힐다(Hilda) 애니메이션을 바탕으로 하는 랜섬웨어-HILDACRYPT Ransomware

꿈을꾸는 파랑새

오늘은 힐다라고 하면 애니메이션 루크 피어슨(Luke Pearson) 원작의 동명의 동화책 시리즈를 애니메이션 화한 영국-캐나다 합작 애니메이션이며 넷플릭스(Netflix)에서 독점 배급을 하고 있으며 2018년 9월 21일 1편에서는 13개 에피소드가 공개되었고 또한 2020년에 시즌 2도 예정되어 있습니다. 해당 애니메이션은 동화라서 현실과 판타지가 섞인 세계를 배경으로 하고 있으며 자연에서 자란 소녀 힐다가 도시로 이주해서 새로운 친구들을 사귀면서 벌어지는 다양한 사건들을 옴니버스 형식 비슷하게 진행이 됩니다. 오늘은 해당 애니메이션은 힐다(Hilda)를 가지고 만든 랜섬웨어 입니다.
랜섬웨어 실행 파일은 힐다 캐릭터 파일 아이콘으로 제작돼 있고 Microsoft PDF Document 으로 정상적인 파일로 위장하는 것이 특징입니다.
해당 랜섬웨어의 특징은 Malwarebytes 에서 제작한 백신프로그램(MBAMService),애드웨어 제거 부분에서는 Adwcleaner를 인수해서 운영하는 업체입니다. 그리고 윈도우에서 기본적으로 탑재된 백신프로그램인 Windows Defender 백신프로그램(윈도우 디펜더,WinDefend) 서비스 중지를 시도하고 언제나 다른 랜섬웨어들과 마찬가지로 컴퓨터 사용자가 시스템과 파일 복구를 할 수 없도록 vssadmin.exe Delete Shadows/All/Quiet 명령어를 실행해서 복구를 막습니다. 그리고 암호화된 파일은 .HILDA! 파일 확장 명으로 변경됩니다. 그리고 해당 랜섬웨어는 GlobeImposter Ransomware 변형된 랜섬웨어 입니다. 그리고 랜섬웨어 노트는 다음과 같습니다.

---+ HILDACRYPT v1.0 +---
All the files on this computer have been encrypted with a RSA-4096 + AES-256
cryptographic combination. These algorithms are used by the NSA and other top tier organisations.
Backups were encrypted, and shadow copies were removed. So F8 or any

other methods may damage encrypted data and make it unrecoverable.
We exclusively have decryption software for your situation.
More than a year ago, world experts have recognized the impossibility of
decrypting by any means without the original decryptor.
NO decryption software is available to the public.

Antivirus companies, researchers, IT specialists, and no one else can help you recover your data.
DO NOT RESET OR SHUTDOWN - file may be damaged.
DO NOT DELETE readme files.txt
DO NOT REMOVE OR RENAME the encrypted files.
This may lead to the impossibility of your files being recovered.
To confirm our honest intentions, send us 2 different files and you well get
them decrypted. They must not contain any sensitive information and must not
be archived.
To get info (decrypt your files) contact us at:  hildaseriesnetflix125@tutanota.com

or hildaseriesnetflix125@horsefucker.org
You well receive a BTC address for payment in the reply letter.
HILDACRYPT
No loli is safe :) -- hxxps://www.youtube.com/watch?v=XCojP2Ubuto
대충 번역을 하면 다음과 같습니다.
---+ HILDACRYPT v1.0 +---
이 컴퓨터의 모든 파일은 RSA-4096 + AES-256 암호화 조합으로 암호화되었습니다. 이 알고리즘은 NSA 및 기타 최상위 조직에서 사용됩니다.
백업이 암호화되었고 섀도 복사본이 제거되었습니다. 따라서 F8 또는 다른 방법은 암호화된 데이터를 손상해 복구할 수 없게 만들 수 있습니다.


우리는 귀하의 상황에 맞는 해독 소프트웨어를 독점적으로 보유하고 있습니다.
1년 전, 세계 전문가들은 원래의 해독 기가 없으면 어떤 방법으로도 해독할 수 없다는 것을 인식했습니다.
대중에게 공개된 해독 소프트웨어는 없습니다.
바이러스 백신 회사, 연구원, IT 전문가와 그 밖의 누구도 데이터 복구를 도와줄 수 없습니다.
재설정 또는 종료하지 마십시오 – 파일이 손상되었을 수 있습니다.
readme files.txt를 삭제하지 마십시오.
암호화된 파일을 제거하거나 이름을 바꾸지 마십시오.
파일 복구가 불가능할 수 있습니다.
우리의 정직한 의도를 확인하기 위해 2개의 서로 다른 파일을 보내면 해독할 수 있습니다. 중요한 정보를 포함해서는 안 되며 보관해서는 안 됩니다.
정보를 얻으려면 (파일 암호 해독) 다음 연락처로 문의하십시오.
hildaseriesnetflix125@tutanota.com 또는 hildaseriesnetflix125@horsefucker.org
답장으로 BTC 주소를받을 수 있습니다.
HILDACRYPT
로리가 안전하지 않습니다.- hxxps : //www.youtube.com/watch? v=XCojP2Ubuto
HILDACRYPT Ransomware 가 실행을 하면 C:\Users\%UserName%\AppData\Roaming{00000000-0000-0000-0000-000000000000} 폴더를 생성하여 내부에 Sysinternals Sdelete 파일(HildaloliLOVESMHTandVK_Intel.exe)과 SelfDel 파일(nflxcoreupdate_WOW64.exe)을 추가 생성하고 만들어진 파일은 일반적으로 파일 복구 및 자신의 흔적 삭제 목적으로 사용될 가능성이 있습니다. 그리고 랜섬웨어 가 헤더(Header) 부분에 HILDACRYPT 시그니처 값을 추가한 후 AES Key 정보와 AES IV 정보를 쓰고 원본 데이터를 암호화하는 방식으로 변경합니다.

랜섬웨어 노트는 HILDACRYPT v1.0 버전으로 표시하고 있고 랜섬노트 마지막에서는 유튜브(YouTube) 영상 링크가 포함된 것이 특징인데 해당 영상은 넷플릭스(Netflix) 공식 계정에서 제공하는 힐다(Hilda) 트레일러 영상입니다. 아무튼, 기본적으로 의심스러운 파일은 함부로 실행을 하지 않으며 불법다운로드는 하지 않는 것이 제일 좋은 방법이면 기본적으로 백신프로그램 실시간 업데이트,실시간 감시,윈도우 업데이트 등은 기본적으로 최신으로 업데이트를 하시고 앱체크 같은 랜섬웨어 방어프로그램을 이용해서 랜섬웨어를 예방을 하시면 도움이 될 것입니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2019.09.20 06:46 신고

    정말 희한한 랜섬웨어네요 늘 조심해야 할 것 같아요

    • Favicon of https://wezard4u.tistory.com Sakai 2019.09.20 22:36 신고

      기본적인 보안 수칙을 잘 지키면 악성코드에 감염이 되는 확률은 줄어듭니다.

  2. Favicon of https://xuronghao.tistory.com 공수래공수거 2019.09.20 07:46 신고

    조심해야할 랜섬웨워로군요..

    • Favicon of https://wezard4u.tistory.com Sakai 2019.09.20 22:37 신고

      기본적인 보안 수칙만 잘 지키만 악성코드 감염을 최소화 할수가 있습니다.

  3. Favicon of https://kangdante.tistory.com kangdante 2019.09.20 08:34 신고

    랜섬웨어에 대해 알고 갑니다
    어렵네요
    오늘도 멋진 하루되세요.. ^^

    • Favicon of https://wezard4u.tistory.com Sakai 2019.09.20 22:38 신고

      기본적인 보안수칙을 잘 지키면 악성코드 감염으로 부터 안전하게 컴퓨터를 사용을 할수가 있습니다.