Alma Ransomware 관련 이슈

2017. 3. 21. 19:35

최근 알마(Alma)로 알려진 Ransomware 변형이 RIG Exploit Kit을 통해
일반 사용자들에게 전달되는 것을 발견하였습니다.
RIG와 같은 악용 도구는 감염된 웹 서버에 숨겨져 있으며, 방문자를 감염시키는
drive-by 기법의 일부로 사용됩니다.
Alma는 감염됨 사용자로부터 돈을 훔치기 위한 일반적인 기술을 사용하는

또 다른 중재인 역할을 합니다.

 

오늘은 Alma Ransomware에 대해 포스팅하도록 하겠습니다.

 

Alma Ransomware 제작자는 Apple Inc.에서 만든 것으로 표시하여 실행 파일을 정품으로
보이도록 만들려고 했습니다.

 

1

 

트로이 목마는 TOR 네트워크의 숨겨진 서버에 다음 POST 요청을 합니다.


 


요청은 base64 인코딩을 사용하여 인코딩 됩니다.
디코딩 된 메시지는 다음과 같습니다.

 

p=OZZHTu0LitDed546XtOj1&a=Windows Defender&t=1489618916&r=hgshsgfh&o=6.3.9600&v=d42889198027beae49&s=2382&l=1033&e=vmnz&u=USER

OZZHTu0LitDed546XtOj1은 파일을 암호화 / 해독하는 데 사용되는 암호화 키입니다.
d42889198027beae49는 고유한 사용자 감염 ID입니다.
나머지 정보에는 설치된 모든 바이러스 백신 소프트웨어, Windows 버전 번호, 현재 사용자 및 암호화 된 파일에
사용되는 파일 확장명
에 대한 데이터가 포함됩니다.

다음 확장명을 가진 파일은 암호화 대상입니다.
.1cd, .3ds, .3gp, .accdb, .ai, .ape, .asp, .aspx, .bc6, .bc7, .bmp, .cdr, .cer
.cfg, .cfgx, .cpp, .cr2, .crt, .crw, .csr, .csv, .dbf, .dbx, .dcr, .dfx, .dib
.djvu, .doc, .docm, .docx, .dwg, .dwt, .dxf, .dxg, .eps, .htm, .html, .ibank
.indd, .jfif, .jpe, .jpeg, .jpg, .kdc, .kwm, .max, .md, .mdb, .mdf, .odb, .odc
.odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdf, .pef, .pem, .pfx, .php
.pl, .png, .pps, .ppt, .pptm, .pptx, .psd, .pst, .pub, .pwm, .py, .qbb, .qbw
.raw, .rtf, .sln, .sql, .sqlite, .svg, .tif, .tiff, .txt, .vcf, .wallet, .wpd
.xls, .xlsm, .xlsx, .xml

 

실행 파일을 리버스 엔지니어링 할 때 많은 노력을 기울이지 않고 읽기, 암호화, 쓰기

삭제 기능을 볼 수 있습니다.


3


다음 이미지가 화면에 표시되며 암호화 된 파일을 복구하는 방법에 대한 지침이 제공됩니다.

 


또한 피해자가 파일을 복구 할 수 있음을 입증하기 위해 일부 테스트 파일 해독을 수행 할 수 있다고

명시된 TOR 사이트 링크가 있습니다.

 

 

불행하게도, 이 무료 암호 해독은 현재 내부 서버 오류가 발생했기 때문에 현재 작동하지 않는 것으로 보입니다.


이러한 랜섬웨어 공격의 유형 때문에 사용자가 메일에 첨부되거나,
공개 게시판에 업로드 된 의심스러운 링크를 클릭하지 말 것을 경고합니다.

 

Ransomware에서 완전히 안전 할 수 있는 유일한 방법은 중요한 파일을
정기적으로 USB나 외장하드와 같은 외부 저장소에 백업하는 것 입니다

 

이번시간에는 Alma Ransomware의 감염경로 및 권고 사항에 대한 포스팅 시간이었습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.

 

 

 

Posted by 로버무트
,