본문 바로가기
malware

새로운 암호화 된 랜섬웨어 ​​'R980'을 확인 일회용 이메일 주소로 자신의 추적을 피하기

Ryansecurity 2016. 8. 15. 19:37
728x90

랜섬웨어는 부자가 빠른 수단으로 사이버 범죄자 사이에서 여전히 인기가 높은 것 같습니다. 그리고 계속해서 새로운 제품군이나 변종이 확산되고 있습니다. 

암호화 된 랜섬웨어 'R980'( 'RANSOM_CRYPBEE.A "로 검색)을 새롭게 확인했습니다.

'R980'은 스팸 또는 변조 된 Web 사이트를 통해 확산되는 것으로 확인되고 있습니다. " Locky " "CERBER " " MIRCOP '뿐만 아니라'R980 '을 확산하는 스팸 메일은 악성 매크로를 포함하는 문서 파일 ("W2KM_CRYPBEE.A "로 검색)이 첨부되어 있습니다. 잘못된 매크로는 특정 URL에서 "R980"를 다운로드합니다. "R980"이 발견 된 2016 년 7 월 26 일 이후 해당 URL에 자주 연결이 확인되고 있습니다.

그림 1
그림 1 : 감염 PC의 배경 화면에 설정되는 'R980'협박 메시지의 예

(번역 : !!!!주의 !!!! 당신의 파일은 암호화되었습니다. 
문서 파일, 이미지 파일, 데이터베이스 기타 중요한 파일을 모두 암호화 AES-256과 RSA4096 암호화했습니다. 당신의 파일은이 서버에서 보관하고있는 개인 키가 없으면 해독 할 수 없습니다. 보안 제품에서 파일을 해독 할 수 없습니다. 
복호화 방법은 바탕 화면의 "해독 방법"파일을 참조하십시오 )

그림 2
그림 2 : 잘못된 문서에 포함 된 매크로가 URL hxxp : // bookmyroom [] pk / assets / timepicker / f [] exe에서 랜섬웨어를 다운로드

'R980'은 151 종류의 파일 형식을 AES-256와 RSA-4096의 알고리즘을 결합하여 암호화합니다. 암호화 된 파일에 확장자 ".crypt"를 추가하지만, 같은 확장자를 추가하는 것으로 알려진 암호화 된 랜섬웨어 'CryptXXX "이전 버전과 다른 유사점은 없습니다. 암호화 방법은 응용 프로그램 개발자가 Windows 용 응용 프로그램에 암호화 기능을 구현하기 위해서 사용하는 라이브러리 "Cryptographic Service Provider (CSP 암호화 서비스 공급자) '가 이용됩니다.

그림 3
그림 3 : 다른 암호화 된 랜섬웨어 ​​제품군 인 'Locky'뿐만 아니라 'R980'은 'CryptAcquireContext'나 'CryptGenerateRandom "같은 암호화 서비스 프로 바이더의 기능을 이용하여 파일의 암호화에 RSA 를 사용

"R980"은 다음 레지스트리 키를 항상 사용합니다.

  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

또한 다른 많은 랜섬웨어와 달리 침입 후 자신을 삭제하지 않습니다. "R980"다음 파일을 만듭니다 "침입의 흔적 (Indicators of Compromise, IoC)"를 남겨두기에서 "DMALocker"( " RANSOM_MADLOCKER.B"로 검색)를 연상시킵니다.

  • rtext.txt : 협박장
  • status.z : 랜섬웨어를 처음 실행 IoC
  • status2.z : 작성한 카피가 실행 된 IoC
  • kz : 다운로드 한 Base64로 디코딩 데이터
  • fnames.txt : 암호화 된 파일 이름

그림 4
그림 4 : "R980"의 협박장의 예. 해독 도구를 사용자에게 전달하는 데 필요한 0.5 비트 코인 (약 3 만엔, 2016 년 8 월 12 일 현재) 지불 방법이 기재되어있다

"R980"는 명령 및 제어 (C & C) 서버와 통신하고 몸값의 지불에 대해 개별적으로 설정된 비트 코인 주소를 제공합니다. 사이버 범죄자들은 ​​자신의 추적을 피하기 위해 몇 시간 후에 자동으로 메일이 삭제되는 시스템의 일회용 이메일 주소 서비스 " Mailinator "를 이용합니다. 또한 같은 이메일 서비스를 이용하여 파일 해독 도구에 대한 링크가 보관되어 있다고 여겨지 공개 이메일 주소를 사용자에 대해 생성합니다.

그림 5
그림 5 : "R980"고 C & C 서버의 네트워크 통신의 스냅 샷. 몸값 지불에 사용하는 비트 코인 주소를 제공하고있는 모습이 나타나고있다. 비트 코인 주소는 사용자마다 다른

'R980'은 기존의 랜섬웨어를 모아 만들어진 것과 같은 것이라고 할 잘못된 매크로 나 변조 된 Web 사이트가 감염 경로로 이용되고 있다는 점에서 심각한 위협임을 달리 없습니다. 사용자는 Office 문서의 매크로는 비활성화 상태로 알 수없는 소스로부터의 메일은 삭제합니다. 제대로 된 백업 을 취할 수도, 랜섬웨어 대책 에 유효합니다.

728x90
저작자표시 비영리 변경금지

'malware ' 카테고리의 다른 글

"금융 감독청 '을 가장 국내 8 은행의 인터넷 뱅킹을 노리는'KRBANKER"새로운 수법  (0) 2016.08.19
네이버 계정 탈취 주의!  (0) 2016.08.18
97 %의 Android 단말에 루팅의 우려 심각한 취약점 'CVE-2015-1805'  (0) 2016.04.14
일본을 노리는 악성 광고 사례에서 DV 인증서 악용 확인  (0) 2016.01.26
온라인에 게시 된 랜섬웨어의 코드를 악용. 정보 공유는 적절한 범위와 방법의 선택이 중요  (0) 2016.01.26

'malware ' Related Articles

티스토리툴바