최근 확인된 Hakuna matata 라는 이름의 랜섬웨어는 에니메이션 라이언 킹의 OST에서 이름을 따온 것으로 보이며
이 랜섬웨어의 특징으로는 ClipBanker 기능을 이용하여 전자 지갑 주소를 바꿔치기 한다는 겁니다
파일 암호화가 완료된 이후 암호화에 사용된 악성코드와 이벤트 로그를 삭제되어 정확한 감염 경로를 확인하기 어렵지만
허술한 원격 데스크톱을(RDP) 계정을 사용하는 시스템을 찾아 무차별 대입 공격을 통해 얻어낸 계정 정보를 이용하여 시스템에 침투 했을 것으로 보입니다
시스템에 침투한 해커는 추가 감염이 가능한 장치를 찾기위해 네트워크 검색 툴과 GMER 안티 루트킷 도구를 이룔하여 보안 프로그램의 기능을 중지 시키는 작업을 합니다
이 후에 v7.exe 또는 v10.exe 이름의 랜섬웨어 파일을 실행 시킵니다
실행된 랜섬웨어 악성코드는 rundll32.exe 파일로 자가 복제를 하여 정상 프로세스로 위장을 합니다
파일 암호화가 진행되면 아래 목록의 폴더, 파일을 암화화에서 제외 시키고 다수의 프로세스도 종료 시킵니다
<암호화 제외 폴더>
$recycle.bin, boot, documents and settings, games, intel, msocache, nvidia, perflogs, program files, program files (x86), programdata, windows, windows.old, windows.old.old
<암호화 제외 파일>
autorun.inf, boot.ini, bootfont.bin, bootmgfw.efi, bootmgr, bootmgr.efi, desktop.ini, iconcache.db, ntuser.dat, ntuser.ini, thumbs.db
<종료 하는 프로세스>
agntsvc, CNTAoSMgr, code, dbeng50, dbsnmp, encsvc, excel, firefoxconfig, infopath, isqlplussvc, mbamtray, msaccess, msftesql, mspub, mydesktopqos, mydesktopservice, mysqld, mysqld-nt, mysqld-opt, Ntrtscan, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, PccNTMon, powerpnt, ProcessHacker, sqbcoreservice, sqlagent, sqlbrowser, sqlservr, sqlwriter, steam, synctime, tbirdconfig, thebat, thebat64, thunderbird, tmlisten, VBoxSVC, VirtualBoxVM, visio, vmplayer, winword, wordpad, xfssvccon, zoolz
이 외에도 복구를 못하도록 윈도우 볼륨 쉐도우 복사본을 삭제 합니다
확장자 변경은 "문서.txt.<랜덤 5자리 문자>" 형태로 변경 되는데 파일 마다 <랜덤 5자리 문자>가 모두 다르게 변경 됩니다
암호화된 폴더에는 "<컴퓨터 이름>-id-README.txt" 이름의 안내 파일이 생성 됩니다
안내 파일 형식은 Hakuna matata 랜섬웨어 발견 시기 마다 약간의 차이는 있지만 72시간 안에 몸값을 지불하라는 내용은 동일 합니다
또한 랜덤한 이름의 JPG 파일로 이미지로 바탕화면을 변경 합니다
바탕화면 이미지 역시 발견 시기 마다 다를 수 있습니다
그리고, 윈도우 부팅 때 마다 자동 실행하기 위해서 시작 레지스트리에 값을 추가 합니다
위에서 언급 한것과 같이 Hakuna matata 랜섬웨어는 ClipBanker 기능이 포함되어 자가복제된 rundll32.exe을 통해 클립보드를 모니터링 하다가 전자 지갑 주소가 확인 되면 해커가 지정한 전자 지갑 주소로 바꿔치기 합니다
예를 들면 사용자가 가상화폐를 송금 하기 위해 메모장 등에 저장된 12345 라는 전자 지갑 주소를 복사 하여 받을 전자 지갑 주소에 붙여 넣기 하면 67890 으로 바꿔 치기 하여 엉뚱한 곳으로 송금 되도록 합니다
랜섬웨어에 대한 피해 예방은 안전한 백업 입니다
백업웨어는 안전 합니다
