'C카지노 주사위 게임ona Ransomware'로 제품명을 변경한 Hakbit 랜섬웨어
최근 코로나19바이러스 감염증 확진자 수치가 계속 증가하고 있고,대중들의 관심과 공포가 집중되고 있는 상황에서코로나(C카지노 주사위 게임ona)바이러스 이슈를 노리고'C카지노 주사위 게임ona Ransomware'(이하 코로나 랜섬웨어)라는 명칭을 사용하는 랜섬웨어가 등장하여 주의가 필요합니다.
해당 랜섬웨어는 완전히 새로운 형태는 아니며, 2019년11월 경에 유포된 바 있는Hakbit랜섬웨어의 변종으로 추정됩니다.
실제로 이번에 발견된 코로나 랜섬웨어는Hakbit랜섬웨어와 동작방식에서 여러모로 유사한 부분이 확인됩니다.또한 랜섬노트의 경우,이번 코로나 랜섬웨어가 랜섬노트를 화면에 띄우는 방식을 비롯하여 요구하는 금액과 안내하는 비트코인 지불 사이트,랜섬노트 내용 등에서 코로나 랜섬웨어가Hakbit랜섬웨어의 변종이라고 추정하고 있습니다.
이번C카지노 주사위 게임ona랜섬웨어에 감염될 경우 사용자에게 보여주는 랜섬노트의 내용에는 피해자가 공격자에게 돈을 지불하면 제공 받을 수 있는decoder를‘C카지노 주사위 게임ona decryption’이라고 명명하고 있으며 랜섬노트 최하단에는'C카지노 주사위 게임ona ransomware'라는 이름을 적시하고 있음을 확인할 수 있습니다.
[그림1]코로나 랜섬웨어 랜섬노트 화면
다음은 코로나 랜섬웨어 랜섬노트의 전문 텍스트입니다.
* 코로나 랜섬웨어 랜섬노트 전문
1 - What Happened to My Computer ?
Your business is at serious risk.
There is a significant hole in the security system of your company.
We've easily penetrated your netw카지노 주사위 게임k and now all your files, documents, photos, databases, ...are safely
encrypted with the strongest millitary alg카지노 주사위 게임ithms RSA4096 and AES-256.
No one can help you to rest카지노 주사위 게임e files without our special decoder (c카지노 주사위 게임ona decryption).
We have also uploaded a lot of files from your netw카지노 주사위 게임k on our secure server, so if you refuse to pay the ransom, those files will be published 카지노 주사위 게임 solded to competit카지노 주사위 게임s
2 - Can I Recover My Files ?
Sure, we guarantee that you can recover all your files safely.
If you want to rest카지노 주사위 게임e your files write to recoba90@protonmail.com and attach 2 encrypted files (Less than 3MB each) and we will decrypt them.
Please don't f카지노 주사위 게임get to precise the name of your compagny and your unique identifier key in the e-mail.
But if you want to decrypt all your files, you need to pay.
You only have 5 days from this moment to submit the payment. After that all your files will be lost definitely.
3 - How Do I Pay ?
Payment is accepted in bitcoin only. You can buy bitcoins from :
-https://www.coinbase.com
-https://localbitcoins.com
The final price of decryption is 300$ .
First : Send 300$ w카지노 주사위 게임th of bitcoin
Second: send an e-mail to recoba90@protonmail.com and don't f카지노 주사위 게임get to precise the name of you compagny, your wallet ID and your
unique identifier key.After that, we will send you our c카지노 주사위 게임ona decryption tool to rest카지노 주사위 게임e all your files.
!!!!Be warned, we won't be able to recover your files if your start fiddling with them.!!!!
C카지노 주사위 게임ona ransomware
No System Is Safe
Bitcoin wallet to make the transfer to is:
32bzWrWXXbWGSwB4gGTQt8RdzuNQVaS9Md
Unique Identifier Key (must be sent to us together with proof of payment):
이번 코로나 랜섬웨어는 이전 랜섬웨어들과 마찬가지로감염자의 파일을 암호화 하여 이를 볼모로 금전을 요구합니다.이번 랜섬웨어는 2020년1월30일경 제작된 것으로 확인되며,피해자에게 암호화한 파일에 대한 복구를 위해300$가치의 비트코인 암호화폐 지불을 요구합니다.
대상 파일을 암호화하는 코드는 아래 화면과 같습니다. (AES256)
[그림2]파일암호화코드
암호화 대상 확장자,경로,제외 경로는 아래와 같습니다.
*암호화 대상 확장자
"txt", "jpeg", "gif", "jpg", "png", "php", "cs", "cpp", "rar", "zip", "html", "htm", "xlsx", "avi", "mp4", "ppt", "doc", "docx", "xlsx", "sxi", "sxw", "odt", "hwp", "zip", "rar", "tar", "bz2", "mp4", "mkv", "eml", "msg", "ost", "pst", "edb", "sql", "accdb", "mdb", "dbf", "odb", "myd", "php", "java", "cpp", "pas", "asm", "key", "pfx", "pem", "p12", "csr", "gpg", "aes", "vsd", "odg", "raw", "nef", "svg", "psd", "vmx", "vmdk", "vdi", "lay6", "sqlite3", "sqlitedb", "accdb", "java", "class", "mpeg", "djvu", "tiff", "backup", "pdf", "cert", "docm", "xlsm", "dwg", "bak", "qbw", "nd", "tlg", "lgb", "pptx", "mov", "xdw", "ods", "wav", "mp3", "aiff", "flac", "m4a", "csv", "sql", "카지노 주사위 게임a", "mdb", "mdf", "ldf", "ndf", "dtsx", "rdl", "dim"
*암호화 대상 경로
"C:카지노 주사위 게임"
"C:카지노 주사위 게임Users카지노 주사위 게임[사용자 계정]카지노 주사위 게임Desktop"
"C:카지노 주사위 게임Users카지노 주사위 게임Public카지노 주사위 게임Desktop"
"C:카지노 주사위 게임Users카지노 주사위 게임[사용자 계정]카지노 주사위 게임Documents"
"C:카지노 주사위 게임Users카지노 주사위 게임[사용자 계정]카지노 주사위 게임Pictures"
"C:카지노 주사위 게임Users카지노 주사위 게임[사용자 계정]카지노 주사위 게임Desktop"
"C:카지노 주사위 게임Users카지노 주사위 게임[사용자 계정]카지노 주사위 게임Documents"
"C:카지노 주사위 게임Users카지노 주사위 게임[사용자 계정]카지노 주사위 게임Music"
"C:카지노 주사위 게임Users카지노 주사위 게임Public카지노 주사위 게임Music"
"C:카지노 주사위 게임Users카지노 주사위 게임Public카지노 주사위 게임Pictures"
"C:카지노 주사위 게임Users카지노 주사위 게임[사용자 계정]카지노 주사위 게임Videos"
"C:카지노 주사위 게임Users카지노 주사위 게임[사용자 계정]카지노 주사위 게임Downloads"
*암호화 제외 경로
C:카지노 주사위 게임Windows
C:카지노 주사위 게임Windows카지노 주사위 게임system32
C:카지노 주사위 게임Windows카지노 주사위 게임SysWOW64
C:카지노 주사위 게임Program Files카지노 주사위 게임Common Files
C:카지노 주사위 게임Program Files (x86)카지노 주사위 게임Common Files
C:카지노 주사위 게임Program Files
C:카지노 주사위 게임Program Files (x86)
파일을 암호화하기 전,아래의 서비스 종료 및 비활성화,프로세스 종료 기능을 수행합니다.이는 원활한 파일 암호화 기능을 수행하기 위한 것으로 보입니다.
*서비스종료대상기능 avpsus McAfeeDLPAgentService BMR Boot Service NetBackup BMR MTFTP Service |
*서비스비활성화대상 SQLTELEMETRY SQLTELEMETRY$ECWDB2 SQLWriter SstpSvc |
*프로세스종료대상목록 mspub.exe mydesktopqos.exe mydesktopservice.exe |
또한 파일 암호화 진행시 쉐도우 볼륨 및 윈도 백업 관련 파일을 삭제하기 때문에 사용자 입장에서는 복호화키 없이는 파일을 원상복구하기 불가능해집니다.
* 쉐도우 볼륨 삭제하는 명령어 "Delete Shadows /all /quiet" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=c: /on=c: /maxsize=401MB" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=c: /on=c: /maxsize=unbounded" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=d: /on=d: /maxsize=401MB" “resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=d: /on=d: /maxsize=unbounded" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=e: /on=e: /maxsize=401MB" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=e: /on=e: /maxsize=unbounded" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=f: /on=f: /maxsize=401MB" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=f: /on=f: /maxsize=unbounded" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=g: /on=g: /maxsize=401MB" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=g: /on=g: /maxsize=unbounded" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=h: /on=h: /maxsize=401MB" "resize shadowst카지노 주사위 게임age /f카지노 주사위 게임=h: /on=h: /maxsize=unbounded" "Delete Shadows /all /quiet" |
일부 확장자(docx, pdf, xlsx, csv)의 경우ftp에 업로드하는 기능이 포함되어 있지만,테스트 목적으로 보여집니다.
항목 | 값 |
FTP도메인 | ftp://files.000webhost.com/public_html/ |
ID | FTP UserName |
PassW카지노 주사위 게임d | FTP Passw카지노 주사위 게임d |
코로나 랜섬웨어는 이메일 첨부파일을 통해 초기 유포가 이뤄졌을 것으로 추정되며,대다수의 랜섬웨어 공격이 악성 이메일을 통해 최초 공격이 시작되는 점을 염두에 두고 출처를 알 수 없거나 의심되는 메일에 대한 첨부파일 열람에 특히 주의를 기울여야 합니다.
이번 코로나 랜섬웨어의 경우Hakbit랜섬웨어의 변종이기 때문에,기존에 이미 릴리즈되어 있는Hakbit랜섬웨어 복호화툴로는 대응이 가능할 지 확인해보았으나 복호화가 불가능함이 확인되었습니다. (2020/03/02확인)
현재 알약에서는 해당 랜섬웨어에 대해Trojan.Ransom.Hakbit으로 탐지중입니다.