상세 컨텐츠

본문 제목

WhiteRose 랜섬웨어 복구 가능해져

국내외 보안동향

by 알약(Alyac) 2018. 4. 6. 14:14

본문

The WhiteRose Ransomware Is Decryptable & Tells A Strange Story


연구원들이 새로운 랜섬웨어를 발견했습니다. 이는 BlackRuby와 Zenis 랜섬웨어와 같은 Infinite Tear 랜섬웨어 패밀리를 기반으로 했습니다. 이 랜섬웨어는 컴퓨터를 감염시키고 파일을 암호화하고, 파일명을 섞어버리며 .WHITEROSE 확장자를 붙입니다.


이 랜섬웨어가 어떻게 배포 되었는지는 알려지지 않았지만, 원격 데스크탑 서비스를 해킹해 수동으로 설치되는 것으로 추측되고 있습니다.


게다가, ID-Ransomware에 등록 된 내용으로 미루어볼 때 이 랜섬웨어의 개발자는 유럽 국가들, 특히 스페인을 노리고 있는 것으로 보입니다.


좋은 소식은, 연구원들이 이 랜섬웨어를 복호화 할 수 있는 것으로 보입니다. 따라서 WhiteRose 랜섬웨어에 감염 된 경우, 랜섬머니를 지불하지 말고 WhiteRose Support & Help topic에 도움을 요청하기 바랍니다.


WhiteRose의 개발자는 랜섬 노트에 정원의 하얀 장미에 둘러싸인 고립 된 외로운 해커에 대한 이야기를 넣었습니다. 그들의 하얀 장미를 전 세계에 퍼뜨려 당신의 컴퓨터를 암호화 하고 이를 꽃으로 바꾸고 싶다고 되어있습니다.


WhiteRose가 컴퓨터를 암호화 하는 방법


WhiteRose가 처음 시작 되면, 이는 C:\Perfect.sys파일이 존재하는지 확인합니다. 파일이 있을 경우 프로그램을 종료하고, 없을 경우 파일을 생성할 것입니다.



<perfect.sys 파일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/the-whiterose-ransomware-is-decryptable-and-tells-a-strange-story/>


이후 이 랜섬웨어는 컴퓨터의 모든 드라이브를 스캔하고, 특정 확장명을 사용하는 파일을 찾아 암호화 합니다. WihteRose의 타겟 확장명은 아래와 같습니다.


.1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .ARC, .PAQ, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .back , .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .c , .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf , .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .cs , .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db3, .db_journal, .dbf, .dbf , .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk , .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg , .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ora , .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt , .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip, 3dm, onetoc2, 


WhiteRose는 아래 폴더에 위치한 파일은 암호화 하지 않습니다.


Windows

Program Files

$Recycle.Bin

Microsoft


파일이 암호화 되면, 이는 파일 명을 랜덤으로 리네이밍 후 끝에 _ENCRYPTED_BY.WHITEROSE를 붙입니다. Test.jpg라는 이름의 파일이 암호화 되면 6zyaqFcPJaeJATyA_ENCRYPTED_BY.WHITEROSE와 같은 이름으로 변경 될 것입니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/the-whiterose-ransomware-is-decryptable-and-tells-a-strange-story/>


또한 스캔한 모든 폴더에 HOW-TO-RECOVERY-FILES.TXT파일을 생성합니다.


<WhiteRose의 랜섬노트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/the-whiterose-ransomware-is-decryptable-and-tells-a-strange-story/>


이후 WhiteRose는 아래의 명령을 실행하여 Windows 시동 복구를 비활성화 하고, 섀도우 볼륨 카피와 이벤트 로그를 삭제합니다.


cmd.exe /C vssadmin.exe delete shadows /all /Quiet

cmd.exe /C WMIC.exe shadowcopy delete

cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no

cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

cmd.exe /C wevtutil.exe cl Application

cmd.exe /C wevtutil.exe cl Security

cmd.exe /C wevtutil.exe cl System


마지막으로, WhiteRose는 자기 자신을 시스템에서 삭제합니다.


현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.WhiteRose로 탐지중에 있습니다. 





출처 :

https://www.bleepingcomputer.com/news/security/the-whiterose-ransomware-is-decryptable-and-tells-a-strange-story/



관련글 더보기

댓글 영역