NOTICE




1. 소 개 


 최근 Wannacry, Erebus 등 랜섬웨어 관련 사고가 빈번히 발생하는 가운데 서비스형 랜섬웨어(Ransomware of a Service)로 알려진 Satan 랜섬웨어의 한국어 버전이 확인되었습니다. 서비스형 랜섬웨어란 랜섬웨어를 판매, 관리, 배포해주는 서비스입니다. Black Market을 통해 계정을 등록하면 직접 랜섬웨어를 제작하지 않더라도 고유한 버전을 얻을 수 있습니다.


Satan 랜섬웨어 관련 기사: http://www.ajunews.com/view/20170124231523538



 

2. Satan 랜섬웨어 정보


 Satan 랜섬웨어는 정상 explorer.exe에 악의적인 코드를 삽입합니다. 그 결과 악성 explorer.exe는 감염 PC의 데이터를 암호화합니다.


암호화 파일 확장자 정보입니다. 타깃 문자열이 포함되어 있는 모든 확장자 파일이 암호화되는 것을 알 수 있습니다.


 

 뿐만 아니라 백업 파일로 판단되는 파일들은 모두 삭제합니다. 다음은 타깃이 되는 백업 파일 리스트입니다.


 

 암호화된 파일은 랜덤문자열.stn’이라는 이름으로 저장됩니다.



 

 타깃 파일 암호화가 완료되면 “0_HELP_DECRYPT_FILES.html”을 실행시켜서 랜섬웨어 감염 사실을 알립니다.


 

 “0_HELP_DECRYPT_FILES.html”에 포함되어 있는 링크를 따라가면 랜섬웨어 복구 비용 지불 페이지를 확인할 수 있습니다.


 

 

 

3. Satan Ransomware of a Service


 Satan 랜섬웨어 서비스 페이지입니다. Satan 랜섬웨어가 무엇이고 이를 이용해서 어떻게 돈을 벌 수 있는지 설명하고 있습니다.

 

 

 계정 등록 페이지 입니다. Santa 랜섬웨어를 원하는 누구나 등록을 할 수 있습니다.

 


 계정 등록을 하고 나면 접속하게 되는 페이지입니다. 탭 별로 나누어 사용자 옵션들을 설정할 수 있게 되어 있습니다.


 Malwares Tab은 몸값을 설정과 함께 일정 기간이 지났을 때 가격이 얼마나 올라갈지 등을 지정할 수 있습니다.


 

 Droppers Tab은 악성 Microsoft Word 매크로 또는 CHM 설치 프로그램을 만드는데 도움이 되는 코드를 제공합니다.


 

 Translate Tab은 몸값을 요구할 때 사용하는 언어를 확장할 수 있습니다. 초기버전과 달리 네덜란드어, 루마니아어, 인도네시아어, 한국어 등이 추가된 것을 확인할 수 있습니다.

 


Account Tab은 감염된 사람의 금액, 지급 금액 및 기타 정보를 볼 수 있는 페이지입니다.



 최근 들어서 보안과 관련된 대형 사고가 자주 발생하고 있습니다. 누군가가 피해를 입는다는 것은 매우 안타까운 일이지만 이번 일을 계기로 스스로가 경각심을 가지고 보안에 만전을 기하게 되었으면 좋겠습니다.

 

이상으로 "[2017.06.12] Satan 랜섬웨어 정보_ver 17.06.12"에 대한 포스팅을 마치겠습니다.