오늘은 지난 시간에 소개해 드린 Coronavirus 랜섬웨어 코드를 사용하는 Rubly screenlocker(Rubly Trojan)를 소개를 해 드리겠습니다. 해당 Rubly screenlocker(Rubly Trojan)은 새로운 MBR Locker가 발견되었습니다. 해당 랜섬웨어는 마스터 부트 레코드 (MBR)를 손상하면 Rubly는 또한 감염된 시스템에 저장된 데이터를 암호화했다고 주장하는데 해당 방식은 랜섬웨어 유형 악성 프로그램의 일반적인 조작 방식입니다. 해당 랜섬웨어에 감염이 되면 애나벨이 나오는 사진이 나오게 되고 다음과 같이 표시가 됩니다.
Oops your important files are encrypted
If you want to have your decryption key send an e-mail to InfoMalte@web.de
시스템 재부팅 중 표시되는 화면 포함 메시지는 다음과 같습니다. 빨간 화면이 표시되고 다음 메시지를 표시합니다.
Your PC have been fxxxxked by the Rubly Trojan.
All your important files are encrypted.
Note: After you have fixed the MBR your files are encrypted
you have 3 attempts to type the right key.
For the key please contact:
rublytrojan@gmail.com or InfoMalte@web.de
일단 중요파일이 암호화가 되고 앞서 이야기한 MBR(마스터부트레코드) 부분이 암호화가 되며 올바른 키3번을 입력을 요구하고 연락처는 rublytrojan@gmail.com 또는 InfoMalte@web.de 인 것을 볼 수가 있는데 여기서 보안 메일을 사용하지 않고 Gmail를 사용을 하는 것을 보면 아마도 추적을 따돌리는 것에 자신이 있는 모습인 것 같습니다.
그리고 해당 악성코드는 다음 특징은 다음과 같습니다.
MD5 296e55388cb802fbe261f9cd00668ed7
SHA-1 78832090f1e856065de6bf1fd3c1a4884fad491a
SHA-256 fba31181ed1957e81c452fa1e860414d3a2bd2da470074a32f196f873a37d9ad
[소프트웨어 팁/보안] - WiseCleaner 시스템 최적화 소프트웨어 및 유틸리티 사칭 신종코로나 랜섬웨어(CoronaVirus Ransomware)
파일 오픈
C:\Windows\system32\version.dll
C:\Users\<사용자>\Downloads\DXGIDebug.dll
C:\Windows\system32\sfc_os.dll
C:\Windows\system32\SSPICLI.DLL
C:\Windows\system32\rsaenh.dll
C:\Windows\system32\UXTheme.dll
C:\Windows\system32\dwmapi.dll
C:\Windows\system32\cryptbase.dll
C:\Users\<사용자>\Downloads\lpk.dll
C:\Users\<사용자>\Downloads\usp10.dll
C:\Users\<사용자>\Downloads\clbcatq.dll
C:\Users\<사용자>\Downloads\comres.dll
C:\Users\<사용자>\Downloads\ws2_32.dll
C:\Users\<사용자>\Downloads\ws2help.dll
C:\Users\<사용자>\Downloads\psapi.dll
C:\Users\<사용자>\Downloads\ieframe.dll
C:\Users\<사용자>\Downloads\ntshrui.dll
C:\Users\<사용자>\Downloads\atl.dll
C:\Users\<사용자>\Downloads\setupapi.dll
C:\Users\<사용자>\Downloads\apphelp.dll
C:\Users\<사용자>\Downloads\userenv.dll
C:\Users\<사용자>\Downloads\netapi32.dll
C:\Users\<사용자>\Downloads\shdocvw.dll
C:\Users\<사용자>\Downloads\crypt32.dll
C:\Users\<사용자>\Downloads\msasn1.dll
C:\Users\<사용자>\Downloads\cryptui.dll
C:\Users\<사용자>\Downloads\wintrust.dll
C:\Users\<사용자>\Downloads\shell32.dll
C:\Users\<사용자>\Downloads\secur32.dll
C:\Users\<사용자>\Downloads\cabinet.dll
C:\Users\<사용자>\Downloads\oleaccrc.dll
C:\Users\<사용자>\Downloads\ntmarta.dll
C:\Users\<사용자>\Downloads\profapi.dll
C:\Users\<사용자>\Downloads\WindowsCodecs.dll
C:\Users\<사용자>\Downloads\srvcli.dll
C:\Users\<사용자>\Downloads\cscapi.dll
C:\Users\<사용자>\Downloads\slc.dll
C:\Users\<사용자>\Downloads\imageres.dll
C:\Users\<사용자>\Downloads\dnsapi.DLL
C:\Users\<사용자>\Downloads\iphlpapi.DLL
C:\Users\<사용자>\Downloads\WINNSI.DLL
C:\Users\<사용자>\Downloads\netutils.dll
C:\Users\<사용자>\Downloads\mpr.dll
C:\Users\<사용자>\Downloads\devrtl.dll
C:\Users\<사용자>\Downloads\propsys.dll
C:\Users\<사용자>\Downloads\mlang.dll
C:\Users\<사용자>\Downloads\samcli.dll
C:\Users\<사용자>\Downloads\samlib.dll
C:\Users\<사용자>\Downloads\wkscli.dll
C:\Users\<사용자>\Downloads\dfscli.dll
C:\Users\<사용자>\Downloads\browcli.dll
C:\Users\<사용자>\Downloads\rasadhlp.dll
C:\Users\<사용자>\Downloads\dhcpcsvc6.dll
C:\Users\<사용자>\Downloads\dhcpcsvc.dll
C:\Users\<사용자>\Downloads\XmlLite.dll
C:\Users\<사용자>\Downloads\linkinfo.dll
C:\Users\<사용자>\Downloads\cryptsp.dll
C:\Users\<사용자>\Downloads\RpcRtRemote.dll
C:\Users\<사용자>\Downloads\aclui.dll
C:\Users\<사용자>\Downloads\dsrole.dll
C:\Users\<사용자>\Downloads\peerdist.dll
C:\Windows\system32\riched20.dll
C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2
C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\COMCTL32.dll
C:\Windows\WindowsShell.Manifest
C:\Windows\system32\WindowsCodecs.dll
C:\Users\<사용자>\Downloads\mtrmbr.exe
C:\Windows\win.ini
[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
C:\Windows\system32\shell32.dll
C:\Windows\syswow64\SHELL32.dll
C:\Program Files (x86)\Common Files\microsoft shared\ink\tiptsf.dll
C:\Windows\system32\ole32.dll
C:\ProgramData
C:\ProgramData\Microsoft
C:\ProgramData\Microsoft\Windows
C:\ProgramData\Microsoft\Windows\Start Menu
C:\ProgramData\Microsoft\Windows\Start Menu\Programs
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
__tmp_rar_sfx_access_check_361984
C:\Users\<사용자>\Downloads\
mbr.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\mbr.exe
mtr.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\mtr.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\mbr.exe
C:\Windows\system32\PROPSYS.dll
C:\Users\<사용자>\AppData\Local\Microsoft\Windows\Caches
C:\Users\<사용자>\AppData\Local\Microsoft\Windows\Caches\cversions.1.db
C:\Windows\system32\ntmarta.dll
C:\Users\<사용자>\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x000000000000000e.db
C:\Users\<사용자>\Desktop\desktop.ini
C:\Windows\system32\profapi.dll
C:\Windows\SysWOW64\propsys.dll
C:\Windows\system32\propsys.dll
C:\Windows\SysWOW64\urlmon.dll
C:\Users\<사용자>\AppData\Local\Microsoft\Windows\Temporary Internet Files
[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
C:\Users\<사용자>\AppData\Roaming\Microsoft\Windows\Cookies
C:\ProgramData\Microsoft\
C:\ProgramData\Microsoft\Windows\Start Menu\
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp입니다. 일단 지난 시간에 소개해 드린 것처럼 기본적으로 랜섬웨어예방플고그램을 설치를 해두고 수동으로 지난 시간에 소개해 드린 MBR 보호하는 방법을 적어 드렸는데 해당 방법을 통해서 MBR를 보호를 할 수가 있습니다.
최근에 신종코로나바이러스, 코로나 19(COVID-19) 때문에 전 세계적으로 감염 및 사망자가 나오고 있습니다. 의료진 또는 의료기관 등도 공격대상이 포함돼 있으니까 의료기관 등에서는 이런 랜섬웨어에 감염이 되면 더 치명적이기 때문에 반드시 윈도우 최신업데이트 및 백신프로그램 최신 업데이트,실시간 감시를 해두는 것도 좋은 방법일 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
Firefox 74.0.1, Firefox ESR 68.6.1(파이어폭스 74.0.1)보 안 업데이트 (2) | 2020.04.05 |
---|---|
코로나 19 사태를 악용한 WHO 사칭 피싱 사이트 발견 (2) | 2020.04.03 |
윈도우 10(Windows 10) KB4554342 네트워크 버그 업데이트 (6) | 2020.04.02 |
윈도우 10(Windows 10)에 새로운 네트워크 연결 문제 발견 (13) | 2020.03.31 |
Windows 10(윈도우 10) KB4541335 선택적 누적 업데이트 (5) | 2020.03.27 |
코로나 19(COVID-19)를 악용한 가짜 백신프로그램 주의 (6) | 2020.03.26 |
모든 윈도우에 영향을 받는 보안 패치를 하지 않은 RCE 결함 2개 취약점 (6) | 2020.03.25 |
신종 코로나 바이러스(COVID-19)로 인한 Microsoft Edge 브라우저 버전을 일시 중지 (0) | 2020.03.25 |