FireCrypt Ransomware 관련 이슈

이번에 소개해드릴 Ransomware는 FireCrypt라는 Ransomware입니다.
BleedGreen 이라는 악성 코드 Kit에 의해 생성된 Ransomware로, 최근 Sonicwall 연구팀에서도
해당 Ransomware에 관한 보고서를 받았습니다.

이 BleedGreen Kit은 Pakistan Telecommunication Authority 웹 사이트의 DDoS를 포함하여 제공되는
제한된 옵션을 기반으로 FireCrypt 실행 파일을 생성하는데 사용됩니다.

FireCrypt 작성자는 고유한 Ransomware 실행 파일을 생성하고, 사용자 정의 이름을 지정하며,
개인화된 파일 아이콘을 사용할 수 있습니다.
.NET 4.0을 실행 해야하는 Kit은 구성 인터페이스로 Windows 명령 프롬프트를 사용합니다.
내장 된 기능에 대해 언급하고 생성 된 맬웨어 실행 파일에 아이콘을 제공하는 옵션을 제공합니다.

생성된 파일이 대상 컴퓨터에서 실행되면 작업 관리자가 실행 중일 때 종료되고, 다음의 DNS 쿼리가 생성됩니다.
"www.pta.gov.pk"
파키스탄 전기 통신국 (Pakistan Telecommunication Authority) 웹 사이트와의 다음 통신은 비효율적인 것으로

보이지만 의도된 DDoS 공격의 일부라고 생각됩니다.
그리고 이 URL은 Ransomware의 빌더를 사용하여 수정할 수 없습니다.

트로이 목마는 파일 시스템을 검사하여 암호화 할 파일을 찾습니다.
실행 파일에 포함된 자바 스크립트 코드는 멀웨어가 AES-256을 사용하여

암호화 할 파일 확장명 목록을 표시합니다.

그리고 다음의 파일을 파일 시스템에 추가합니다.

%USERPROFILE%\시작 메뉴\프로그램\시작 프로그램\EkstrwhbiMZYosv.exe (원본 복사본)
%USERPROFILE%\Desktop\tFyROkGeXTevLgT-filesencrypted.html
%USERPROFILE%\Desktop\tFyROkGeXTevLgT-READ_ME.html
%USERPROFILE%\Local Settings\Temp\dbgRKSvXIYceWvY- (num).html x453 (num은 1 - 453 사이의 숫자)
tFyROkGeXTevLgT-filesencrypted.html에는 트로이 목마에 의해 암호화 된 파일 목록이 포함되어 있습니다.
tFyROkGeXTevLgT-READ_ME.html에 다음 메시지가 있습니다.

대부분의 Ransomware와 마찬가지로 FireCrypt는 지불 방법으로 Bitcoin을 사용합니다.

현재로서는 FireCrypt로 암호화 된 파일을 복구하는 방법에 대해서는 알려진 바가 없습니다.
이 위협에 감염되어 피해자가 $ 500의 몸값을 지불할 능력이 없거나 내키지 않는 피해자는 암호화 된
파일의 사본을 보관해야하며, 향후 해독기가 공개 될 가능성이 있습니다.

이러한 트로이 목마의 피해를 최소화 하기위해 우선적으로 해야할 일은
첫째, 사용하고 있는 PC의 윈도우 및 백신 프로그램을 최신버전으로 업그레이드 해야합니다.
둘째, C&C 서버로 보내지는것을 차단하기 위해 사내에서 사용하는 방화벽, 네트워크 구간에서 차단하면
피해를 최소화 할 수 있습니다.
셋째, 윈도우 백업을 주기적으로 해주어야 합니다.

이번에는 FireCrypt Ransomware 관련 이슈를 올려드렸습니다.
다음에도 유익한 정보 올릴 수 있도록 하겠습니다.
감사합니다.