포스팅 내용

국내외 보안동향

사용자 파일 삭제하는 히틀러 랜섬웨어 발견

사용자 파일 삭제하는 히틀러 랜섬웨어 발견

Hitler Ransomware Deletes Users Files


사용자의 PC를 고장내고, 1시간 내에 돈을 지불하지 않으면 모든 파일을 삭제해 버리는 새로운 히틀러 테마의 랜섬웨어가 발견되었습니다.


AVG 악성코드 분석가인 Jakub Kroust이 처음으로 발견한 이 새로운 변종은, 랜섬으로 25 유로 Vodafone 카드의 캐쉬 코드를 입력하라고 요구합니다.


Bleeping Computer가 해당 악성코드를 분석한 결과, 악성코드가 실제로 파일들을 암호화 하지 않는 점에서 테스트 변종으로 보인다고 밝혔습니다. 또한 “대신 이 악성코드는 다양한 경로에 저장된 모든 파일의 확장자를 삭제해버린다. 이후 락 스크린을 표시하고, 락 스크린의 아래 쪽에 1시간의 카운트다운을 표시한다. 1시간이 지나면 피해자의 컴퓨터를 고장내 버리고, 재부팅 시 %UserProfile% 아래의 모든 파일들을 삭제해 버린다.”고 말했습니다.


한편, 해당 변종은 조금 비전문적으로 보입니다. 락 스크린에 표시된 'Ransomware' 단어에 오타가 들어가 있기 때문입니다. 락 스크린에는 “Hitler-Ransonware”라고 표시 되어있습니다.


해당 랜섬웨어는 실행되는 동안 taskmgr, utilman, sethc, cmd라는 이름의 모든 프로세스들을 주시하며, 만약 이것이 탐지될 경우 종료시켜 버립니다.


이러한 악성코드에 감염되었을 경우에는 윈도우가 다운되었을 때 자동으로 재시작하지 않도록 설정하는 것이 최선의 선택입니다.


1. 윈도우키+R을 눌러 실행창을 연다.

2. “sysdm.cpl”을 입력한 후 엔터를 누른다.

3. 고급 탭에서 ‘시작 및 복구’의 설정 버튼을 누른다.

4. ‘자동으로 다시 시작’ 옵션을 해제 후, 확인 버튼을 누른다.

5. 설정이 적용되도록 컴퓨터를 재시작한다.


이는 해당 악성코드의 테스트 버전이므로, 정식 버전이 공개되었을 경우 위의 내용과 달라질 수 있습니다.




출처 :

http://www.infosecurity-magazine.com/news/hitler-ransomware-deletes-users/

http://www.bleepingcomputer.com/news/security/development-version-of-the-hitler-ransomware-discovered/


티스토리 방명록 작성
name password homepage