검색 옵션 변경으로 선택해줍니다. 그리고 나서 그리고 나서 보기를 선택해줍니다. 그곳에서 알려진 파일형식의 파일 확장명 숨기기 부분에서 기본적으로 설정돼 있는데 해당 부분을 체크를 해제해주면 됩니다.

그러면 확장자를 볼 수가 있기 때문에 아이콘 모양이 PDF 파일로 돼 있더라도 확장자를 잘 보면 끝에 exe로 돼 있는 것을 볼 수가 있습니다. 물론 가끔 PDF 확장자를 사용하기 때문에 모르는 파일은 함부로 실행을 하지 말라고 하는 말이 이런 경우입니다.

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
소디노키비 랜섬웨어는 사용자 컴퓨터의 바탕화면을 파란색 화면으로 변경시키고 폴더마다 랜섬노트를 생성을 시작하고
랜섬노트에는 소디노키비 랜섬노트 특징인 Welcome. Again이라는 문구로 시작되는 것을 확인하실 수 있습니다.

Sodinokibi ransomware(Sodinokibi 랜섬웨어) 랜섬 노트Sodinokibi ransomware(Sodinokibi 랜섬웨어) 랜섬 노트

--=== Welcome. Again. ===---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has expansion xxxxxxx
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data(NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.
[+] How to get access on website? [+]
You have two ways:
1) [Recommended] Using a TOR browser!
a) Download and install TOR browser from this site: hxxps://torproject.org/
b) Open our website: hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/xxxxxxxxxxxxxxx
2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)
b) Open our secondary website: http://decryptor.top/xxxxxxxxxxxxxxxxxx
Warning: secondary website can be blocked, thats why first variant much better and more available.
When you open our website, put the following data in the input form:
Key:
Extension name:
-----------------------------------------------------------------------------------------
!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!

이라는 랜섬노트를 볼 수가 있을 것입니다. 그리고 해당 랜섬웨어 감염을 시키기 전에 컴퓨터 언어 환경을 검사합니다. 다음 언어는 감염에서 제외합니다.
Romanian,Russian,Russian (Moldova),Ukrainian,Belarusian,Estonian,Latvian,Lithuanian,Tajik,

Persian,Armenian,Azeri,Georgian,Kazakh,Kygyz,Turkmen,

Uzbek,Tatar,Syrian,Arabic(Syria) 입니다. 그리고 해당 랜섬웨어가 사용을 하는 취약점은 다음과 같습니다.
CVE-2018-10933(인증 우회하여 서버 탈취 가능한 Libssh 취약점):해당 취약점은 보안 셸(Secure Shell, SSH) 구현 라이브러리 ‘Libssh’에서 취약점이며 해당 취약점을 악용하면 패스워드 없이 인증 우회할 수 있으며, 취약한 서버에 대한 통제 권한을 얻을 수 있는 취약점입니다. 해당 취약점에 대한 윈도우 업데이트 2018년10월 정기 업데이트에 적용이 되었습니다. 즉 윈도우 업데이트만 잘해도 랜섬웨어가 다운로드가 되더라고 실행이 되지 않습니다. Heaven 's Gate 기술을 사용하여 32비트 실행 프로세스에서 64비트 코드를 실행하며 아시아, 유럽, 아프리카 및 북미 지역에서 발견되었지만, 아시아 태평양, 특히 홍콩, 대만, 한국에서 감염 대부분이 되는 것이 특징입니다.

그리고 트리거 되고 구성을 검사하여 익스플로잇 사용 옵션의 사용 가능 여부를 확인합니다. CPU 아키텍처를 검사하고 실행을 트로이의 본문에 있는 두 개의 쉘 코드 변형 중 하나에 전달하고 셸 코드는 WinAPI 함수의 특정 시퀀스를 악의적인 인수와 함께 호출하여 취약점을 트리거하려고 시도하며 트로이의 프로세스가 시스템에서 가장 높은 권한을 확보할 수가 있습니다. 파일의 내용은 Salsa20 대칭 스트림 알고리즘을 사용하여 암호화되지만 키는 타원 곡선 비대칭 알고리즘으로 암호화되는 것이 특징입니다. 그리고 앞서 표시된 언어가 아닌 경우 다음 명령어를 실행합니다.
cmd.exe/c vssadmin.exe Delete Shadows/All/Quiet & bcdedit/set {default} recoveryenabled No & bcdedit/set {default} bootstatuspolicy ignoreallfailures
일단 기본적으로 복구할 수가 없게 컴퓨터에 있는 시스템복원지점을 파괴합니다. 그리고 Heaven's Gate 부분은 다음과 같습니다.
debug032:00075DF0 x86_to_x64 proc near
debug032:00075DF0 push ebp
debug032:00075DF1 mov ebp, esp
debug032:00075DF3 push ebx
debug032:00075DF4 push esi
debug032:00075DF5 push edi
debug032:00075DF6 push cs  ; Preserve x86 CS
debug032:00075DF7 call heavens_gate
debug032:00075DFC pop edi
debug032:00075DFD pop esi
debug032:00075DFE pop ebx
debug032:00075DFF leave
debug032:00075E00 retn
debug032:00075E00 x86_to_x64 endp
debug032:00075E00
debug032:00075E01 heavens_gate:          
debug032:00075E01 push 0CB0033h  ; 0xCB = retf, 0x33 = new CS (x64)
debug032:00075E06 call near ptr heavens_gate+3debug032:00075E0B inc ecx  ; Execution resumes in x64 mode
일단 기본적으로 윈도우 업데이트, 백신프로그램설치,랜섬웨어 예방 프로그램 등을 설치해서 보호하고 그리고 제일 중요한 것은 기본적으로 보안 업데이트는 필수가 입니다. 그리고 해당 부분은 귀찮은 부분이기도 하지만 반드시 해야 하는 부분입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band