Sage Ransomware 관련 이슈

최근 Sage Ransomware 변종인 Sage2.0이 활개를 치고있습니다.
Sage 2.0의 경우 피해자가 파일을 다시 가져올 때까지
피해자 파일을 강력한 암호화 알고리즘으로 암호화하는 랜섬웨어입니다.

오늘은 Sage Ransomware에 대해 포스팅을 하도록 하겠습니다.

2016년 12월 CryptoLocker의 변종인 Sage라는 새로운 Ransomware에 관한 포럼이 있었습니다.
당시 많은 피해자들이 피해 보고를 한 것이 아니기 때문에 그 사실에 대해 알려진 바가 거의 없었지만,
RIG exploit kit에 의해 배포 되고 있다고 발표되었던 Ransomware입니다.

Sage Ransomware의 대표적인 감염방식으로 다음의 아이콘을 사용합니다.

멀웨어는 다음 파일을 시스템에 추가합니다.
• Malware.exe
• %Userprofile%\Application Data\W3UoRbov.exe

트로이 목마는 다음 파일을 Windows에 추가하여 재부팅 시 지속성을 보장합니다.
• %Userprofile%\시작 메뉴\프로그램\시작\6OICFYbI
• "%Userprofile%\Application Data\W3UoRbov.exe"

트로이 목마는 Windows 레지스트리에 다음 키를 추가합니다.

컴퓨터가 손상되면 멀웨어는 자체 실행 파일을 %Userprofile%\Application Data\
폴더에 복사하고 자체 실행 파일을 삭제합니다.

멀웨어는 모든 개인 문서 및 파일을 암호화하여 다음의 웹 페이지를 표시합니다.

피해자가 Bitcoin을 사용하여 파일을 복구 할 수 있는 암호 해독키를 받도록 요구합니다.

또한 악성 코드 TCP 및 UDP 포트를 통해 C&C 통신을 수행합니다.
멀웨어는 시스템 UID를 다음 형식을 통해 자체 C&C 서버에 보냅니다.

여기에 몇 가지 예가 나와 있습니다.

아래 사진은 감염이 됐을경우 복호화 하는데 요구하는 비용입니다.
해당 기간내에 결제를 할 경우 아래의 금액을 지불하면 되지만, 그 후에는 2배로 금액이 늘게 됩니다.

Sage Ransomware의 경우 예약된 작업에 의해 지속적으로 유지되며,
사용자의 Appdata|Roaming 디렉토리에 실행파일로 저장됩니다.
유감스럽게도 현재로서는 Sage 2.0 암호화 파일을 무료로 해독 할 수 있는 방법이 없습니다.

이러한 멀웨어 공격의 유형 때문에 사용자가 메일에 첨부되거나,
공개 게시판에 업로드 된 의심스러운 링크를 클릭하지 말 것을 경고합니다.
Ransomware에서 완전히 안전 할 수 있는 유일한 방법은 중요한 파일을
정기적으로 USB나 외장하드와 같은 외부 저장소에 백업하는 것 입니다.

오늘은 Sage Ransomware에 대한 포스팅이었습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.