꿈을꾸는 파랑새

오늘은 게임 포트나이트(Fortnite) 게임 사용자를 노리는 Syrk Ransomware이 발견이 되었다는 소식입니다. 일단 해당 포트나이트 이라는 게임은 2017년 7월 25일에 발매가 된 게임이며 PC, Mac, PS4, XBOX ONE 등에서 제공되면 게임 사양은 다음과 같습니다.
최소 사양
OS: Windows 7, Windows 8, Windows 10 64-bit
mac OS Sierra
CPU: Core i3 2.4GHz
RAM: 4GB
GPU: Intel HD Graphics 4000
권장 사양
OS: Windows 7, Windows 8, Windows 10 64-bit
CPU: Core i5 2.8GHz
RAM: 8GB
GPU: NVIDIA GeForce GTX 660 또는 AMD Radeon HD 7870
입니다. 해당 랜섬웨어에 감염이 되면 Syrk 확장자로 변경됩니다.

Syrk Ransomware 복구 도구

Syrk Ransomware 감염 화면Syrk Ransomware 감염 화면

해당 랜섬웨어는 포트나이트 게임 핵으로 위장하여 사용자가 내려받아 실행하도록 제작된 랜섬웨어 가 아닐까 생각이 됩니다. 그리고 랜섬웨어 몸값을 지급하지 않을 때에는 미지급 상태로 두면 Syrk는 2시간마다 파일 배치를 삭제 시작을 합니다. 랜섬웨어 방식은 Hidden-Cry입니다. 해당 Hidden-Cry 소스코드는 인터넷에서 누구나 검색을 하면 쉽게 구할 수가 있는 것이 특징입니다. 해당 랜섬웨어는 aimbot과ESP 게임에서 다른 플레이어의 위치 찾는 기능을 가진 게임핵입니다.


일단 랜섬웨어가 실행되면 명령 및 제어 (C2) 서버에 연결되고 레지스트리 조정을 통해 Windows Defender(윈도우 디펜더) 및 UAC를 비활성화합니다. 그런 다음. gif, .sln,.docx,.php,.psd,.ico,.mov,.xlsx, .jpg 등을 포함한 다양한 파일 형식의 암호화가 되며 xls,.doc,.pdf,.wav,.pptx,.ppt, .txt,.png,.bmp,.rar,.zip,.mp3, .mp4,. avi. 암호화된 파일에. syrk 확장자로 변경합니다. 그리고 프로세스를 중단시킬 수 있는 Taskmgr, Procmon64, ProcessHacker를 모니터링 합니다.
파일을 삭제하는 부분은 다음과 같습니다.

Syrk Ransomware 사용자 계정 컨트롤(UAC) 설정 변경Syrk Ransomware 사용자 계정 컨트롤(UAC) 설정 변경

%userprofile, %\ Pictures%,userprofile%,\Desktop,%userprofile,%\Documents 이 대상이 됩니다.
그리고 gr9wgs94fg5sb3y8l.000webhostapp.cxm서버에 쿼리를 전송하여 인터넷이 연결되지 않은 환경에서는 실행되지 않도록 제작되어 있으며 그리고 감염이 되면 공용문서 폴더(C:\Users\Public\Documents) 속성을 숨김(H) 처리하고 내부에 다음과 같은 파일들을 생성을 시작합니다.
C:\Users\Public\Documents\cgo46ea565sdfse7.exe
C:\Users\Public\Documents\LimeUSB_Csharp.exe
C:\Users\Public\Documents\startSF.exe
C:\Users\Public\Documents\SydneyFortniteHacks.exe
그리고 나서 생성된 파일 중 startSF.exe 파일은 실행되고 SydneyFortniteHacks.exe 파일을 C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SydneyFortniteHacks.exe에 복사하고 공용문서 폴더에서 삭제 처리를 시작합니다. 그리고 악성코드에 감염되면 당연히 랜섬웨어에 감염이 되었다고 메시지를 표시합니다.


C:\Users\Public\Documents\cgo46ea565sdfse7.exe" 파일 실행을 통해 Windows PowerShell(파워쉘)을 다음 명령어를 실행합니다. powershell -ExecutionPolicy ByPass -File C:\Users\%UserName%\Documents\WindowsPowerShell\Modules\Cipher\cry.ps1
그리고 앞서 이야기한 것처럼 Process Hacker, Process Monitor, 작업 관리자를 실행해서 해당 프로세스를 강제 종료를 하려고 하면 "Lol You Can't close me" 메시지 창을 사용자에게 보여 줍니다.

Syrk Ransomware 파일 숨김 파일 및 폴더 변경Syrk Ransomware 파일 숨김 파일 및 폴더 변경

윈도우 탐색기의 보기 옵션에서 숨김 파일, 폴더 또는 드라이브 표시 안 함 체크와 알려진 파일 형식의 파일 확장명 숨기기 체크를 통해 자신의 존재가 표시되지 않도록 합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden=2
HideFileExt=1
(4) Windows Defender 백신 프로그램 동작을 무력화하여 탐지하지 않도록 변경합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
DisableAntiSpyware
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
Real-time Protection
그리고 USB 메모리가 컴퓨터에 꽂혀 있으면 C:\Users\Public\Documents\LimeUSB_Csharp.exe를 실행합니다.
USB 메모리(USB 드라이브)가 연결된 상태였으면 USB 내에 저장된 각종 파일 일체를 숨김(H)+시스템(S) 폴더 속성값을 가진 <USB 드라이브명>:\$LimeUSB 폴더에 저장하고 같은 파일명을 가진 화면 보호기(.scr) 파일을 생성합니다. 그리고 \$LimeUSB 폴더 내를 확인해보면 암호화되지 않은 원본 파일 및 Syrk Ransomware 악성 코드들이 저장된 것을 확인할 수 있습니다. 그리고 확장자가 .scr(즉 화면보호기)를 문서, 사진, 동영상 파일로 착각하고 실행할 때 $LimeUSB 폴더 내에 생성된 USB 전파 기능을 가진 LimeUSB.exe 파일(LimeUSB_Csharp.exe)과 Syrk Ransomware(SydneyFortniteHacks.exe) 실행을 시도합니다. 해당 방법을 통해 최초 감염된 컴퓨터에 연결된 USB를 통해 사용자가 다른 컴퓨터에 USB를 연결하고 USB 내에 생성된 화면 보호기 파일(.scr) 실행을 통해 연결된 PC 장치에서도 Syrk Ransomware 감염이 될 수가 있습니다.
그리고 Windows PowerShell 파일을 이용하여 파일 암호화 행위를 진행할 때 차단 및 차단 이전에 일부 훼손된 파일에 대한 자동 복구를 할 수가 있습니다.
랜섬웨어가 문서를 암호화한 경우에도 몸값을 지급할 필요가 없습니다. 현재 버전은 실제로 감염된 시스템에서 파일을 해독하는 데 필요한 키를 저장하는 것이 특징입니다. 위치는 C:\Users\Default\AppData\Local\Microsoft\폴더에-pw+.txt 또는+dp-.txt라는 파일에 있으며 파일을 복구하려면 먼저 키를 복사합니다. 그리고 몸값 요구 창에서 내 ID 표시를 눌러 ID 및 파일 암호 해독 키를 입력하라는 페이지를 열어 줍니다. 그리고 해당 필드에 키를 붙여 넣고 내 파일 암호 해독을 눌러주면 됩니다.
이것도 귀찮다고 하면 보안 업체 Emsisoft 에서 만든 랜섬웨어 복구 도구가 있습니다. 해당 프로그램을 다운로드 해서 실행을 하시면 해당 랜섬웨어에 감염이 되었다고 하면 해당 랜섬웨어를 복구를 할 수가 있으며 그리고 해당 랜섬웨어가 변종이 나올 수가 있으니 게임핵 같은 것은 사용하시는 것은 자제하시는 것이 좋은 방법이라고 생각이 됩니다. 즉 랜섬웨어 악성 파일을 직접 다운로드해서 백신 프로그램 실시간 보호를 직접 꺼버리고 나서 실행하도록 유도할 수 있으니까 인터넷 에서 출처가 불분명한 파일을 다운로드하여 실행하는 일이 없도록 주의해야 합니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band