Master Ransomware 관련 이슈

2017. 6. 30. 17:42

최근 BTCWare의 변형 Ransomware인 Master Ransomware가 발견되었습니다.
이 Ransomware는 작동이 매우 간단하며 고전적인 방법으로 강요를 합니다.
오늘은 Master Ransomware에 대해 포스팅 하도록 하겠습니다.

 

Master Ransomware는 다른 Ransomware와 마찬가지로 파일을 암호화 한 뒤에 몸값을

요구합니다.

 

그러나 중요한 점은, 파일 암호화에 더 많은 비용을 청구하는 Ransomware가 증가 추세에 있다는

점 입니다.
이 경우 암호화된 파일을 해독하는데 1 BTC(현재 $2701 USD)가 필요합니다.

 

감염이 될 경우 트로이목마는 바탕화면에 다음과 같은 텍스트를 표시합니다.

 

 

또한 다음 텍스트 파일을 표시합니다.

 

 

또한 트로이 목마는 레지스트리에 다음 키를 추가합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run DECRYPTINFO %AppData%\Roaming\#_RESTORE_FILES_#!.inf

 

트로이 목마는 시스템의 모든 디렉토리를 탐색하고 해당 디렉토리의 파일을 암호화합니다.

 

각 디렉토리에 #_RESTORE_FILES_# !. inf 를 남기고 각 암호화 된 파일의 이름을

{원본 파일 이름} .master로 바꿉니다.


이 디렉토리 탐색에는 첨부 된 네트워크 드라이브연결된 외부 미디어 저장소가 포함됩니다.
또한 바탕 화면에 #_RESTORE_FILES _ #!. inf 를 생성합니다.

 

 

#_RESTORE_FILES _ # !. inf 에는 고유 ID가 포함되어 있으며, 파일 해독 지침을 받으려면

이 ID가 지정된 전자 메일을 crypthelp@qq.com 으로 보내도록 지시합니다.

 

다음의 지침을 따를 경우 다음과 같은 이메일을 받습니다.

 

 

전자 메일은 사용자에게 1HAvKnunqW8xPjEwRYJjMeYnA5sPCyBvAB1BTC (현재 $2701)

보내도록 지시합니다.


이 Ransomware가 매우 간단하더라도, 하루 평균 약 10건의 감염을 평균화했기 때문에 Sage나

Locky와 같은 유명한 Ransomware들과 비교해도 아주 성공적으로 지금까지 62.2 BTC를 얻었습니다.
이 포스팅을 작성하는 지금의 금액은 $168,000 입니다.

 

BTCWare Ransomware에 대한 마스터키는 무료 Decrypter가 나오긴 했지만,
언제 변형된 형태로 나올지 모르니 미리 대비하는 것이 중요합니다.

 

이러한 Ransomware에 대한 피해를 최소화 할 수 있는 방안으로는 다음과 같습니다.
- 윈도우 보안 업데이트를 최신버전으로 유지합니다.
- 중요한 파일과 데이터는 따로 정기적으로 백업합니다.
- 이메일 등에 포함된 출처를 알 수 없는 첨부파일을 실행하지 않습니다.
- 백신 프로그램의 경우 항상 최신 버전으로 유지합니다.

 

오늘은 Master Ransomware에 대한 포스팅을 하였습니다.
다음에도 유익한 자료 올릴 수 있도록 하겠습니다.
감사합니다.



 

Posted by 로버무트
,