Princess Evolution Ransomware is a RaaS With a Slick Payment Site
Princess Locker 랜섬웨어의 새로운 변종이 Princess Evolution이라는 이름으로 배포 되고 있습니다. 이전 버전과 마찬가지로, Princess Evolution은 서비스형 랜섬웨어(RaaS)이며 언더그라운드 범죄 포럼들에서 광고 되고 있습니다.
이 랜섬웨어가 여러 협력사를 통해 배포 되고 있기 때문에, 수 많은 배포 방식을 사용하고 있습니다. 이 랜섬웨어를 배포하는 방식 중 하나는 RIG 익스플로잇 키트로 밝혀졌습니다.
안타깝게도, 현재로써는 Princess Evolution으로 암호화 된 파일을 복호화 할 수 있는 방법은 없습니다.
Princess Evolution, 언더그라운드 범죄 사이트들에서 홍보 돼
Princess Evolution 랜섬웨어는 서비스형 랜섬웨어입니다. 개발자는 랜섬웨어 배포를 위해 협력자를 모집하며 피해자가 돈을 지불할 때 마다 개발자는 전체 금액의 40%를, 배포자는 나머지 60%를 받습니다.
이러한 유형의 계약을 통해, 개발자는 랜섬웨어 프로그램을 개발 및 지원하고 협력자들은 배포에만 집중해 돈을 벌어들일 수 있게 됩니다.
Princess Evolution은 언더그라운드 범죄 사이트를 통해 홍보 되고 있습니다.
Princess Evolution의 구인 포스팅
<이미지 출처 : https://www.bleepingcomputer.com/news/security/princess-evolution-ransomware-is-a-raas-with-a-slick-payment-site/>
이 포스팅은 이 서비스형 랜섬웨어의 자세한 정보를 포함하고 있습니다.
<이미지 출처 : https://www.bleepingcomputer.com/news/security/princess-evolution-ransomware-is-a-raas-with-a-slick-payment-site/>
Princess Evloution이 컴퓨터를 암호화하는 방법
Princess Evolution이 시작 되면, 이는 Princess Locker가 동일한 기기에서 두 번 이상 실행 되지 않도록 하는 안전 체크 2건을 실행합니다. 첫번째는 “hoJUpcvgHA”라는 mutex를 생성하고 %AppData%\MeGEZan.VDE 파일을 생성합니다. 이 둘 중 하나라도 탐지될 경우 랜섬웨어는 실행 되지 않을 것입니다.
Princess Evolution이 실행 가능한 조건일 경우, 이는 아래의 UDP를 통해 C&C와 통신합니다. TrendMicro에 따르면 이는 감염 된 컴퓨터명, 네트워크 인터세이프 명, OS 버전, 피해자, 암호화 키 등을 전송합니다.
정보를 주고 받은 후, 이는 암호화할 파일을 찾아 드라이브를 스캔할 것입니다. 또한 각각의 피해자마다 고유의 랜덤 확장자를 생성해 파일 뒤에 붙입니다. 예를들어, 연구원들이 테스트했을 때 사용 된 랜덤 확장자는 . 7kfsAJ 였습니다.
파일을 암호화 하고, 이는 각각의 폴더에 (_H0W_TO_REC0VER_[확장자].url, (_H0W_TO_REC0VER_[확장자].txt, (_H0W_TO_REC0VER_[확장자].html 파일 3개를 생성합니다. Txt와 html 랜섬 노트에는 TOR 지불 사이트 링크와 피해자의 고유 ID를 포함하고 있습니다. URL 파일은 TOR 지불 사이트를 엽니다.
Princess Evolution의 TOR 지불 사이트에서는 피해자가 랜섬웨어 지불 방법, 랜섬 머니 금액, 파일 하나를 무료로 복호화 할 수 있는 기능 및 다양한 지침에 대한 정보를 얻을 수 있습니다. 테스트 ruf과, 랜섬 금액은 0.12 비트코인, 약 $750 USD였습니다.
현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Princess로 탐지중에 있습니다.
출처 :
새 PHP 코드 실행 공격, 워드프레스 사이트들 위험에 빠트려 (0) | 2018.08.20 |
---|---|
광범위한 인스타그램 해킹, 사용자 계정 탈취해 (0) | 2018.08.17 |
Intel CPU, Foreshadow/L1TF 취약점 발견 (0) | 2018.08.16 |
Oracle DB Java VM 컴포넌트 취약점(CVE-2018-3110 ) 주의! (0) | 2018.08.14 |
DNS 하이재킹, 브라질 금융 기관 노려 (0) | 2018.08.14 |
댓글 영역