Amnesia Ransomware 관련 이슈
2017. 8. 1. 16:19이번에 포스팅할 내용은 Amnesia Ransomware입니다.
과거에 여러 연구업체에서 예측한대로 몸값을 지불하는 요구를 증가시키려는 경향은 계속되었습니다.
작년 이맘때는 파일 해독을 위한 몸값이 평균 수백달러정도 였습니다.
대부분의 Ransomware는 오늘 포스팅할 Amnesia Ransomware의 경우와 마찬가지로 1 Bitcoin
(작성할 당시 2629달러)까지 이 금액을 늘렸습니다.
감염 경로로는 다음과 같습니다.
먼저 트로이 목마는 다음과 같은 DNS 요청을 합니다.
• iplogger.info
그리고 파일시스템에 다음의 파일을 추가합니다.
• % APPDATA % \ sevnz.exe (원본 파일의 복사본)
• IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
(암호화 된 파일이 들어있는 모든디렉토리에 복사)
암호화된 모든 파일은 다음 이름 지정 규칙을 사용합니다.
• {암호화 된 파일 이름}. [unlocking.guarantee@aol.com]
트로이목마는 레지스트리에 다음의 키를 추가합니다.
첫번째는 감염에 대한 고유 ID입니다.
• HKEY_CURRENT_USER \ SOFTWARE \ aIYqDubteCKSoK temp "V4IAAAAAAADC0bNIxKaIH7JYV6699fOJvEi = G + RF6TCJ4cJBvLhWQGV + 654JtVSw9RvdA56j7BpPGG32Za88GKSdzyey6Po = U + nGtFhb = e7wiDqx2fcJ6T0TZmNts3 = uKH88QK1UWGHjigPKSRB4PWg3jiKTMZnFR7NTeH1momxGZguqRAzVlOh592AargphGyo + 5o0bx39Uoh = bwM0O3m98fsAejkmm2RUQQYJ7SaBQd2AYI3SCM3JiL4uSCVPlK9EQbhCdhjn18jyDNmVp = nuK5YLLhISwFc5R = 1 = aZDM16W + xB0orn3okLFvs5LNGDrwEOXIXtUie3KKPgemZolrAZ4v7K0ZKLtJTu6eOY1PBa1hRmDMN1AKj2eSiZLtYSreoRC1KgdcK9fDoJfZL2sr9vdxMwogKCGvnA21YGVVlLLagjp35 = ybaIdWlP1A95msz7SyZLpFs6WoJTcvurViRPGgWsUEpMbIy = LV + EJ0T0U1gDSydtsuffYcxyDk2f2rJCr5eIxOrwlIJlIhkDfEcuO = NKfkJZ6efwNwAXIeMXQfUdpg5k2EUu + R6sWOBcnnQkWUXSpZGUildgjL0OS5TXsCs60oLHMcyuMzip2sq7287OnFB8kz7javL9LcxUn2p17wAb7tW2wX3dKRhzL0Lqp5O2Z7uAiOEqmwYES3Ddjlh8gw2vVL4l1Wz7p92 = divAAUeWLUte = J2dShKCLJK6ApQ4ct2w6gAfmdSPtc6Ko8dnujq1f6xcOVqTT8FBpqfBy6jd + 8TwC1y0ndtHA6 + sFBhFD4HDZcvIlguChgzRyK5TKK7l4 "
• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce aIYqDubteCKSoK "% APPDATA % \ sevnz.exe"
트로이목마는 감염 프로세스의 일부로 javascript를 실행하기 위해 mshta.exe를 사용하여 볼 수
있습니다.
감염은 iplogger.info를 사용하여 운영자에게 보고됩니다.
응답은 단일 픽셀을 포함하는 PNG파일입니다.
다음 텍스트 파일이 화면에 표시됩니다.
텍스트 파일의 안내에 따라 다음 이메일을 받았습니다.
Bitcoin주소 (12X4P7HVpuhP535uTkETecGvZrV7A7T3oL)에 대한 트랜잭션 기록이 없으므로
단일 주소보다는 여러 Bitcoin주소가 사용된다고 가정하는 것이 안전합니다.
트로이목마는 Windows XP에서 실행될 때 시스템을 재부팅하는 기능을 비활성화했습니다.
Amnesia Ransomware의 경우 암호화된 파일을 복원할 수 있는 도구가 없어 안전모드에서
시스템복원을 이용한 복원이 가능합니다.
이러한 Ransomware에 대한 피해를 최소화하기 위한 방안으로는 다음과 같습니다.
– 윈도우 보안 업데이트를 최신버전으로 유지합니다.
– 중요한 파일과 데이터는 따로 정기적으로 백업합니다.
– 이메일 등에 포함된 출처를 알 수 없는 첨부파일을 실행하지 않습니다.
– 백신 프로그램의 경우 항상 최신 버전으로 유지합니다.
이번시간에는 Amnesia Ransomware 관련 이슈에 대해 포스팅 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.