안녕하세요~ 라 누베입니다. 오늘은 신기한 소식을 하나 들고 왔습니다.
바로 4자리 랜덤확장명으로 암호화하는 Cerber 변종 랜섬웨어입니다.
원피스 영상으로 된 avi 파일이 Cerber에 의해 솰라솰라.be57 로 암호화되고 말았습니다. ㅠㅠ
그런데 이걸 리눅스 시스템으로 들고오니 아래와 같이 열립니다.
원피스 영상이었던 avi 파일이 IMZX35tjoa.be57 로 암호화되었는데도 열리다니요!!!
음성과 영상 모두 정상입니다. 이럴수가!!!
현재까지 확인된 재생 가능한 확장자는 avi, mp4, wmv 동영상 파일이네요.
avi는 코덱 문제 없이 재생이 잘 되며, mp4와 wmv는 음성은 잘 나오고 영상은 코덱을 찾아야 하네요..
그러나 txt, jpg, pdf는 모두 열 수 있다고 아이콘으로 표시는 되나, 열어보면 문서가 손상된 것으로 나옵니다.ㅜㅜ
내일은 mp3와 zip를 테스트해보려고 합니다.
감염된 파일을 제공해주신 미믹아재(?) Ec0nomist 님께 감사드립니다.
mp4와 wmv 영상쪽 코덱을 찾아본다고 하신 Bradly1 님께도 미리 감사드립니다.
리눅스는 데비안-우분투 계열의 리눅스민트 18 (우분투 16.04 기반) 32비트를 사용하였습니다.
-
<추가1>
해시값 비교 : 원본 파일과 암호화된 파일은 파일 크기가 다르고 해시값이 다르다고 나옵니다.
-
<추가2>
be57 확장자를 avi 로 바꾸어 윈도에서 돌려보겠습니다.
영상과 음성이 정상적으로 잘 나옵니다!
mp4 와 wmv 는 확장자를 바꾸었지만, 재생에 실패했습니다 ㅠㅠ
-
<추가3>
mp3, mkv, zip의 테스트도 진행하였습니다.
mp3는 아이콘 표시는 뜨나 음성 재생이 불가능하였고,
mkv도 아이콘 표시는 뜨나 아예 재생이 불가능합니다.
zip는 압축 파일이 손상된 것으로 나옵니다.
--
<추가4>
pdf의 원본과의 HEX 비교입니다. 거의 대부분이 암호화된 것을 볼 수 있습니다.
avi의 원본과의 HEX 비교입니다. 몇몇 부분만이 암호화된 것을 볼 수 있습니다.
wmv의 원본과의 HEX 비교입니다. 암호화 정도가 avi보다 많은 것을 알 수 있습니다.
'IT & Security > 윈도우' 카테고리의 다른 글
| 윈도10 스토어에 우분투가 출시(?)되었습니다! (0) | 2017.07.11 |
|---|---|
| 일부 랜섬웨어 예방을 위해 js,wsf,vbs파일의 WSH 실행차단 (1) | 2017.07.03 |
| Windows와 Office, MSE 제품군의 라이선스 Q&A (0) | 2017.07.03 |
| Petya/GoldenEye 랜섬웨어의 킬스위치 및 앱체크와 V3 (수정) (0) | 2017.07.03 |
| Petya/GoldenEye 랜섬웨어의 킬스위치가 정말 작동하는 것일까요? (0) | 2017.07.03 |