꿈을꾸는 파랑새

오늘은 지난 시간에 소개해 드린 Coronavirus 랜섬웨어 코드를 사용하는 Rubly screenlocker(Rubly Trojan)를 소개를 해 드리겠습니다. 해당 Rubly screenlocker(Rubly Trojan)은 새로운 MBR Locker가 발견되었습니다. 해당 랜섬웨어는 마스터 부트 레코드 (MBR)를 손상하면 Rubly는 또한 감염된 시스템에 저장된 데이터를 암호화했다고 주장하는데 해당 방식은 랜섬웨어 유형 악성 프로그램의 일반적인 조작 방식입니다. 해당 랜섬웨어에 감염이 되면 애나벨이 나오는 사진이 나오게 되고 다음과 같이 표시가 됩니다.
Oops your important files are encrypted
If you want to have your decryption key send an e-mail to InfoMalte@web.de
시스템 재부팅 중 표시되는 화면 포함 메시지는 다음과 같습니다. 빨간 화면이 표시되고 다음 메시지를 표시합니다.
Your PC have been fxxxxked by the Rubly Trojan.
All your important files are encrypted.
Note: After you have fixed the MBR your files are encrypted
you have 3 attempts to type the right key.
For the key please contact:
rublytrojan@gmail.com or InfoMalte@web.de
일단 중요파일이 암호화가 되고 앞서 이야기한 MBR(마스터부트레코드) 부분이 암호화가 되며 올바른 키3번을 입력을 요구하고 연락처는 rublytrojan@gmail.com 또는 InfoMalte@web.de 인 것을 볼 수가 있는데 여기서 보안 메일을 사용하지 않고 Gmail를 사용을 하는 것을 보면 아마도 추적을 따돌리는 것에 자신이 있는 모습인 것 같습니다.
그리고 해당 악성코드는 다음 특징은 다음과 같습니다.

 

Rubly screenlocker(Rubly Trojan)

 

MD5 296e55388cb802fbe261f9cd00668ed7
SHA-1 78832090f1e856065de6bf1fd3c1a4884fad491a
SHA-256 fba31181ed1957e81c452fa1e860414d3a2bd2da470074a32f196f873a37d9ad

[소프트웨어 팁/보안] - WiseCleaner 시스템 최적화 소프트웨어 및 유틸리티 사칭 신종코로나 랜섬웨어(CoronaVirus Ransomware)

WiseCleaner 시스템 최적화 소프트웨어 및 유틸리티 사칭 신종코로나 랜섬웨어(CoronaVirus Ransomware)

최근 중국에서 시작해서 전 세계적으로 전염병이 유행하는 신종코로나(코로나 19, CoronaVirus)을 악용한 랜섬웨어가 다시 유포가 되기 시작을 했습니다. 해당 랜섬웨어는 특징은 가짜 웹 사이트를 통해 배포되어..

wezard4u.tistory.com

파일 오픈
C:\Windows\system32\version.dll
C:\Users\<사용자>\Downloads\DXGIDebug.dll
C:\Windows\system32\sfc_os.dll
C:\Windows\system32\SSPICLI.DLL
C:\Windows\system32\rsaenh.dll
C:\Windows\system32\UXTheme.dll
C:\Windows\system32\dwmapi.dll
C:\Windows\system32\cryptbase.dll
C:\Users\<사용자>\Downloads\lpk.dll
C:\Users\<사용자>\Downloads\usp10.dll
C:\Users\<사용자>\Downloads\clbcatq.dll
C:\Users\<사용자>\Downloads\comres.dll
C:\Users\<사용자>\Downloads\ws2_32.dll
C:\Users\<사용자>\Downloads\ws2help.dll
C:\Users\<사용자>\Downloads\psapi.dll
C:\Users\<사용자>\Downloads\ieframe.dll
C:\Users\<사용자>\Downloads\ntshrui.dll
C:\Users\<사용자>\Downloads\atl.dll
C:\Users\<사용자>\Downloads\setupapi.dll
C:\Users\<사용자>\Downloads\apphelp.dll
C:\Users\<사용자>\Downloads\userenv.dll
C:\Users\<사용자>\Downloads\netapi32.dll
C:\Users\<사용자>\Downloads\shdocvw.dll
C:\Users\<사용자>\Downloads\crypt32.dll
C:\Users\<사용자>\Downloads\msasn1.dll
C:\Users\<사용자>\Downloads\cryptui.dll
C:\Users\<사용자>\Downloads\wintrust.dll
C:\Users\<사용자>\Downloads\shell32.dll
C:\Users\<사용자>\Downloads\secur32.dll
C:\Users\<사용자>\Downloads\cabinet.dll
C:\Users\<사용자>\Downloads\oleaccrc.dll
C:\Users\<사용자>\Downloads\ntmarta.dll
C:\Users\<사용자>\Downloads\profapi.dll
C:\Users\<사용자>\Downloads\WindowsCodecs.dll
C:\Users\<사용자>\Downloads\srvcli.dll
C:\Users\<사용자>\Downloads\cscapi.dll
C:\Users\<사용자>\Downloads\slc.dll
C:\Users\<사용자>\Downloads\imageres.dll
C:\Users\<사용자>\Downloads\dnsapi.DLL
C:\Users\<사용자>\Downloads\iphlpapi.DLL
C:\Users\<사용자>\Downloads\WINNSI.DLL
C:\Users\<사용자>\Downloads\netutils.dll
C:\Users\<사용자>\Downloads\mpr.dll
C:\Users\<사용자>\Downloads\devrtl.dll
C:\Users\<사용자>\Downloads\propsys.dll
C:\Users\<사용자>\Downloads\mlang.dll
C:\Users\<사용자>\Downloads\samcli.dll
C:\Users\<사용자>\Downloads\samlib.dll
C:\Users\<사용자>\Downloads\wkscli.dll
C:\Users\<사용자>\Downloads\dfscli.dll
C:\Users\<사용자>\Downloads\browcli.dll
C:\Users\<사용자>\Downloads\rasadhlp.dll
C:\Users\<사용자>\Downloads\dhcpcsvc6.dll
C:\Users\<사용자>\Downloads\dhcpcsvc.dll
C:\Users\<사용자>\Downloads\XmlLite.dll
C:\Users\<사용자>\Downloads\linkinfo.dll
C:\Users\<사용자>\Downloads\cryptsp.dll
C:\Users\<사용자>\Downloads\RpcRtRemote.dll
C:\Users\<사용자>\Downloads\aclui.dll
C:\Users\<사용자>\Downloads\dsrole.dll
C:\Users\<사용자>\Downloads\peerdist.dll
C:\Windows\system32\riched20.dll
C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2
C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\COMCTL32.dll
C:\Windows\WindowsShell.Manifest
C:\Windows\system32\WindowsCodecs.dll
C:\Users\<사용자>\Downloads\mtrmbr.exe
C:\Windows\win.ini

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

오늘은 랜섬웨어로 부터 하드디스크에서 중요한 MBR를 보호하는 방법에 대해 알아보겠습니다. 먼저 MBR이라는것을 알아야 합니다. MBR 또는 마스터 부트 레코드 는 디스크 파티션 및 파일 시스템 구성에 대한 정보..

wezard4u.tistory.com

 

 

C:\Windows\system32\shell32.dll
C:\Windows\syswow64\SHELL32.dll
C:\Program Files (x86)\Common Files\microsoft shared\ink\tiptsf.dll
C:\Windows\system32\ole32.dll
C:\ProgramData
C:\ProgramData\Microsoft
C:\ProgramData\Microsoft\Windows
C:\ProgramData\Microsoft\Windows\Start Menu
C:\ProgramData\Microsoft\Windows\Start Menu\Programs
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
__tmp_rar_sfx_access_check_361984
C:\Users\<사용자>\Downloads\
mbr.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\mbr.exe
mtr.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\mtr.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\mbr.exe
C:\Windows\system32\PROPSYS.dll
C:\Users\<사용자>\AppData\Local\Microsoft\Windows\Caches
C:\Users\<사용자>\AppData\Local\Microsoft\Windows\Caches\cversions.1.db
C:\Windows\system32\ntmarta.dll
C:\Users\<사용자>\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x000000000000000e.db
C:\Users\<사용자>\Desktop\desktop.ini
C:\Windows\system32\profapi.dll
C:\Windows\SysWOW64\propsys.dll
C:\Windows\system32\propsys.dll
C:\Windows\SysWOW64\urlmon.dll
C:\Users\<사용자>\AppData\Local\Microsoft\Windows\Temporary Internet Files

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

앱체크(APP Check)이라는 프로그램은 한국의 보안 업체 중 하나인 CheckMAL에서 제작을 하여서 제공하는 랜섬웨어 보호 도구입니다. 일단 개인이 사용하는 비영리 버전과 기업에서 사용하는 프로 버전이 있습니다...

wezard4u.tistory.com

C:\Users\<사용자>\AppData\Roaming\Microsoft\Windows\Cookies
C:\ProgramData\Microsoft\
C:\ProgramData\Microsoft\Windows\Start Menu\
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp입니다. 일단 지난 시간에 소개해 드린 것처럼 기본적으로 랜섬웨어예방플고그램을 설치를 해두고 수동으로 지난 시간에 소개해 드린 MBR 보호하는 방법을 적어 드렸는데 해당 방법을 통해서 MBR를 보호를 할 수가 있습니다.

최근에 신종코로나바이러스, 코로나 19(COVID-19) 때문에 전 세계적으로 감염 및 사망자가 나오고 있습니다. 의료진 또는 의료기관 등도 공격대상이 포함돼 있으니까 의료기관 등에서는 이런 랜섬웨어에 감염이 되면 더 치명적이기 때문에 반드시 윈도우 최신업데이트 및 백신프로그램 최신 업데이트,실시간 감시를 해두는 것도 좋은 방법일 것입니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band