이번에 소개해드릴 Chinese Ransomware는 Chinese Speaking 사용자를

대상으로 하는 Ransomware입니다. 

Ransomware note에는 만다린의 번역문이 있으며 중국에서 Bitcoin 플랫폼을 권장합니다.

Ransomware 변종은 스스로를 람다 Anti-Socirty - Nuke Script 또는 LAST-NST라고 부르는

그룹에서 나옵니다.

 

이 트로이목마는 다음의 아이콘을 사용합니다.

 

실행시 루트 디렉토리에 자신의 복사본 만듭니다

- %HOMEDRIVE%\reloader.exe [Detected as GAV: Lambda.RSM (Trojan)]%HOMEDRIVE%\reloader.exe

 

모든 암호화 된 파일에 “l0cked”라고 확장자를 만듭니다.

 

 

또한 암호화된 모든 파일의 이름을 기록하는 로그 파일 만듭니다.

 

- %HOMEDRIVE%\If.Lst %HOMEDRIVE%\If.Lst

 

 

다음에는 복호화 비용과 지불 방법 보여주는 READ_IT.html 파일을 만들고 실행합니다.

해당 메모는 영어로 작성되어 있으며 아래의 스크린 샷과 같은 페이지에 만다린 번역본이 있습니다.

 

또한 다음의 파일을 삭제합니다.

 

- %HOMEDRIVE%\#Cyb3rGh0st_S0c13tyF@ck3r

- %HOMEDRIVE%\!A_NOTICE_FROM_LAST

 

 

Ransomware 시스템 실행 파일을 암호화하지 않기 때문에 피해자의 시스템이

실행되는 것엔 문제가 없었습니다.

 

하지만 다음 파일 확장명을 사용하여 파일을 암호화 하였습니다.

asp, aspx, bak, bmp, c, class, conf, config, cpp, cs, dat, dbf, dmp, doc, doy, frm, gif, hta, htm, html,

 

 img, jar, jpg, mdb, mid, pdf, php, png, pot, ppt, rtf, sql, swf, tif, txt, txt, vbs, wav, wma, xls, xlt, zip

제공된 복호화 비용으로 요구되는 비트 코인의 주소를 확인하면 Ransomware 공격자가

아래 표시된 거래를 기반으로 피해자가 지불 것으로 보이는 Bitcoin 전송을 받았는지

있습니다.

이러한 멀웨어 공격의 유형 때문에 사용자가 메일에 첨부되거나,
공개 게시판에 업로드
의심스러운 링크 클릭하지 것을 경고합니다.
Ransomware
에서 완전히 안전 있는 유일한 방법은 중요한 파일을

정기적으로 USB 외장하드와 같은 외부 저장소에 백업하는 입니다.

 

오늘은 Chinese Ransomware 대한 포스팅이었습니다.
다음에도 유익한 정보를 올릴 있도록 하겠습니다
.
감사합니다.

 

 

 

Posted by 로버무트
,