외국 악성코드 정보2016. 6. 24. 16:00

작년 랜섬웨어 이슈면서 해야 할 프로젝트가 있어서 간단히 작성.

 

우선 해당 랜섬웨어는 특정 프로그램의 크랙으로 위장하여져 있다. 이래서 불법 다운로드 하지 말라는거다.


keygen.exe - 409AFDEF79729D7D66937DE28232B066





해당 악성코드를 실행하게 되면 readme_liesmich_encryptor_raas.txt 파일을 생성하고 파일을 암호화한다.




ATTENTION!

The files on your computer have been securely encrypted by Encryptor RaaS.

In order to get access to your files again, follow the instructions at:

http://zem6b3aofh2ysehq.onion.link/vict?cust=1556e9790329953a5ccfe779366c83cc2efe1f05&guid=1456060a-2362-4c72-9554-42518cf26307&ever=2016-05-11_1&wver=0501280a4333&fc=4579

https://zem6b3aofh2ysehq.onion.cab/vict?cust=1556e9790329953a5ccfe779366c83cc2efe1f05&guid=1456060a-2362-4c72-9554-42518cf26307&ever=2016-05-11_1&wver=0501280a4333&fc=4579

https://zem6b3aofh2ysehq.onion.to/vict?cust=1556e9790329953a5ccfe779366c83cc2efe1f05&guid=1456060a-2362-4c72-9554-42518cf26307&ever=2016-05-11_1&wver=0501280a4333&fc=4579

https://zem6b3aofh2ysehq.tor2web.org/vict?cust=1556e9790329953a5ccfe779366c83cc2efe1f05&guid=1456060a-2362-4c72-9554-42518cf26307&ever=2016-05-11_1&wver=0501280a4333&fc=4579


If all of those sites are unreachable, please send one of those links to jeiphoos@sigaint.org in order to get a new one.



ACHTUNG!

Die Dateien auf Ihrem Computer wurden von Encryptor RaaS sicher verschluesselt.

Um den Zugriff auf Ihre Dateien wiederzuerlangen, folgen Sie der Anleitung auf:

http://zem6b3aofh2ysehq.onion.link/vict?cust=1556e9790329953a5ccfe779366c83cc2efe1f05&guid=1456060a-2362-4c72-9554-42518cf26307&ever=2016-05-11_1&wver=0501280a4333&fc=4579

https://zem6b3aofh2ysehq.onion.cab/vict?cust=1556e9790329953a5ccfe779366c83cc2efe1f05&guid=1456060a-2362-4c72-9554-42518cf26307&ever=2016-05-11_1&wver=0501280a4333&fc=4579

https://zem6b3aofh2ysehq.onion.to/vict?cust=1556e9790329953a5ccfe779366c83cc2efe1f05&guid=1456060a-2362-4c72-9554-42518cf26307&ever=2016-05-11_1&wver=0501280a4333&fc=4579

https://zem6b3aofh2ysehq.tor2web.org/vict?cust=1556e9790329953a5ccfe779366c83cc2efe1f05&guid=1456060a-2362-4c72-9554-42518cf26307&ever=2016-05-11_1&wver=0501280a4333&fc=4579


Falls keine der Seiten erreichbar sein sollte, senden Sie bitte einen der Links an jeiphoos@sigaint.org um einen neuen zu erhalten.


악성코드 내부에서 확인된 확장자는 아래와 같다,


aac  aaf  abbu  abw  accdb  adr  aep  aepx  aet  ahk  ai  aif  alt  ape  apk  arc  arv  as  as3  asc  asf  ashdisc  asm  asmx  asp  aspx  asx  aup  avi  ba0  backup  bak  bas  bbb  bc  bc!  bcmx  bdb  bde  bdf  bdg  bdi  bdk  bdl  bdm  bdmv  bdsproj  bdw  bdx  bee  ben  bes  bex  bexpk  bf  bf2  bfa  bfb  bfe  bff  bgz  bhx  bib  bibtex  bik  bkf  bkp  bks  bkup  bmp  bpl  bpn  bson  btd  bz2  c  c++  cad  cadp  caf  cal  cbu  cc  cda  cdf  cdi  cdr  cdt  cdx  cer  cert  cfc  cfg  cfm  cgi  cgn  chk  chr  class  clk  cmx  cnt  cod  conf  cpio  cpp  cpt  cpx  crd  crt  crypt7  cs  csl  csproj  csr  csv  cue  d64  data  db3  dbf  dbt  dbx  dcp  dds  ddz  del  dem  des  deviceids  df  dfd  dfproj  dia  dir  diz  dlc  dmg  doc  docb  docm  docx  dot  dotm  dotx  dqy  drw  ds4  dsb  dsf  dsn  dta  dtr  dtv  dwg  dxf  ebk  eddx  edoc  efx  elfo  eml  emlx  enc  eps  epub  es  es~  ex4  exp  fdb  fdf  ff1  ffa  ffl  ffo  ffs_db  fft  ffu  ffx  fh10  fh11  fi2  fig  fil  fim  fla  flac  flg  flp  flv  fmd  fmv  fpt  fpx  ftp  fx0  fx1  fxr  gam  gar  gbc  gcode  gem  gho  ghs  gid  gif  gla  gpg  gpx  gz  h  h++  hbk  hdd  hds  hex  hpp  hst  htc  hwp  hwp  ico  ics  idml  idx  if  iff  iif  imb  img  imh  iml  imm  in0  indb  indd  indl  indt  ini2  int  inx  ipd  iso  isz  iwa  j2k  jad  jar  java  jdb  jks  jmf  jp2  jpeg  jpf  jpg  jpm  jpx  json  jsp  jspa  jspx  jst  k1f  kb1  kcf  kch  kcl  kdb  kdbx  key  keynote  kml  kmz  knt  kpr  lbl  ld  ldif  lgb  lib  lic  lis  lpd  ls  ltx  lwp  lyc  lyt  lzma  m3u  m3u8  m4a  m4u  m4v  mab  mac  mar  max  mb  mbox  mcs  md2  mdb  mdbackup  mddata  mde  mdf  mdi  mdinfo  mds  mdw  mdx  met  mid  mke  mkv  mmf  mnu  mobileprovision  mod  mon  mov  mozeml  mp3  mp4  mpa  mpb  mpeg  mpg  mpj  mpp  mq4  mqh  ms  msf  msg  mso  mta  mts  mus  mx0  myd  myf  myi  nam  nap  nba  nbf  nbi  nbu  nbz  nco  nd  nes  net  new  nfo  nick  nng  note  nr  nrg  nri  nru  ns  nzb  oa4  oac  odb  odc  ods  odt  ogg  old  ops  opt  or4  org  otm  ott  ova  ovf  ovpn  oxps  p  p12  p2i  p65  p7  pages  pat  pbi  pcd  pct  pcx  pdf  pdfx  pehape  pem  pfb  pfq  pfx  pgp  php  php3  php4  php5  phps  phpx  phpxx  phtm  phtml  pic  pid  pins  pip  pk  pl  plb  plist  plt  pmd  pmk  pmx  pnf  png  pot  potm  potx  pp4  pp5  ppam  ppdf  ppf  ppj  pps  ppsm  ppsx  ppt  pptm  pptx  pref  prn  prproj  prt  ps  ps1  psd  psp  pspimage  pst  ptb  ptn  ptn2  pub  pvm  pwd  pwi  px  py  pym  qba  qbb  qbi  qbm  qbo  qbp  qbquery  qbr  qbw  qbx  qby  qcn  qcow  qcow2  qpd  qsm  qss  qst  qt  qwc  qxp  r0  ra  rar  raw  rb  rdp  recipients  recipientsbackup0  recipientsbackup1  recipientsbackup2  recipientsbackup3  recipientsbackup4  recipientsbackup5  recipientsbackup6  recipientsbackup7  recipientsbackup8  recipientsbackup9  repl  rif  riff  rm  rpb  rtf  rtp  s  sam  sav  sb  sbf  sct  scv  sdc  sdf  sdi  sds  sdx  sdy  secure  seed  sel  seq  ses  set  sfs  sfv  shlb  shs  shw  skb  skd  skp  sldm  sldx  slf  sln  slt  sme  smk  smm  smp  smr  sms  spb  spi  spro  sql  sqlite  sqlitedb  srp  srt  srv  ssc  ssi  sss  stf  stg  stl  stw  sub  suo  svg  swf  sxw  symbolmap  syncdb  tag  tar  tav  tb3  tc  tdl  tex  tga  thm  tib  tif  tiff  tlg  tlx  toast  torrent  tpl  ts  tv  tvc  txt  ucd  ufo  user  v30  val  vbk  vcard  vcd  vcf  vcs  vcxproj  vdi  vfs4  vhd  vhdx  vir  vmc  vmdk  vmx  vob  vsd  vsv  wab  wallet  war  wav  wbk  wbverify  wc  wdseml  webarchive  webm  whtt  wi  wim  win  wk3  wk4  wlt  wma  wmb  wmf  wmv  workflow  wpb  wpd  wpg  wps  wsb  xcf  xdw  xed  xg0  xg1  xg2  xla  xlam  xlg  xlk  xll  xlm  xlr  xls  xlsb  xlsm  xlsx  xlt  xltm  xltx  xlw  xoml  xpm  xqx  xsn  xz  yg0  yg1  yg2  yuv  z  zip  zipx  


Posted by Ec0nomist

댓글을 달아 주세요