업데이트 된 Sage Ransomware 관련 이슈

지난번 다루었던 Sage Ransomware는 사이버 범죄에 의한 개발을 계속하고 있으며
최근에 업데이트를 하였습니다.
평소처럼 이 ransomware는 개인 문서, 이미지, 데이터베이스, 비디오 및 기타 파일을 암호화하여
사용하지 못하게 합니다.

 

그러나 최근에 업데이트 된 Sage 2.2의 경우 새롭게 변화된 사항이 몇 개 있는데,
오늘은 Sage 2.2 Ransomware에 대해 포스팅 하겠습니다.

 

업데이트된 Sage2.2의 경우 경고 페이지에 약간의 상세페이지 뿐만 아니라 Windows 경고 메시지를
하기 위하여 TTS 엔진을 이용합니다.
오디오 경고는 사용자에게 감염 및 파일 암호화를 알립니다.
또한 이전에 $2000 였던 해독 비용은 이제 $800 로 줄어 들었습니다.

 

이 트로이 목마는 다음의 아이콘을 사용합니다.

 

트로이 목마는 파일 시스템에 다음 파일을 추가합니다.
• %SYSTEMROOT%\! HELP_SOS.hta
• %ALLUSERSPROFILE%\Desktop\! HELP_SOS.hta
• %ALLUSERSPROFILE%\Documents\! HELP_SOS.hta
• %APPDATA%\f1.hta
• %APPDATA%\En3QVWV9.exe
• %APPDATA%\Microsoft\Speech\Files\UserLexicons \SP_029A022514CA4689BAFB15AF07CD496A.dat
• %USERPROFILE%\ Desktop \! HELP_SOS.hta
• %USERPROFILE%\Local Settings\Temp\aV2.bmp
• %USERPROFILE%\My Documents\! HELP_SOS.hta
• %SYSTEM32 %\CatRoot2\tmp.edb

 

트로이 목마는 다음 키를 레지스트리에 추가합니다.
• HKEY_CLASSES_ROOT\.sage @ “sage.notice”
• HKEY_CLASSES_ROOT\sage.notice\DefaultIcon @ “%WinDir%\system32\shell32.dll, 47″
• HKEY_CLASSES_ROOT\sage.notice\FriendlyTypeName @ “SAGE로 암호화 됨”
• HKEY_CLASSES_ROOT\sage.notice\shell\open\command @ “mshta.exe”%APPDATA%\f1.hta “”% 1 “”
• HKEY_CURRENT_USER\Software\Microsoft\Speech\Voices DefaultTokenId “HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Speech\Voices\Tokens\MSSam”
• HKEY_CURRENT_USER\Software\Classes\.sage @ “sage.notice”
• HKEY_CURRENT_USER\Software\Classes\htafile\DefaultIcon @ “%WinDir%\system32\shell32.dll, 44″
• HKEY_CURRENT_USER\Software\Classes\sage.notice\DefaultIcon @ “% WinDir % \ system32 \shell32.dll, 47″
• HKEY_CURRENT_USER\Software\Classes\sage.notice\FriendlyTypeName @ “SAGE로 암호화 됨”
• HKEY_CURRENT_USER\Software\Classes\sage.notice\shell\open\command “”mshta.exe “% APPDATA%\f1.hta” “%1″ ”

 

aV2.bmp 는 감염 후 바탕 화면 배경에 표시되는 다음 이미지를 포함합니다.

 

! HELP_SOS.hta 는 배경에 표시되는 다음 이미지를 포함합니다.

 

Sage는 파일을 암호화하고 .sage 파일 확장명으로 파일 이름을 바꿉니다.
암호화 하는동안 키가 원격 서버로 전송됩니다.

 

키 서버로부터 응답이 없으면 Sage는 UDP를 통해 연락을 시도합니다.
키 서버에 전달되기를 기대하면서 다양한 사전 정의 된 IP주소로 키를 브로드 캐스팅합니다.

이제 Sage 2.2에는 경고 이미지가 표시 될 때 재생되는 오디오 경고가 포함됩니다.
이 오디오 경고는 5분 마다 반복됩니다.

 

다음은 오디오의 내용 입니다.

 

Attention… Attention… this is not a test. All you documents, databases and other

important files were encrypted and Windows cannot restore them without special software.

User action is required as soon as possible to recover the files.

All you documents, databases and other important files were encrypted and Windows cannot

restore them without special software. User action is required as soon as possible to

recover the files.

 

! HELP_SOS.hta 에 있는 링크는 다음 웹 페이지로 연결됩니다.

 

 

 

이러한 멀웨어 공격의 유형 때문에 사용자가 메일에 첨부되거나,
공개 게시판에 업로드 된 의심스러운 링크를 클릭하지 말 것을 경고합니다.
Ransomware에서 완전히 안전 할 수 있는 유일한 방법은 중요한 파일을
정기적으로 USB나 외장하드와 같은 외부 저장소에 백업하는 것 입니다.

 

오늘은 업데이트된 Sage 2.2 Ransomware에 대한 포스팅이었습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.