비트코인 캐시를 요구하는 첫 번째 랜섬웨어인 Thanatos 발견

Thanatos Ransomware Is First to Use Bitcoin Cash. Messes Up Encryption

랜섬웨어 개발자들은 제대로 테스트 하지 않고 버그가 포함 된 상태인 랜섬웨어를 배포하고 있습니다. 이로 인해, 희생양들이 파일을 복구하기 어렵거나 불가능하게 됩니다. 

최근 보안 연구원들이 발견한 새로운 랜섬웨어인 Thanatos도 같은 경우인 것으로 나타났습니다.

Thanatos 랜섬웨어가 희생양을 감염 시키면, 암호화 된 각 파일 마다 새로운 키를 사용합니다. 하지만 문제는 이 키들이 어디에도 저장되지 않는 다는 것입니다. 

이는 즉, 사용자가 랜섬머니를 지불 하더라도, 랜섬웨어 개발자들은 사실상 파일을 복호화 할 수 있는 방법이 없다는 이야기입니다. 따라서 Thanatos에 피해를 입은 사용자들은 돈을 지불하지 않는 것이 좋습니다.

좋은 소식은, 각 파일에 대한 키를 브루트포싱을 통해 알아낼 수 있을지 모른다는 것입니다. 하지만 일반적인 파일 형식이어야 하며, 시간이 꽤 소요될 것입니다.

Thanatos, 랜섬웨어들 중 최초로 비트코인 캐시 받아

Thanatos는 비트코인 캐시를 받는 첫 번째 랜섬웨어입니다. 이 외에 비트코인과 이더리움도 받습니다. 아래 랜섬노트에서 확인할 수 있습니다.

<Thanatos의 랜섬 노트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/thanatos-ransomware-is-first-to-use-bitcoin-cash-messes-up-encryption/>

Thanatos 랜섬웨어가 컴퓨터를 암호화 하는 법

Thanatos 랜섬웨어는 컴퓨터를 암호화 후, 암호화 한 모든 파일을 위한 각각의 암호화 키를 생성합니다. 하지만 불행히도 암호화 키는 어디에도 저장 되지 않기 때문에, 랜섬 머니를 지불하더라도 파일은 복호화 될 수 없습니다.

이는 파일을 암호화 후 .THANATOS 확장자를 붙입니다. 예를 들어 test.jpg가 암호화 될 경우 test.jpg.THANATOS가 됩니다.

Thanatos로 암호화 된 파일

암호화 과정이 끝나면, 감염 된 사용자들의 수를 추적하기 위해 iplogger.com/1t3i37에 연결합니다.

이후 사용자가 로그인 할 때 마다 랜섬노트인 README.txt를 오픈하는 "Microsoft Update System Web-Helper"라는 자동 실행 key를 생성합니다.

랜섬 노트에는 표시 된 비트코인, 이더리움 또는 비트코인 캐시 주소로 $200 USD를 보내라는 내용이 포함 되어 있습니다. 또한 복호화 프로그램을 받기 위해서 thanatos1.1@yandex.com으로 고유 ID를 포함해 연락하라고 되어있습니다.

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Thanatos로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/thanatos-ransomware-is-first-to-use-bitcoin-cash-messes-up-encryption/