상세 컨텐츠

본문 제목

제트 캐시를 요구하는 타나토스 랜섬웨어 유포 주의

악성코드 분석 리포트

by 알약(Alyac) 2018. 3. 26. 16:23

본문



안녕하세요이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

이번에는 제트캐시를 요구 하는 랜섬웨어가 발견되어 사용자들의 주의를 당부 드립니다.

 

해당 타나토스 랜섬웨어는 0.1 제트 캐시 (현재 시세: 한화 26,700)을 요구하는 특징을 가지고 있습니다. 이 공격 그룹은 이전에는 비트코인 캐시를 요구하기도 하였습니다.


[그림 1] 랜섬노트 화면


기존 지갑 주소

 현재 지갑 주소

BTC: 1HvEZ1jZ7BWgBYPxqCvWtKja3a9hsNa9Eh

ETH: 0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef

BCH: qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f

 ZEC: t1JBenujX2WsYEZnzxSJDsQBzDquMCf8kbZ

 기존 사용한 이메일 주소

 현재 사용한 이메일 주소

 thanatos1.1@yandex.com

 shadowbrokers@yandex.ru

[표 1] 기존과 현재 랜섬노트 정보 비교


해당 랜섬웨어 제작자의 사용자 이름은 Artur 이며, 러시아를 사용하는 사람으로 추정됩니다. 아래는 러시아어 КОСТЕ ПИЗДА’ 로 비속어 입니다.


[그림 2] 프로그램 PDB 정보

 

암호화 대상 경로는 아래와 같고, 확장자는 확인하지 않습니다. 따라서 한국어 사용자들은 즐겨찾기를 'Favorites' 로 사용하기 때문에 'Favourites' 폴더를 제외하고 암호화 됩니다.


  C:\Users\[User Name]\Desktop

  C:\Users\[User Name]\Documents

  C:\Users\[User Name]\Downloads

  C:\Users\[User Name]\Favourites

  C:\Users\[User Name]\Music

  C:\Users\[User Name]\OneDrive

  C:\Users\[User Name]\Pictures

  C:\Users\[User Name]\Videos

[표 2] 암호화 대상 경로


암호화 코드는 아래와 같으며, 암호화 되면 기존 확장자 뒤에 .THANATOS 가 추가됩니다.


[그림 3] 암호화 코드

 

암호화가 완료되면 사용자 IP를 확인하는 사이트에 접속하여 사용자 IP정보를 수집 합니다.

 

알약에서는 Trojan.Ransom.Thanatos 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.







관련글 더보기

댓글 영역