포스팅 내용

국내외 보안동향

러시아 피해자는 무료로 복호화 해주는 Sigrun 랜섬웨어 발견

Sigrun Ransomware Author Decrypting Russian Victims for Free


Sigrun 랜섬웨어는 일반적으로 피해자들에게 랜섬머니로 약 $2,500 상당의 비트코인이나 Dash를 요구하지만 러시아 피해자들에게는 무료로 복호화를 지원해 주는 것으로 확인되었습니다. 


러시아의 랜섬웨어 개발자들이 러시아 시민들을 공격 대상에서 제외하는 것은 꽤 흔히 일어나는 일입니다.


한 연구원은 미국의 피해자 및 러시아의 피해자가 악성코드 제작자에게 이메일을 보내 받은 답장을 공개했습니다.


<러시아 피해자에게는 무료 복호화 제공>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/sigrun-ransomware-author-decrypting-russian-victims-for-free/>


<미국의 피해자에게는 $2,500을 요구함>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/sigrun-ransomware-author-decrypting-russian-victims-for-free/>


Sigrun은 랜섬웨어가 실행될 때 키보드 레이아웃을 탐지해 러시아 피해자들을 감염시키는 것을 피하려 시도합니다. 


러시아어 레이아웃을 발견할 경우, 컴퓨터를 더 이상 암호화 하지 않고 자기 자신을 삭제합니다. 하지만 모든 구 소련 국가들이 러시아어 키보드를 계속 사용하지 않기 때문에, 이 랜섬웨어에 걸릴 수 있습니다.



Sigrun이 컴퓨터를 암호화 하는 방법


Sigrun이 실행 되면, 먼저 "HKEY_CURRENT_USER\Keyboard Layout\Preload"를 검사해 러시아어 레이아웃을 실행하는지 확인합니다. 러시아어 레이아웃을 사용하는 것이 확인 되면, 컴퓨터를 암호화 하지 않고 자기 자신을 삭제합니다.


그렇지 않을 경우, Sigrun은 시스템에서 암호화 할 파일들을 검색합니다. Sigrun이 암호화 하지 않는 파일, 폴더, 확장자는 아래와 같습니다:


\ProgramData\, \IETldCache\, \Boot\, \Program Files\, \Tor Browser\, \All Users\, \Local Settings\, \Windows\, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, ntldr, NTDETECT.COM, Bootfont.bin, A:\, SQL, .ani , .cab , .cpl , .cur , .diagcab , .diagpkg , .dll , .drv , .hlp , .ldf , .icl , .icns , .ico , .ics , .lnk , .key , .idx , .mod , .mpa , .msc , .msp , .msstyles , .msu , .nomedia , .ocx , .prf , .rom , .rtp , .scr , .shs , .spl , .sys , .theme , .themepack , .exe , .bat , .cmd , .sigrun_key , .sigrun , .admin


그리고 파일을 암호화 후 .sigrun 확장자를 붙입니다. 예를 들어, test.jpg 파일이 암호화 되면 test.jpg.sigrun으로 이름이 변경 됩니다.


파일이 암호화 된 각각의 폴더에는 RESTORE-SIGRUN.txt, RESTORE-SIGRUN.html라는 이름의 랜섬노트가 생성 됩니다. 이 랜섬노트에는 앞으로 피해자의 파일에 발생할 일과, 지불 방법을 알기 위해 sigrun_decryptor@protonmail.ch에 연락하라는 정보 등이 포함 되어 있습니다.


<Sigrun의 HTML 랜섬노트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/sigrun-ransomware-author-decrypting-russian-victims-for-free/>


Sigrun 랜섬웨어는 아직까지 제작자의 도움을 받지 않는 한 무료로 복호화 할 수 없는 상태입니다.


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Sigrun으로 탐지중에 있습니다. 





출처 :

https://www.bleepingcomputer.com/news/security/sigrun-ransomware-author-decrypting-russian-victims-for-free/



티스토리 방명록 작성
name password homepage