포트나이트(Fortnite) 게임 사용자를 노리는 Syrk Ransomware 감염 및 랜섬웨어 복구방법

꿈을꾸는 파랑새

오늘은 게임 포트나이트(Fortnite) 게임 사용자를 노리는 Syrk Ransomware이 발견이 되었다는 소식입니다. 일단 해당 포트나이트 이라는 게임은 2017년 7월 25일에 발매가 된 게임이며 PC, Mac, PS4, XBOX ONE 등에서 제공되면 게임 사양은 다음과 같습니다.
최소 사양
OS: Windows 7, Windows 8, Windows 10 64-bit
mac OS Sierra
CPU: Core i3 2.4GHz
RAM: 4GB
GPU: Intel HD Graphics 4000
권장 사양
OS: Windows 7, Windows 8, Windows 10 64-bit
CPU: Core i5 2.8GHz
RAM: 8GB
GPU: NVIDIA GeForce GTX 660 또는 AMD Radeon HD 7870
입니다. 해당 랜섬웨어에 감염이 되면 Syrk 확장자로 변경됩니다.

Syrk Ransomware 복구 도구

Syrk Ransomware 감염 화면Syrk Ransomware 감염 화면

해당 랜섬웨어는 포트나이트 게임 핵으로 위장하여 사용자가 내려받아 실행하도록 제작된 랜섬웨어 가 아닐까 생각이 됩니다. 그리고 랜섬웨어 몸값을 지급하지 않을 때에는 미지급 상태로 두면 Syrk는 2시간마다 파일 배치를 삭제 시작을 합니다. 랜섬웨어 방식은 Hidden-Cry입니다. 해당 Hidden-Cry 소스코드는 인터넷에서 누구나 검색을 하면 쉽게 구할 수가 있는 것이 특징입니다. 해당 랜섬웨어는 aimbot과ESP 게임에서 다른 플레이어의 위치 찾는 기능을 가진 게임핵입니다.


일단 랜섬웨어가 실행되면 명령 및 제어 (C2) 서버에 연결되고 레지스트리 조정을 통해 Windows Defender(윈도우 디펜더) 및 UAC를 비활성화합니다. 그런 다음. gif, .sln,.docx,.php,.psd,.ico,.mov,.xlsx, .jpg 등을 포함한 다양한 파일 형식의 암호화가 되며 xls,.doc,.pdf,.wav,.pptx,.ppt, .txt,.png,.bmp,.rar,.zip,.mp3, .mp4,. avi. 암호화된 파일에. syrk 확장자로 변경합니다. 그리고 프로세스를 중단시킬 수 있는 Taskmgr, Procmon64, ProcessHacker를 모니터링 합니다.
파일을 삭제하는 부분은 다음과 같습니다.

Syrk Ransomware 사용자 계정 컨트롤(UAC) 설정 변경Syrk Ransomware 사용자 계정 컨트롤(UAC) 설정 변경

%userprofile, %\ Pictures%,userprofile%,\Desktop,%userprofile,%\Documents 이 대상이 됩니다.
그리고 gr9wgs94fg5sb3y8l.000webhostapp.cxm서버에 쿼리를 전송하여 인터넷이 연결되지 않은 환경에서는 실행되지 않도록 제작되어 있으며 그리고 감염이 되면 공용문서 폴더(C:\Users\Public\Documents) 속성을 숨김(H) 처리하고 내부에 다음과 같은 파일들을 생성을 시작합니다.
C:\Users\Public\Documents\cgo46ea565sdfse7.exe
C:\Users\Public\Documents\LimeUSB_Csharp.exe
C:\Users\Public\Documents\startSF.exe
C:\Users\Public\Documents\SydneyFortniteHacks.exe
그리고 나서 생성된 파일 중 startSF.exe 파일은 실행되고 SydneyFortniteHacks.exe 파일을 C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SydneyFortniteHacks.exe에 복사하고 공용문서 폴더에서 삭제 처리를 시작합니다. 그리고 악성코드에 감염되면 당연히 랜섬웨어에 감염이 되었다고 메시지를 표시합니다.


C:\Users\Public\Documents\cgo46ea565sdfse7.exe" 파일 실행을 통해 Windows PowerShell(파워쉘)을 다음 명령어를 실행합니다. powershell -ExecutionPolicy ByPass -File C:\Users\%UserName%\Documents\WindowsPowerShell\Modules\Cipher\cry.ps1
그리고 앞서 이야기한 것처럼 Process Hacker, Process Monitor, 작업 관리자를 실행해서 해당 프로세스를 강제 종료를 하려고 하면 "Lol You Can't close me" 메시지 창을 사용자에게 보여 줍니다.

Syrk Ransomware 파일 숨김 파일 및 폴더 변경Syrk Ransomware 파일 숨김 파일 및 폴더 변경

윈도우 탐색기의 보기 옵션에서 숨김 파일, 폴더 또는 드라이브 표시 안 함 체크와 알려진 파일 형식의 파일 확장명 숨기기 체크를 통해 자신의 존재가 표시되지 않도록 합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden=2
HideFileExt=1
(4) Windows Defender 백신 프로그램 동작을 무력화하여 탐지하지 않도록 변경합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
DisableAntiSpyware
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
Real-time Protection
그리고 USB 메모리가 컴퓨터에 꽂혀 있으면 C:\Users\Public\Documents\LimeUSB_Csharp.exe를 실행합니다.
USB 메모리(USB 드라이브)가 연결된 상태였으면 USB 내에 저장된 각종 파일 일체를 숨김(H)+시스템(S) 폴더 속성값을 가진 <USB 드라이브명>:\$LimeUSB 폴더에 저장하고 같은 파일명을 가진 화면 보호기(.scr) 파일을 생성합니다. 그리고 \$LimeUSB 폴더 내를 확인해보면 암호화되지 않은 원본 파일 및 Syrk Ransomware 악성 코드들이 저장된 것을 확인할 수 있습니다. 그리고 확장자가 .scr(즉 화면보호기)를 문서, 사진, 동영상 파일로 착각하고 실행할 때 $LimeUSB 폴더 내에 생성된 USB 전파 기능을 가진 LimeUSB.exe 파일(LimeUSB_Csharp.exe)과 Syrk Ransomware(SydneyFortniteHacks.exe) 실행을 시도합니다. 해당 방법을 통해 최초 감염된 컴퓨터에 연결된 USB를 통해 사용자가 다른 컴퓨터에 USB를 연결하고 USB 내에 생성된 화면 보호기 파일(.scr) 실행을 통해 연결된 PC 장치에서도 Syrk Ransomware 감염이 될 수가 있습니다.
그리고 Windows PowerShell 파일을 이용하여 파일 암호화 행위를 진행할 때 차단 및 차단 이전에 일부 훼손된 파일에 대한 자동 복구를 할 수가 있습니다.
랜섬웨어가 문서를 암호화한 경우에도 몸값을 지급할 필요가 없습니다. 현재 버전은 실제로 감염된 시스템에서 파일을 해독하는 데 필요한 키를 저장하는 것이 특징입니다. 위치는 C:\Users\Default\AppData\Local\Microsoft\폴더에-pw+.txt 또는+dp-.txt라는 파일에 있으며 파일을 복구하려면 먼저 키를 복사합니다. 그리고 몸값 요구 창에서 내 ID 표시를 눌러 ID 및 파일 암호 해독 키를 입력하라는 페이지를 열어 줍니다. 그리고 해당 필드에 키를 붙여 넣고 내 파일 암호 해독을 눌러주면 됩니다.
이것도 귀찮다고 하면 보안 업체 Emsisoft 에서 만든 랜섬웨어 복구 도구가 있습니다. 해당 프로그램을 다운로드 해서 실행을 하시면 해당 랜섬웨어에 감염이 되었다고 하면 해당 랜섬웨어를 복구를 할 수가 있으며 그리고 해당 랜섬웨어가 변종이 나올 수가 있으니 게임핵 같은 것은 사용하시는 것은 자제하시는 것이 좋은 방법이라고 생각이 됩니다. 즉 랜섬웨어 악성 파일을 직접 다운로드해서 백신 프로그램 실시간 보호를 직접 꺼버리고 나서 실행하도록 유도할 수 있으니까 인터넷 에서 출처가 불분명한 파일을 다운로드하여 실행하는 일이 없도록 주의해야 합니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://bubleprice.net 버블프라이스 2019.08.29 02:27 신고

    유용한 글 잘 읽고 갑니다^^ 즐거운 목요일 되세요

  2. Favicon of https://jongamk.tistory.com 핑구야 날자 2019.08.29 06:43 신고

    조심해서 사용해야겠군요 랜섬웨어 걸리면 골치 아프니까요

  3. Favicon of https://kangdante.tistory.com kangdante 2019.08.29 08:20 신고

    syrk렌셈웨어 감염 및 복구방법에 대해 잘 보고 갑니다
    오늘도 시원한 하루되세요.. ^.^

  4. Favicon of https://xuronghao.tistory.com 공수래공수거 2019.08.29 08:53 신고

    포트나이트 게임을하시는 분이라면 읽어 봐야겠네요^^

  5. Favicon of https://www.neoearly.net 라디오키즈 2019.09.03 08:44 신고

    그저 게임을 즐겁게 할 뿐인데 타겟이 되다니... 씁쓸하네요.
    그만큼 포트나이트를 즐기는 사람이 많다는 의미겠지만, 썩 유쾌하진 않을 거 같아요.

    • Favicon of https://wezard4u.tistory.com Sakai 2019.09.03 16:04 신고

      사용자가 많고 인지도 가 높으면 해당 키워드 같은걸로 공격을 합니다.그리고 게임은 정상적인 루트로 구매를 하고 정상적인 방법으로 해야 되지 게임헥 같은 것 사용을 해서 게임을 쉽게 즐기려면 랜섬웨어 등과 같은 악성코드에 감염이 될수가 있습니다.비슷한 예로 윈도우 10 정품 인증툴로 가장해서 가상화폐 채굴 했던 악성코드가 있었던 것 처럼요.정상적인 경로로 구매를 하고 정상적인 경로로 게임이나 프로그램을 사용을 하는것이 맞는것 같습니다.

  6. Favicon of https://roan-junga.tistory.com 로안씨 2019.09.10 17:35 신고

    참으로도 게임하나 즐리려다가 렌섬웨어 감염이라니......
    정말로 어이없겠어요 ㅠㅠ
    포트나이트 즐기시는 사람에게는 정말 필요한 정보군요 ^^
    그래도 이러한 바이러스 해킹 범죄는 있어서는 안됩니다!

    • Favicon of https://wezard4u.tistory.com Sakai 2019.09.10 18:33 신고

      게임을 정상적으로 구매 및 정상적으로 하지 않고 핵 같은 프로그램을 사용을 하면 감염이 될 확률은 높습니다.