TrumpLocker Ransomware 관련 이슈
2017. 3. 6. 17:59최근 감염 PC 파일을 무단 암호화하고 미국 대통령인 도널드 트럼프 미국 대통령 얼굴 사진을
띄우면서 복구 비용을 요구하는 랜섬웨어가 등장했습니다.
이 랜섬웨어의 이름은 TrumpLocker라고 하는데, 오늘은 TrumpLocker에 대해 포스팅 하겠습니다.
TrumpLocker라는 이름의 Ransomware를 만든 범죄자들은 현 미국 대통령의 행정에 관한
뉴스에서 벌어지는 모든 소란을 분명히 이용하고 있는 것 처럼 보이며,
현재의 사건을 이용하기 위해 악성 코드를 사용자 정의하는 매우 일반적인 방법을 사용하고 있습니다.
TrumpLocker는 압축파일의 형태이고 이메일에 첨부되어 유포되고 있습니다.
파일 압축을 풀면 PDF문서로 위장한 실행파일이 나오는데 이를 실행 할 경우 감염이 됩니다.
TrumpLocker는 다음 파일의 속성을 이용합니다.
실행시 다음의 DNS 쿼리를 작성합니다.
원격 서버에 대한 연결을 설정합니다.
또한 다음의 파일을 삭제합니다.
• %Desktop%\RansomNote.exe
• %Desktop%\What happen to my files.txt?
“what files to my files.txt"파일에는 파일을 다시 얻는 방법에 대한 지침이 들어있습니다.
아래는 What files to my files.txt 파일의 내용입니다.
--- The Trump Locker ---
Unfortunately, you are hacked.
1. What happened to my files? Your personal files, including your photos, documents, videos and other important files on this computer, have been encrypted with RSA-4096, the strongest encryption algorithm. RSA algorithm generates a public key and a private key for your computer. The public key was used to encrypt your files a moment ago. The private key is necessary for you to decrypt and recover your files. Now, your private key is stored on our secret Internet server. And there is no doubt that no one can recover your files without your private key. For further information about RSA algorithm, please refer to https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. How to decrypt my files? To decrypt and recover your files, you have to pay #ramt# US Dollars for the private key and decryption service. Please note that you have ONLY 72 HOURS to complete your payment. If your payment do not be completed within time limit, your private key will be deleted automatically by our server. All your files will be permanently encrypted and nobody can recover them. Therefore, it is advised that you'd better not waste your time, because there is no other way to recover your files except making a payment.
3. How to pay for my private key? There are three steps to make a payment and recover your files:
1). For the security of transactions, all the payments must be completed via Bitcoin network. Thus, you need to exchange #ramt# US dollars (or equivalent local currencies) to Bitcoins, and then send these Bitcoins (about #btc# BTC) to the following address. 1N82pq3XovKoJYqUmTrRiXftpNHZyu4jyv
2). Send your personal ID to our official email: TheTrumpLocker@mail2tor.com Your personal ID is: #id#
3). You will receive a decryptor and your private key to recover all your files within one working day.
4. What is Bitcoin? Bitcoin is an innovative payment network and a new kind of money. It is based on an open-source cryptographic protocol that is independent of any central authority. Bitcoins can be transferred through a computer or a smartphone withour an intermediate financial institution.
5. How to make a payment with Bitcoin? You can make a payment with Bitcoin based on Bitcoin Wallet or Based on Perfect Money. You can choose the way that is more convenient for you. About Based on Bitcoin Wallet
1) Create a Bitcoin Wallet. We recommend Blockchain.info (https://blockchain.info/)
2) Buy necessary amount of Bitcoins. Our recommendations are as follows. LocalBitcoins.com -- the fastest and easiest way to buy and sell Bitcoins. CoinCafe.com -- the simplest and fastest way to buy, sell and use Bitcoins. BTCDirect.eu -- the best for Europe. CEX.IO -- Visa / MasterCard CoinMama.com -- Visa / MasterCard HowToBuyBitcoins.info -- discover quickly how to buy and sell Bitcoins in youWr local currency.
3) As mentioned above, send about #btc# BTC (equivalent to #ramt# USD) to our Bitcoin receiving address.
4) As mentioned above, and then, send us your personal ID via email, you will receive your private key soon. About Based on Perfect Money
1) Create a Perfect Money account. (https://perfectmoney.is)
2) Visit to PMBitcoin.com. (https://pmbitcoin.com/btc) input our Bitcoin receiving address in the \"Bitcoin Wallet\" textbox. input #ramt# in the \"Amount\" textbox, the amount of Bitcoin will be calculated automatically. click \"PAY\" button, then you can complete you payment with your Perfect Money account and local debit card.
6. If you have any problem, please feel free to contact us via official email. Best Regards The Trump Locker Team
내용을 요약 해보면
1. 피해자 PC의 사진,문서,비디오 등의 파일들은 RSA-4096으로 암호화 하였다
2. 파일을 복구하려면 72시간 내에 돈을 지불해야 한다.($150)
3. 개인키를 지불하기 위한 3가지 방법에 대한 내용
4 .bitcoin에 대해 설명하는 내용
5. bitcoin으로 결제하는 방법에 대한 내용과
쉽게 bitcoin을 얻을 수 있는 방법에 대한 내용
6. 문제가 생길 경우 자신에게 문의를 하라는 내용입니다.
이 Ransomware의 경우 72시간 내에 복구비용을 지불하라고 합니다.
복구비용은 150달러(약 170만원)정도로 제법 액수가 크다고 할 수 있습니다.
또한 피해자 PC의 바탕화면 배경을 변경하고 지불 방법에 대한 지침과 함께 경고를 표시합니다.
그리고 RansomNote.exe 파일을 실행시켜 미국 대통령 사진과 함께 시작 페이지를 표시합니다.
재부팅 시 이 경고 페이지가 표시되도록 하기 위해 다음 키를 레지스트리에 추가합니다.
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TheTrumpLocker%Desktop%\RansomNote.exe
감염이 된 파일들은 “.TheTrumpLockerf”, “.TheTrumpLockerp”의 확장자로 변경됩니다.
이 TrumpLocker는 VenusLocker 기반으로 제작된 Ransomware이며,
VenusLocker와 동일한 소스코드로 이루어져 있습니다.
이러한 랜섬웨어 공격의 유형 때문에 사용자가 메일에 첨부되거나,
공개 게시판에 업로드 된 의심스러운 링크를 클릭하지 말 것을 경고합니다.
Ransomware에서 완전히 안전 할 수 있는 유일한 방법은 중요한 파일을
정기적으로 USB나 외장하드와 같은 외부 저장소에 백업하는 것 입니다.
오늘은 TrumpLocker Ransomware에 대한 포스팅이었습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.