Sigrun Ransomware Author Decrypting Russian Victims for Free
Sigrun 랜섬웨어는 일반적으로 피해자들에게 랜섬머니로 약 $2,500 상당의 비트코인이나 Dash를 요구하지만 러시아 피해자들에게는 무료로 복호화를 지원해 주는 것으로 확인되었습니다.
러시아의 랜섬웨어 개발자들이 러시아 시민들을 공격 대상에서 제외하는 것은 꽤 흔히 일어나는 일입니다.
한 연구원은 미국의 피해자 및 러시아의 피해자가 악성코드 제작자에게 이메일을 보내 받은 답장을 공개했습니다.
<러시아 피해자에게는 무료 복호화 제공>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/sigrun-ransomware-author-decrypting-russian-victims-for-free/>
<미국의 피해자에게는 $2,500을 요구함>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/sigrun-ransomware-author-decrypting-russian-victims-for-free/>
Sigrun은 랜섬웨어가 실행될 때 키보드 레이아웃을 탐지해 러시아 피해자들을 감염시키는 것을 피하려 시도합니다.
러시아어 레이아웃을 발견할 경우, 컴퓨터를 더 이상 암호화 하지 않고 자기 자신을 삭제합니다. 하지만 모든 구 소련 국가들이 러시아어 키보드를 계속 사용하지 않기 때문에, 이 랜섬웨어에 걸릴 수 있습니다.
Sigrun이 컴퓨터를 암호화 하는 방법
Sigrun이 실행 되면, 먼저 "HKEY_CURRENT_USER\Keyboard Layout\Preload"를 검사해 러시아어 레이아웃을 실행하는지 확인합니다. 러시아어 레이아웃을 사용하는 것이 확인 되면, 컴퓨터를 암호화 하지 않고 자기 자신을 삭제합니다.
그렇지 않을 경우, Sigrun은 시스템에서 암호화 할 파일들을 검색합니다. Sigrun이 암호화 하지 않는 파일, 폴더, 확장자는 아래와 같습니다:
\ProgramData\, \IETldCache\, \Boot\, \Program Files\, \Tor Browser\, \All Users\, \Local Settings\, \Windows\, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, ntldr, NTDETECT.COM, Bootfont.bin, A:\, SQL, .ani , .cab , .cpl , .cur , .diagcab , .diagpkg , .dll , .drv , .hlp , .ldf , .icl , .icns , .ico , .ics , .lnk , .key , .idx , .mod , .mpa , .msc , .msp , .msstyles , .msu , .nomedia , .ocx , .prf , .rom , .rtp , .scr , .shs , .spl , .sys , .theme , .themepack , .exe , .bat , .cmd , .sigrun_key , .sigrun , .admin
그리고 파일을 암호화 후 .sigrun 확장자를 붙입니다. 예를 들어, test.jpg 파일이 암호화 되면 test.jpg.sigrun으로 이름이 변경 됩니다.
파일이 암호화 된 각각의 폴더에는 RESTORE-SIGRUN.txt, RESTORE-SIGRUN.html라는 이름의 랜섬노트가 생성 됩니다. 이 랜섬노트에는 앞으로 피해자의 파일에 발생할 일과, 지불 방법을 알기 위해 sigrun_decryptor@protonmail.ch에 연락하라는 정보 등이 포함 되어 있습니다.
<Sigrun의 HTML 랜섬노트>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/sigrun-ransomware-author-decrypting-russian-victims-for-free/>
Sigrun 랜섬웨어는 아직까지 제작자의 도움을 받지 않는 한 무료로 복호화 할 수 없는 상태입니다.
현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Sigrun으로 탐지중에 있습니다.
출처 :
수 천개의 프로젝트에 영향을 미치는 ‘Zip Slip’ 취약점 발견 (0) | 2018.06.07 |
---|---|
Ticketfly 웹사이트 해킹 및 중단 되고, 해커가 고객 정보 유출 해 (0) | 2018.06.05 |
MS, Github 인수해 (0) | 2018.06.04 |
75%의 Redis 서버들, 악성코드 감염 돼 (0) | 2018.06.04 |
윈도우의 JScript 컴포넌트에서 원격 코드 실행 취약점 발견 돼 (0) | 2018.06.04 |
댓글 영역