최근 확인된 Hakuna matata 라는 이름의 랜섬웨어는 에니메이션 라이언 킹의 OST에서 이름을 따온 것으로 보이며

 

이 랜섬웨어의 특징으로는 ClipBanker 기능을 이용하여 전자 지갑 주소를 바꿔치기 한다는 겁니다

 

파일 암호화가 완료된 이후 암호화에 사용된 악성코드와 이벤트 로그를 삭제되어 정확한 감염 경로를 확인하기 어렵지만

 

허술한 원격 데스크톱을(RDP) 계정을 사용하는 시스템을 찾아 무차별 대입 공격을 통해 얻어낸 계정 정보를 이용하여 시스템에 침투 했을 것으로 보입니다

 

시스템에 침투한 해커는 추가 감염이 가능한 장치를 찾기위해 네트워크 검색 툴과 GMER 안티 루트킷 도구를 이룔하여 보안 프로그램의 기능을 중지 시키는 작업을 합니다

 

이 후에 v7.exe 또는 v10.exe 이름의 랜섬웨어 파일을 실행 시킵니다

 

실행된 랜섬웨어 악성코드는 rundll32.exe 파일로 자가 복제를 하여 정상 프로세스로 위장을 합니다

 

파일 암호화가 진행되면 아래 목록의 폴더, 파일을 암화화에서 제외 시키고 다수의 프로세스도 종료 시킵니다

 

<암호화 제외 폴더>

$recycle.bin, boot, documents and settings, games, intel, msocache, nvidia, perflogs, program files, program files (x86), programdata, windows, windows.old, windows.old.old

 

<암호화 제외 파일>

autorun.inf, boot.ini, bootfont.bin, bootmgfw.efi, bootmgr, bootmgr.efi, desktop.ini, iconcache.db, ntuser.dat, ntuser.ini, thumbs.db

 

<종료 하는 프로세스>

agntsvc, CNTAoSMgr, code, dbeng50, dbsnmp, encsvc, excel, firefoxconfig, infopath, isqlplussvc, mbamtray, msaccess, msftesql, mspub, mydesktopqos, mydesktopservice, mysqld, mysqld-nt, mysqld-opt, Ntrtscan, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, PccNTMon, powerpnt, ProcessHacker, sqbcoreservice, sqlagent, sqlbrowser, sqlservr, sqlwriter, steam, synctime, tbirdconfig, thebat, thebat64, thunderbird, tmlisten, VBoxSVC, VirtualBoxVM, visio, vmplayer, winword, wordpad, xfssvccon, zoolz

 

이 외에도 복구를 못하도록 윈도우 볼륨 쉐도우 복사본을 삭제 합니다

 

확장자 변경은 "문서.txt.<랜덤 5자리 문자>" 형태로 변경 되는데 파일 마다 <랜덤 5자리 문자>가 모두 다르게 변경 됩니다

 

암호화된 폴더에는 "<컴퓨터 이름>-id-README.txt" 이름의 안내 파일이 생성 됩니다

 

안심백업_백업웨어.gif

 

안내 파일 형식은 Hakuna matata 랜섬웨어 발견 시기 마다 약간의 차이는 있지만 72시간 안에 몸값을 지불하라는 내용은 동일 합니다

 

또한 랜덤한 이름의 JPG 파일로 이미지로 바탕화면을 변경 합니다

 

바탕화면 이미지 역시 발견 시기 마다 다를 수 있습니다

 

안심백업_백업웨어2.gif

 

그리고, 윈도우 부팅 때 마다 자동 실행하기 위해서 시작 레지스트리에 값을 추가 합니다

 

위에서 언급 한것과 같이 Hakuna matata 랜섬웨어는 ClipBanker 기능이 포함되어 자가복제된 rundll32.exe을 통해 클립보드를 모니터링 하다가 전자 지갑 주소가 확인 되면 해커가 지정한 전자 지갑 주소로 바꿔치기 합니다

 

예를 들면 사용자가 가상화폐를 송금 하기 위해 메모장 등에 저장된 12345 라는 전자 지갑 주소를 복사 하여 받을 전자 지갑 주소에 붙여 넣기 하면 67890 으로 바꿔 치기 하여 엉뚱한 곳으로 송금 되도록 합니다

 

 

 

 

 

 

 

랜섬웨어에 대한 피해 예방은 안전한 백업 입니다

백업웨어는 안전 합니다

 

번호제목
공지 랜섬웨어 피해예방 5대 수칙
» 랜섬웨어 Hakuna matata - ClipBanker 기능을 이용한 전자지갑 주소 바꿔치기 file
143 랜섬웨어 변종 Magniber - 안내파일 이름 변경과 작업스케줄러 등록 file
142 랜섬웨어 CryptJoker - 빠른 파일 암호화 진행 file
141 랜섬웨어 AXLocker - 디스코드 웹훅 기능을 악용 file
140 랜섬웨어 Rhysida - 칠레 육군의 내부 정보를 유출 file
139 랜섬웨어 DarkBit - 이스라엘 공과대학을 공격한 정치적 목적의 랜섬웨어 file
138 랜섬웨어 RA Group - 유출된 Babuk Locker 랜섬웨어 코드로 만들어진 변종 file
137 랜섬웨어 Royal - 윈도우는 물론 리눅스 에서도 동작 file
136 랜섬웨어 변종 Black Basta - ESET Update 파일로 위장 file
135 랜섬웨어 Akira - VPN을 통해 국내 제약 회사를 공격!! file
134 랜섬웨어 DARKY LOCK - 유출된 Babuk Locker 코드로 만들어진 랜섬웨어 file
133 랜섬웨어 Money Message - 암호화중 변경된 파일 확장명을 되돌려 놓는 랜섬웨어 file
132 랜섬웨어 BTC_azadi - 네트워크 드라이브에서도 실행 file
131 Avast사 TargetCompany 랜섬웨어 복구툴 공개!! file
130 랜섬웨어 Trigona - 서버에 접근 가능한 계정을 획득하여 공격 file
129 BianLian 랜섬웨어 복구툴 공개 !! file
128 랜섬웨어 BianLian - Go 개발 언어로 만들어지고 기업을 대상으로 공격 바이러스 백업웨어 file
127 랜섬웨어 ARCrypter - 수정한 날짜 형식을 변경 file
126 2022년11월 변종 Magniber 랜섬웨어 - 윈도우의 제어된 폴더 엑세스 보안 기능을 해제 file
125 랜섬웨어 Azov - WinRAR 압축 프로그램으로 위장 file