Karmen Ransomware 관련 이슈
2017. 5. 15. 17:13최근 Hidden-Tear 라는 오픈소스 프로그램으로 만들어진 Karmen Ransomware가 발견됐습니다.
이 Ransomware는 AES-256 암호화 프로토콜을 사용하는 Ransomware인데,
오늘은 Karmen Ransomware에 대해 포스팅하겠습니다.
2016년 12월에 처음 보고된 이 Ransomware는 Hidden-Tear와 같은 시스템을 구매하면 특정한 기술 없이
손쉽게 Ransomware를 생성할 수 있습니다.
이 Ransomware의 경우 시스템의 다양한 파일을 암호화하여 운영자에게 요금을 지불 할 때까지 파일을
엑세스 할 수 없게 합니다.
Karmen은 github.com에서 Hidden-Tear라는 오픈 소스 멀웨어 프로그램에서 파생된 것으로
보고있습니다.
이러한 프로젝트를 통해 누구든지 사이버 범죄자가 되어 인터넷상의 컴퓨터를 감염시키는데 사용할 수 있는 악성 실행 모듈을 쉽게 만들 수 있습니다.
감염경로 :
트로이 목마는 즉시 원격 키 서버에 감염을 보고하고 미리 생성된 고유 ID를 보냅니다.
응답된 주소는 Bitcoin 지불과 관련된 주소입니다.
또한 Bitcoin값을 검색하기 위해 다음과 같은 요청을 합니다.
그런 다음 Karmen decrypter 프로그램 다운로드를 요청합니다.
일단 실행되면 다음의 화면이 윈도우에 나타나게 됩니다.
트로이 목마는 다음의 파일들을 파일시스템에 추가합니다.
• %APPDATA%\Local\Temp\adr.txt
• %APPDATA%\Local\Temp\btc.txt
• %APPDATA%\Local\Temp\del.bat
• %APPDATA%\Local\Temp\id.txt
• %APPDATA%\Local\Temp\lnk.txt
• %APPDATA%\Local\Temp\TTX49E1.tmp
• %APPDATA%\Local\Temp\EeGpNYHeR2QcRuKq.exe
그리고 삭제된 text파일에는 다음의 데이터가 포함됩니다.
• adr.txt
3A1zX8Vt1WUfxLtAnoo33Zk2Ebikig3RU2
• btc.txt
0.33
• del.bat
@echo off
taskkill /f /im EeGpNYHeR2QcRuKq.exe
del %APPDATA%\Local\Temp\EeGpNYHeR2QcRuKq.exe
del %APPDATA%\Local\Temp\lnk.txt
del %APPDATA%\Local\Temp\btc.txt
del %APPDATA%\Local\Temp\adr.txt
del %APPDATA%\Local\Temp\del.bat
• id.txt
bcjytJMY2daB09
• lnk.txt
http://195.3.144.69/
트로이 목마는 정기적으로 키 서버에 다음 요청을 보냅니다.
이 Ransomware의 경우 기기를 감염시킨 후, 결제 방법이 포함된 랜섬노트를 표시합니다.
Karmen은 다른 Ransomware와는 다르게, 샌드박스 환경이나 기타 분석 소프트웨어가 탐지될 경우
자동으로 자체 해독기를 삭제한다는 점입니다.
다음은 Karmen의 구매자가 본 제휴사의 페이지 스크린샷 입니다.
이 인터페이스를 통해 Karmen을 구성하면 공격자가 최소한의 기술적 지식이 필요한 제어판을 사용하여
악성 프로그램의 설정을 변경 할 수 있습니다.
Clients 페이지에서는 지불된 몸값의 상태를 포함하여 바이러스에 감염된 컴퓨터를 추적 할 수 있습니다.
Dashboard에는 보유한 고객 수, 획득한 금액, Karmen 소프트웨어 업데이트 등의 기타 관련 정보에 대한
개요가 나와 있습니다.
이러한 Ransomware에 대한 피해를 최소화 하기위한 방안으로는 다음과 같습니다.
– 가급적 중요한 파일들은 따로 백업을 하여 만일의 사태에 대비하는 것이 좋습니다.
- 백신 프로그램들은 항상 최신버전으로 유지합니다.
- 윈도우 OS를 최신버전으로 업데이트 합니다.
오늘은 오픈소스 프로그램으로 만들어진 Karmen Ransomware에 대한 내용으로 포스팅을 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.