코로나 19(신종코로나)사태를 악용한 .ncov 랜섬웨어

꿈을꾸는 파랑새

중국(China)에서 시작되어서 코로나 19 바이러스(COVID-19)가 국내에서도 많은 확진자가 나오면서 문제가 되는 상에서 해당 이슈를 악용한 사회공학적 공격을 제작된 랜섬웨어인. ncov 랜섬웨어 에 대해 알아보겠습니다. 일단 코로나 19는 2019년12월1일 중국 후베이성 우한시 에 발견이 되어서 2019년12월12일 최초 보고된 중증급성호흡기증후군이며 최초 발생 원인과 전파 경우로는 아직 정확하게 밝혀지지 않고 있으며 신종코로나바이러스에서 최근 코로나 19(COVID-19)로 변경이 되었으며 아무튼 해당 코로나 19(COVID-19)가 전 세계적인 뉴스로 다루어지는 것을 악용해서 사회공학적 공격을 한 것으로 생각됩니다.

일단 랜섬웨어라서 감염이 되면 당연히 중요파일들을 암호화해서 돈을 요구하는 방식을 사용하고 있습니다. 최근 코로나 19 바이러스 이름을 사용하는 CrySis 랜섬웨어(CrySis Ransomware)가 국내에서 은밀하게 감염 활동이 시작되었습니다. 보안 제품들에서 진단하고 있습니다.
GenericRXEA-GI!CB2A82522C2B,Ransom:Win32/Wadhrama,Win32/Trojan.Ransom.Crusis.A,Ransom.Crysis,Troj/Criakl-G,Ransom.Crysis/Variant 등으로 진단하고 있습니다. 즉 기본적으로 백신프로그램에서는 기본적으로 진단하고 있습니다. 파일 이름은 1corona.exe 이며 일단 감염이 되면 다음 경로를 감염을 시킵니다.
c:\users\{사용자 이름}\appdata\roaming\microsoft\windows\start menu\programs\startup\1corona.exe
공격자가 원격 제어(RDP) 방식으로 시스템에 접근하여 추가적인 폴더를 생성하고 랜섬웨어 악성 파일을 다운로드 및 실행을 진행합니다. 그리고 CrySis 랜섬웨어에 의해 암호화된 파일들은 .id-Random).(coronavirus@qq.com).ncov 파일 확장 명으로 변경되고 해당 과정에서 다음과 같은 위치에 자신을 추가하여 윈도우 부팅 시마다 자동 실행하게 할 수 있습니다.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
C:\Users\%UserName%\AppData\Roaming\1corona.exe
C:\Windows\System32\1corona.exe
입니다.

코로나 19(신종코로나)사태를 악용한 .ncov 랜섬웨어 랜섬 노트코로나 19(신종코로나)사태를 악용한 .ncov 랜섬웨어 랜섬 노트

랜섬노트는 팝업에는 coronavirus@qq.com 라는 메세지가 있고 다음과 같이 랜섬노트를 사용자에게 보여 줍니다.
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail coronavirus@qq.com
Write this ID in the title of your message XXXXXX
In case of no answer in 24 hours write us to theese e-mails:coronavirus@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxxs://localbitcoins[dot]com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxxs://www.coindesk[dot]com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
즉 쉽게 이야기하면 비트코인 안주면 복구 불가능 그리고 샘플로 한 개는 풀어주겠습니다.비트코인 없으면 돈을 주고 입금해주세요. 접속을 시도하는 IP는 40.81.188.XX(일본)으로 접속을 하면 레지스터리는 에 다음을 변경합니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ClientForNFS\CurrentVersion\Default
입니다. 딱 견적이 나오죠. 자동으로 실행하게 해놓았습니다. 일단 이런 악성코드에 감염되지 않으려면 기본적으로 윈도우 업데이트를 잘하시고 그리고 백신프로그램은 기본적으로 유료, 무료 버전을 사용하든 간에 실시간 감시, 자동 업데이트는 해야 합니다. 그리고 랜섬웨어 보호 프로그램을 설치를 해주는 것도 나쁘지 않을것입니다. 그리고 해당 랜섬웨어는 윈도우 시스템에서 제공하는 원격 데스크톱(RDS) 기능을 사용하는 시스템을 대상으로 무차별 대입 공격(Brute Force Attack)을 통해 허술한 비밀번호와 계정명을 사용할 경우 뚫릴 수 있을수가 있으므로 계정 및 비밀번호를 수정하시길 바랍니다. 시스템 복원 무력화(vssadmin delete shadows /all /quiet) 및 설치된 보안 제품 기능들을 종료하고 랜섬웨어를 실행하며 그리고 WOL(Wake on LAN) 기능이 활성화된 컴퓨터, 노트북이 원격 제어 기능을 사용할 때 잠자는 PC를 종료한 상태에서도 공격자가 PC를 깨우고 랜섬웨어 감염을 시키는 사례가 있다고 하므로 BIOS(바이오스)에서 WOL 기능을 비활성화하시길 바랍니다. 갈수록 랜섬웨어 성능이 좋아지고 있어서 항상 조심을 해야 합니다.



이 글을 공유합시다

facebook twitter googleplus kakaoTalk kakaostory naver band

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2020.02.29 06:56 신고

    랜섬웨어는 코로나도 그냥 두지 않는군요 잘 확인하고 갑니다

    • Favicon of https://wezard4u.tistory.com Sakai 2020.03.01 23:34 신고

      전세계인 이슈이기 떄문에 사회공학적으로 악용을 하는것 같습니다.

  2. Favicon of https://prolite.tistory.com IT세레스 2020.03.01 19:15 신고

    코로나 랜섬웨어까지 어디까지 가려나 모르겠습니다.

  3. Favicon of https://perfume700.tistory.com 아이리스. 2020.03.02 18:24 신고

    이 시기를 이용한 랜섬웨어까지 기승을 부리는군요
    조심해야겠어요..ㅠ.ㅠ

    • Favicon of https://wezard4u.tistory.com Sakai 2020.03.03 01:25 신고

      스팸 메일을 통해서도 개인정보 탈취 하려고 시도를 하고 있습니다.

  4. Favicon of https://www.neoearly.net 라디오키즈 2020.03.02 19:49 신고

    하아. 진짜 이런 시국에 저런 짓이나 하는 것들은... 응징해주고 싶습니다!!!

    • Favicon of https://wezard4u.tistory.com Sakai 2020.03.03 01:25 신고

      전세계적인 이슈다 보니 사회공학적 기법을 통해서 금적전인 이득을 취할려고 하는 행동인것 같습니다.