컴퓨터수리, 컴퓨터수리업체-랜섬웨어 Hakuna matata-전자지갑 주소를 바뀌치기

kjch1387 2023.08.23 12:10:45

유지보수 백업웨어 랜섬웨어 랜섬 바이러스 백업 백업방법 안전한백업 쉬운백업 실시간백업 랜섬복구 랜섬웨어예방 랜섬예방 Backup Ransomware Ransom Virus

랜섬웨어에 대한 정보 및 안전한 백업에 대한 영상 입니다

감염시 증상, 특징 등이 설명 되어 있습니다

랜섬웨어에 대비하는 확실한 방법은 안전한 백업 입니다

백업웨어로 안전한 백업과 유지보수를 경험 하세요!!

www.asrgo.com 방문 하시면 컴퓨터에 관한 다양한 정보를 확인할 수 있습니다

고객센터 1688-5863

 

 

노트북프리도스설치방법 데이터복원방법 랜선설치비용 메인보드교체견적 무선AP설치동영상 백업복구프로그램사용법 복원솔루션설치비용 산업용서버수리견적 서버납품견적 서버실구축비용 서버증설방법 수도권PC백업 수도권랜선설치 수도권외장하드수리 스위칭허브가격 스파이웨어치료프로그램 안티랜섬웨어가격 외장하드오류해결방법 윈도우11블루스크린해결방법 윈도우백신추천

 

랜섬웨어 Hakuna matata - ClipBanker 기능을 이용한 전자지갑 주소 바꿔치기 <-클릭

 

최근 확인된 Hakuna matata 라는 이름의 랜섬웨어는 에니메이션 라이언 킹의 OST에서 이름을 따온 것으로 보이며

 

이 랜섬웨어의 특징으로는 ClipBanker 기능을 이용하여 전자 지갑 주소를 바꿔치기 한다는 겁니다

 

파일 암호화가 완료된 이후 암호화에 사용된 악성코드와 이벤트 로그를 삭제되어 정확한 감염 경로를 확인하기 어렵지만

 

허술한 원격 데스크톱을(RDP) 계정을 사용하는 시스템을 찾아 무차별 대입 공격을 통해 얻어낸 계정 정보를 이용하여 시스템에 침투 했을 것으로 보입니다

 

시스템에 침투한 해커는 추가 감염이 가능한 장치를 찾기위해 네트워크 검색 툴과 GMER 안티 루트킷 도구를 이룔하여 보안 프로그램의 기능을 중지 시키는 작업을 합니다

 

이 후에 v7.exe 또는 v10.exe 이름의 랜섬웨어 파일을 실행 시킵니다

 

실행된 랜섬웨어 악성코드는 rundll32.exe 파일로 자가 복제를 하여 정상 프로세스로 위장을 합니다

 

파일 암호화가 진행되면 아래 목록의 폴더, 파일을 암화화에서 제외 시키고 다수의 프로세스도 종료 시킵니다

 

<암호화 제외 폴더>

$recycle.bin, boot, documents and settings, games, intel, msocache, nvidia, perflogs, program files, program files (x86), programdata, windows, windows.old, windows.old.old

 

<암호화 제외 파일>

autorun.inf, boot.ini, bootfont.bin, bootmgfw.efi, bootmgr, bootmgr.efi, desktop.ini, iconcache.db, ntuser.dat, ntuser.ini, thumbs.db

 

<종료 하는 프로세스>

agntsvc, CNTAoSMgr, code, dbeng50, dbsnmp, encsvc, excel, firefoxconfig, infopath, isqlplussvc, mbamtray, msaccess, msftesql, mspub, mydesktopqos, mydesktopservice, mysqld, mysqld-nt, mysqld-opt, Ntrtscan, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, PccNTMon, powerpnt, ProcessHacker, sqbcoreservice, sqlagent, sqlbrowser, sqlservr, sqlwriter, steam, synctime, tbirdconfig, thebat, thebat64, thunderbird, tmlisten, VBoxSVC, VirtualBoxVM, visio, vmplayer, winword, wordpad, xfssvccon, zoolz

 

이 외에도 복구를 못하도록 윈도우 볼륨 쉐도우 복사본을 삭제 합니다

 

확장자 변경은 "문서.txt.<랜덤 5자리 문자>" 형태로 변경 되는데 파일 마다 <랜덤 5자리 문자>가 모두 다르게 변경 됩니다

 

암호화된 폴더에는 "<컴퓨터 이름>-id-README.txt" 이름의 안내 파일이 생성 됩니다

 

안내 파일 형식은 Hakuna matata 랜섬웨어 발견 시기 마다 약간의 차이는 있지만 72시간 안에 몸값을 지불하라는 내용은 동일 합니다

 

또한 랜덤한 이름의 JPG 파일로 이미지로 바탕화면을 변경 합니다

 

바탕화면 이미지 역시 발견 시기 마다 다를 수 있습니다

 

그리고, 윈도우 부팅 때 마다 자동 실행하기 위해서 시작 레지스트리에 값을 추가 합니다

 

위에서 언급 한것과 같이 Hakuna matata 랜섬웨어는 ClipBanker 기능이 포함되어 자가복제된 rundll32.exe을 통해 클립보드를 모니터링 하다가 전자 지갑 주소가 확인 되면 해커가 지정한 전자 지갑 주소로 바꿔치기 합니다

 

예를 들면 사용자가 가상화폐를 송금 하기 위해 메모장 등에 저장된 12345 라는 전자 지갑 주소를 복사 하여 받을 전자 지갑 주소에 붙여 넣기 하면 67890 으로 바꿔 치기 하여 엉뚱한 곳으로 송금 되도록 합니다

 

 

 

 

HDD수리방법 IT컨설팅견적 유지보수 PC백업프로그램가격 PC전원안들어옴 SSD데이터복구비용 게임용그래픽카드최저가 기업유지보수비용 네트워크설치방법 노트북소리안나옴 윈도우프로그램설치삭제 유투브컴최저가 일체형컴퓨터업그레이드견적 조립서버수리 컴퓨터가멈춰요수리견적 컴퓨터기사출장수리견적 백업웨어 컴퓨터느려짐조치동영상 컴퓨터모니터수리 컴퓨터복구프로그램설치비용 컴퓨터수리게시판 컴퓨터재부팅방법 컴퓨터파일공유 파워교체방법 허브가격