포스팅 내용

악성코드 분석 리포트

Sodinokibi 랜섬웨어 랜섬노트에 한국어/중국어 메시지 추가


안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 유포되는 Sodinokibi 랜섬웨어 에 한가지 큰 변화가 생겼습니다.

랜섬웨어에 감염되었을때 바뀌는 바탕화면 이미지와 랜섬노트에 기존 영어 메시지 외에 한국어 메시지와 중국어 메시지가 추가되었다는 부분입니다.


이달 초인 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어를 보면 감염시 변경되는 바탕화면 이미지와 랜섬노트 메시지에 영어로 작성된 내용만 있다는 것을 확인할 수 있습니다.


[그림 1] 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어에 감염된 바탕화면 이미지



[그림 2] 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어의 랜섬노트



그러나, 8월 21일에 유포된 Sodinokibi 랜섬웨어를 살펴보면 랜섬노트에 영어 메시지 외에 한국어와 중국어로 작성된 메시지가 추가되었고 또한, 랜섬웨어 감염시 감염메시지를 보여주는 바탕화면 이미지에도 한국어/중국어가 역시 추가된 것이 확인되고 있습니다.


[그림 3] 2019년 8월 21일에 유포된 Sodinokibi 랜섬웨어에 감염된 바탕화면 이미지에 한국어/중국어 추가



[그림 4] 2019년 8월 21일에 유포된 Sodinokibi 랜섬웨어의 랜섬노트에 추가된 한국어 메시지 일부



한국어와 중국어로 작성된 텍스트 내용 전문은 다음과 같습니다. 


한국어 메시지


--- === 환영합니다. 다시. === ---


[+] 일이 어떻게됩니까? [+]


파일이 암호화되어 현재 사용할 수 없습니다. 그것을 확인할 수 있습니다.

우리의 지시를 따르는 것이 가능합니다. 그렇지 않으면 데이터를 반환 할 수 없습니다 (절대로).


[+] 보장은 무엇입니까? [+]


그것의 다만 사업. 혜택을 얻고 있습니다. 당신이 우리의 장인이 아닌 경우 우리의 관심사가 아닙니다.

파일을 반환하는 기능을 확인하려면 당사 웹 사이트로 이동해야합니다. 거기에서 무료로 하나의 파일을 해독 할 수 있습니다. 그것은 우리의 보증입니다.

그건 중요하지 않아. 그러나 당신은 개인 키를 잃어 버릴 것입니다. 실제로 - 시간은 돈보다 훨씬 가치가 있습니다.


[+] 웹 사이트에 액세스하는 방법? [+]


두 가지 방법이 있습니다.


1) [추천] TOR 브라우저 사용!

  a)이 사이트에서 TOR 브라우저를 다운로드하여 설치하십시오 : https://torproject.org/

  b) 웹 사이트를 엽니 다. http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/FC91DB4B5256E28F


2) 귀하의 국가에서 TOR이 차단 된 경우 VPN을 사용해보십시오! 하지만 보조 웹 사이트를 사용할 수 있습니다. 이것을 위해 :

  a) 모든 브라우저 열기 (Chrome, Firefox, Opera, IE, Edge)

  b) 보조 웹 사이트를 엽니 다. http://decryptor.top/FC91DB4B5256E28F


경고 : 보조 웹 사이트를 차단할 수 있습니다.


저희 웹 사이트를 열 때,

키 :


mRtgAbN5+d95PRTAWzhsU92xCV13K+XqpsWz56jnlDmgq13FuLkYKPn+UW2TDL7V

7k6faqVHvUqArjHsbgienUb6Pp9nmXrqcahu+KlfkZ4C1SwUPxKJOp5bF8e1WK1H

a9xLeop6a0sOXmIZdeKOvgRNClkiMRhnv5NobSVbER1hDFUtqiWag1joTy62oeME

jTbdSD9c3nhmIRRJzm0E/1//nUZ0dY89yhQFLAtjkM9EU7of0nrW4p+duLPeX4Yq

pfLoGwUnpB2XO7b7uv7BqRXivZLw422/M2jf7RW9lyRMgFNJKcFAcJDHue5VoauW

Qrz0yZ5lkFNMeTzuITNgBIkJZ03bCBG9VOdEXwcx9oeXLdNfs419DXhgBH+XzAJ6

07XcMxwqM/bBF4a7wPF8H9ZgnRj3gsviEsoPBER4+tzztf3CZbKVib5SLn/U3nKo

k9PDZ4pQZVeXkWUTVOFB8WiRZ8lstlaNSIj7ArtC/qoYpYNBQjsPl6Oh9L796o28

UYzsqvKp03F0MmPFBHZ6v9+f+D8+RUEULWSqyNFSb6g/39efEXWiN6MP+Y5GkDzL

WIndeaaXQNtdU34h1hh/M9VYkzAizVAUKbD7xUEATrFiFvqqyiX5MpfXAEdyYdIX

T5vHKuJP6o/wKzVyPxGopTWcIswtJb6gSXSDwynkYKjZaEeOGpa2E2CoBk85D/ng

C4qckoBqkdGyP5oD7u6m8U6P0I7hAob5fwQbkzNyt2ui6SHWzfbLh/3vzhZGagsI

0OpyyoU9FLxUwObkznt4QRF/+Itt3oc/djNSsUSJAI4PsIi4m6WgaWEt6gzcdH9X

wQlk63cBKKkANEg0bElV84Wwimyo93p0T+LuC8mPHrgGsyo0HSmZj17esVGcnstt

1fImUGyVPa60sxYRQ4JqjySxRAXz2n6GcfsVL6TQ66snTFKlsq7UPnpmoJ+IyIvt

WykEQc02OpFZx9Izs2qfsYLShy8etksgg56v4yINr7qvN5jR5ePKUBs8jLK3R9LR

gSnS4oYk7/8c73aA+Hjszfjb2dIiI4D2yfLRXXPt8LGcWNTVn7v6xI2WlcXtGgMN

CR6pDIHqfjIRvRIt9yuyf3dEwa0gzLMeWtAxI8TrbvMCntT+cBFSvQqbEnCqRRvP

3T4OKzCU55pztCszJjw3bJSfnsLlWLS6bhg0ipLSvLAxstkzP3i/lm2GZ8B3VMQX

bpa3GC3KYjbybG7LeWIdcP+g9Fa/RFgoucy4nndeXREut9e5I7fvpm6zlQO1QU/g

6DddYJbowLTUSS+R1RO3Q9KB4OmOqTW218EVL7tfSY8YrcY07t0bAXYpIclUPt/k

82U=




확장자 이름 :


7wx1k7m


-------------------------------------------------- ---------------------------------------


!!! 위험 !!!

자신의 개인적인 삶을 구성해야합니까? 데이터 또는 바이러스 백신 솔루션을 변경하려고하지 마십시오.

!!! !!! !!!

한 번 더 : 파일을 다시 받으십시오. 우리 편에서, 우리는 간섭해서는 안됩니다.

!!! !!! !!!



중국어 메시지


--- === 歡迎。再次。 === ---


[+] 發生了什麼事? [+]


您的文件已加密,目前無法使用。您可以檢查它:您計算機上的所有文件都有擴展名 7wx1k7m。

順便說一句,一切都可以恢復(恢復),但你需要按照我們的指示。否則,您無法返回數據(從不)。


[+] 有什麼保證? [+]


它只是一個企業。除了獲得福利外,我們絕對不關心您和您的交易。如果我們不做我們的工作和責任 - 沒有人不會與我們合作。這不符合我們的利益。

要檢查返回文件的能力,您應該訪問我們的網站。在那裡你可以免費解密一個文件。這是我們的保證。

如果您不配合我們的服務 - 對我們而言,無所謂。但是你會丟失你的時間和數據,因為我們只有私鑰。在實踐中 - 時間比金錢更有價值。


[+] 如何訪問網站? [+]


你有兩種方式:


1)[推薦]使用TOR瀏覽器!

  a)從該站點下載並安裝TOR瀏覽器:https://torproject.org/

  b)打開我們的網站:http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/FC91DB4B5256E28F


2)如果您所在國家/地區的TOR被阻止,請嘗試使用VPN!但您可以使用我們的二級網站。為了這:

  a)打開任何瀏覽器(Chrome,Firefox,Opera,IE,Edge)

  b)打開我們的二級網站:http://decryptor.top/FC91DB4B5256E28F


警告:可以阻止輔助網站,這就是為什麼第一個變體更好,更可用。


當您打開我們的網站時,請在輸入表單中輸入以下數據:

鍵:


mRtgAbN5+d95PRTAWzhsU92xCV13K+XqpsWz56jnlDmgq13FuLkYKPn+UW2TDL7V

7k6faqVHvUqArjHsbgienUb6Pp9nmXrqcahu+KlfkZ4C1SwUPxKJOp5bF8e1WK1H

a9xLeop6a0sOXmIZdeKOvgRNClkiMRhnv5NobSVbER1hDFUtqiWag1joTy62oeME

jTbdSD9c3nhmIRRJzm0E/1//nUZ0dY89yhQFLAtjkM9EU7of0nrW4p+duLPeX4Yq

pfLoGwUnpB2XO7b7uv7BqRXivZLw422/M2jf7RW9lyRMgFNJKcFAcJDHue5VoauW

Qrz0yZ5lkFNMeTzuITNgBIkJZ03bCBG9VOdEXwcx9oeXLdNfs419DXhgBH+XzAJ6

07XcMxwqM/bBF4a7wPF8H9ZgnRj3gsviEsoPBER4+tzztf3CZbKVib5SLn/U3nKo

k9PDZ4pQZVeXkWUTVOFB8WiRZ8lstlaNSIj7ArtC/qoYpYNBQjsPl6Oh9L796o28

UYzsqvKp03F0MmPFBHZ6v9+f+D8+RUEULWSqyNFSb6g/39efEXWiN6MP+Y5GkDzL

WIndeaaXQNtdU34h1hh/M9VYkzAizVAUKbD7xUEATrFiFvqqyiX5MpfXAEdyYdIX

T5vHKuJP6o/wKzVyPxGopTWcIswtJb6gSXSDwynkYKjZaEeOGpa2E2CoBk85D/ng

C4qckoBqkdGyP5oD7u6m8U6P0I7hAob5fwQbkzNyt2ui6SHWzfbLh/3vzhZGagsI

0OpyyoU9FLxUwObkznt4QRF/+Itt3oc/djNSsUSJAI4PsIi4m6WgaWEt6gzcdH9X

wQlk63cBKKkANEg0bElV84Wwimyo93p0T+LuC8mPHrgGsyo0HSmZj17esVGcnstt

1fImUGyVPa60sxYRQ4JqjySxRAXz2n6GcfsVL6TQ66snTFKlsq7UPnpmoJ+IyIvt

WykEQc02OpFZx9Izs2qfsYLShy8etksgg56v4yINr7qvN5jR5ePKUBs8jLK3R9LR

gSnS4oYk7/8c73aA+Hjszfjb2dIiI4D2yfLRXXPt8LGcWNTVn7v6xI2WlcXtGgMN

CR6pDIHqfjIRvRIt9yuyf3dEwa0gzLMeWtAxI8TrbvMCntT+cBFSvQqbEnCqRRvP

3T4OKzCU55pztCszJjw3bJSfnsLlWLS6bhg0ipLSvLAxstkzP3i/lm2GZ8B3VMQX

bpa3GC3KYjbybG7LeWIdcP+g9Fa/RFgoucy4nndeXREut9e5I7fvpm6zlQO1QU/g

6DddYJbowLTUSS+R1RO3Q9KB4OmOqTW218EVL7tfSY8YrcY07t0bAXYpIclUPt/k

82U=




分機名稱:


{} EXT


-------------------------------------------------- ---------------------------------------


!危險 !!!

不要試圖自己更改文件,不要使用任何第三方軟件來恢復您的數據或防病毒解決方案 - 它可能需要篡改私鑰,因此,丟失所有數據。

! ! !

還有一次:為了您的利益而將文件歸還。在我們這邊,我們(最好的專家)為恢復做了一切,但請不要干涉。

! ! !



ESRC에서는 RaaS(Ransomware as a Service) 형태로 제작되는 Sodinokibi 랜섬웨어가 유포하려는 대상을 한국과 중국을 주요 타겟으로 삼았다고 판단하고 있습니다. 랜섬노트 내용과 바탕화면 이미지가 변경된 것 외에, 다른 부분은 아직까지 기존 Sodinokibi 랜섬웨어와 거의 동일한 것이 확인되고 있으나 지속적으로 Sodinokibi 랜섬웨어의 활동과 업데이트되는 내용을 모니터링/분석할 계획입니다. 


티스토리 방명록 작성
name password homepage