해커들이 이메일을 사용하여 피해자들과 의사소통을 하고 임금을 협상하는 Genasom 이라는 랜섬웨어 대해 알아보겠습니다.
Genasom은 해커들이 문제해결에 있어 약간의 사례금을 요구하며, 감염된 기기에 직접 접근하여 2차 피해를 발생시키는 랜섬웨어 입니다.

공격을 위해 다음과 같은 파일을 사용 합니다.

트로이 목마는 다음과 같은 파일을 파일시스템에서 삭제합니다.

  • %APPDATA%\BC0DD974EC.exe [Detected as GAV: Genasom.RSM_2 (Trojan)]
  •  _HELP_INSTRUCTION.TXT (in every directory containing encrypted files)

트로이 목마는 다음키를 레지스트리에 추가합니다.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 00FF0DD974EC {original run location}
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run BC0DD974EC %APPDATA%\BC0DD974EC.exe

_HELP_Installation.TXT에는 다음 텍스트가 포함되어 있습니다.

 

 Hello!
 Attention! All Your data was encrypted!
 For specific informartion, please send us an email with Your ID number:
 serverup@keemail.me
 serverup@protonmail.com
 serverup1@yandex.com
 serverup3@yandex.com
 ann.c@iname.com
 Please send email to all email addresses! We will help You as soon as possible!
 DECRYPT-ID-6f179b9f-7506-4075-beea-5791809b6c04 number
 IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!

피해자는 문서의 내용에 속아 이메일로 연락을 하게 되며, 그 시나리오는 다음과 같습니다.

해커는 피해자의 컴퓨터에 접근이 허용된 이후 악성코드와 감염된 컴퓨터에서 DDos 공격을 실행하기 위해 네트워크 내 다른 컴퓨터에 접속을 시도하는 등 2차 피해를 발생시킬 가능성이 큽니다.

SonicWall Gateway AntiVirus는 다음 서명을 통해 이러한 위협에 대한 보호 기능을 제공합니다.

  • GAV: Genasom.RSM (Trojan)
  • GAV: Genasom.RSM_2 (Trojan)
  • GAV: Genasom.A_16 (Trojan)
  • GAV: Genasom.A_17 (Trojan)
  • GAV: Genasom.A_18 (Trojan)
  • GAV: Genasom.A_19 (Trojan)

 

Posted by 로버무트