제트 캐시를 요구하는 타나토스 랜섬웨어 유포 주의
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
이번에는 제트캐시를 요구 하는 랜섬웨어가 발견되어 사용자들의 주의를 당부 드립니다.
해당 타나토스 랜섬웨어는 0.1 제트 캐시 (현재 시세: 한화 26,700원)을 요구하는 특징을 가지고 있습니다. 이 공격 그룹은 이전에는 비트코인 캐시를 요구하기도 하였습니다.
[그림 1] 랜섬노트 화면
기존 지갑 주소 | 현재 지갑 주소 |
BTC: 1HvEZ1jZ7BWgBYPxqCvWtKja3a9hsNa9Eh ETH: 0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef BCH: qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f | ZEC: t1JBenujX2WsYEZnzxSJDsQBzDquMCf8kbZ |
기존 사용한 이메일 주소 | 현재 사용한 이메일 주소 |
thanatos1.1@yandex.com | shadowbrokers@yandex.ru |
[표 1] 기존과 현재 랜섬노트 정보 비교
해당 랜섬웨어 제작자의 사용자 이름은 Artur 이며, 러시아를 사용하는 사람으로 추정됩니다. 아래는 러시아어 ‘КОСТЕ ПИЗДА’ 로 비속어 입니다.
[그림 2] 프로그램 PDB 정보
암호화 대상 경로는 아래와 같고, 확장자는 확인하지 않습니다. 따라서 한국어 사용자들은 즐겨찾기를 'Favorites' 로 사용하기 때문에 'Favourites' 폴더를 제외하고 암호화 됩니다.
C:\Users\[User Name]\Desktop |
C:\Users\[User Name]\Documents |
C:\Users\[User Name]\Downloads |
C:\Users\[User Name]\Favourites |
C:\Users\[User Name]\Music |
C:\Users\[User Name]\OneDrive |
C:\Users\[User Name]\Pictures |
C:\Users\[User Name]\Videos |
[표 2] 암호화 대상 경로
암호화 코드는 아래와 같으며, 암호화 되면 기존 확장자 뒤에 .THANATOS 가 추가됩니다.
[그림 3] 암호화 코드
암호화가 완료되면 사용자 IP를 확인하는 사이트에 접속하여 사용자 IP정보를 수집 합니다.
알약에서는 Trojan.Ransom.Thanatos 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.
출처: http://blog.alyac.co.kr/1600 [이스트시큐리티 알약 블로그]