포스팅 내용

악성코드 분석 리포트

제트 캐시를 요구하는 타나토스 랜섬웨어 유포 주의



안녕하세요이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

이번에는 제트캐시를 요구 하는 랜섬웨어가 발견되어 사용자들의 주의를 당부 드립니다.

 

해당 타나토스 랜섬웨어는 0.1 제트 캐시 (현재 시세: 한화 26,700)을 요구하는 특징을 가지고 있습니다. 이 공격 그룹은 이전에는 비트코인 캐시를 요구하기도 하였습니다.


[그림 1] 랜섬노트 화면


기존 지갑 주소

 현재 지갑 주소

BTC: 1HvEZ1jZ7BWgBYPxqCvWtKja3a9hsNa9Eh

ETH: 0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef

BCH: qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f

 ZEC: t1JBenujX2WsYEZnzxSJDsQBzDquMCf8kbZ

 기존 사용한 이메일 주소

 현재 사용한 이메일 주소

 thanatos1.1@yandex.com

 shadowbrokers@yandex.ru

[표 1] 기존과 현재 랜섬노트 정보 비교


해당 랜섬웨어 제작자의 사용자 이름은 Artur 이며, 러시아를 사용하는 사람으로 추정됩니다. 아래는 러시아어 КОСТЕ ПИЗДА’ 로 비속어 입니다.


[그림 2] 프로그램 PDB 정보

 

암호화 대상 경로는 아래와 같고, 확장자는 확인하지 않습니다. 따라서 한국어 사용자들은 즐겨찾기를 'Favorites' 로 사용하기 때문에 'Favourites' 폴더를 제외하고 암호화 됩니다.


  C:\Users\[User Name]\Desktop

  C:\Users\[User Name]\Documents

  C:\Users\[User Name]\Downloads

  C:\Users\[User Name]\Favourites

  C:\Users\[User Name]\Music

  C:\Users\[User Name]\OneDrive

  C:\Users\[User Name]\Pictures

  C:\Users\[User Name]\Videos

[표 2] 암호화 대상 경로


암호화 코드는 아래와 같으며, 암호화 되면 기존 확장자 뒤에 .THANATOS 가 추가됩니다.


[그림 3] 암호화 코드

 

암호화가 완료되면 사용자 IP를 확인하는 사이트에 접속하여 사용자 IP정보를 수집 합니다.

 

알약에서는 Trojan.Ransom.Thanatos 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.







티스토리 방명록 작성
name password homepage