랜섬머니를 요구하지 않는 랜섬웨어, 러시아를 타겟으로 해

최근 러시아를 타겟으로 하는 랜섬웨어 샘플이 발견되었습니다. 

흥미로운 것은, 해당 랜섬웨어는 일반 랜섬웨어와 다르게 랜섬머니를 요구하지 않는 대신 전쟁을 멈추라는 메세지를 띄웁니다. 

랜섬웨어는 사용자 PC에서 실행된 후, 사용자 PC에서 실행되고 있는 프로세스를 나열하고, 실행중인 프로세스를 종료합니다. 또한 뮤텍스를 생성한 후 감염된 시스템의 볼륨을 식별하여 암호화를 시작합니다. 

CD-ROM을 제외하고 식별된 모든 드라이브에 파일들을 암호화 합니다. 

 

[그림 1] CD-ROM을 제외한 식별된 모든 드라이브에 있는 파일 암호화

암호화 후 확장자를 ".putinwillburnunhell" 로 변경한 후 "RUSSKIJ VOENNIJ KORABL IDI NAHUJ"라는 .html  파일을 띄웁니다. 해당 문구를 번역하면 "RUSSIAN WARSHIP GO F**K"이라는 뜻입니다.

 

 

[그림 2] 암호화 후 .putinwillburnunhell로 확장자 변경

 

 

[그림 3] 암호화 후 띄우는 랜섬노트

 

 

[그림 4] 랜섬노트 문구 구글 번역 화면

 

 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Filecoder로 탐지중에 있습니다. 

 

 

 

 

 

참고 : 

https://blog.cyble.com/2022/03/17/dissecting-the-ransomless-antiwar-malware-zero-demand-for-ransom/