제트 캐시를 요구하는 타나토스 랜섬웨어 유포 주의
안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다.
이번에는 제트캐시를 요구 하는 토토 사이트가 발견되어 사용자들의 주의를 당부 드립니다.
해당 타나토스 토토 사이트는0.1제트 캐시(현재 시세:한화26,700원)을 요구토토 사이트 특징을 가지고 있습니다.이 공격 그룹은 이전에는 비트코인 캐시를 토토 사이트기도 하였습니다.
[그림1]토토 사이트노트 화면
기존 지갑 주소 | 현재 지갑 주소 |
BTC: 1HvEZ1jZ7BWgBYPxqCvWtKja3a9hsNa9Eh ETH: 0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef BCH: qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f | ZEC:t1JBenujX2WsYEZnzxSJDsQBzDquMCf8kbZ |
기존 사용한 이메일 주소 | 현재사용한 이메일 주소 |
thanatos1.1@yandex.com | shadowbrokers@yandex.ru |
[표 1]기존과 현재 랜섬노트 정보 비교
해당 토토 사이트 제작자의 사용자 이름은Artur이며,러시아를 사용토토 사이트 사람으로 추정됩니다.아래는 러시아어‘КОСТЕПИЗДА’로 비속어 입니다.
[그림2]프로그램PDB정보
암호화 대상 경로는 아래와 같고,확장자는 확인하지 않습니다. 따라서 한국어 사용자들은 즐겨찾기를 'Favorites' 로사용하기 때문에 'Favourites' 폴더를 제외하고 암호화 됩니다.
C:\Users\[UserName]\Desktop |
C:\Users\[UserName]\Documents |
C:\Users\[UserName]\Downloads |
C:\Users\[UserName]\Favourites |
C:\Users\[UserName]\Music |
C:\Users\[UserName]\OneDrive |
C:\Users\[UserName]\Pictures |
C:\Users\[UserName]\Videos |
[표 2] 암호화 대상 경로
암호화 코드는 아래와 같으며,암호화 되면 기존 확장자 뒤에.THANATOS가 추가됩니다.
[그림3]암호화 코드
암호화가 완료되면 사용자IP를 확인토토 사이트 사이트에 접속하여 사용자IP정보를 수집 합니다.
알약에서는Trojan.Ransom.Thanatos탐지명으로 추가된 상태이며,또 다른 변종 출현에 대비에 토토 사이트 보안 모니터링을 강화하고 있습니다.
출처:http://blog.alyac.co.kr/1600[이스트시큐리티 알약 블로그]