PC
가전
가전
PC
고정공지
(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.
놀이터 일간 추천 베스트 |
놀이터 일간 조회 베스트 |
바이러스 ASEC이 분석한 바이러스, 스파이웨어, 유해가능 프로그램, 모바일 악성코드 정보 바이러스 Trojan/Win32.Salsa.R198001
작성자: ordo 조회 수: 358 PC모드
ASEC이 분석한 바이러스, 스파이웨어, 유해가능 프로그램, 모바일 악성코드 정보
바이러스 Trojan/Win32.Salsa.R198001
- 최초 입력시간2017-04-07 17:07 (GMT+9)
- 최종 수정시간2017-04-07 17:32 (GMT+9)
| 다른 이름 | Salsa Ransomware | ||
|---|---|---|---|
| 위험도 |
| ||
| 생성 파일명 | |||
| 대표적 증상 | 파일 관련 | ||
| 활동 플랫폼 | 윈도우 | 감염/설치 경로 | 파일실행, 다운로드 |
| 종류 | 트로이목마, 트로이목마(데이터파괴) | 형태 | 실행파일 |
| 제작국 | 국가코드 | 최초 발견일 | (현지시각 기준) |
증상 및 요약
Trojan/Win32.Salsa.R198001 는 랜섬웨어류의 악성코드로서 특정 확장자를 가진 파일들을 대상으로 암호화하며, 복구를 위해 사용자에게 금전을 요구한다.
* 전파 경로
자체 전파 기능은 없으며 사용자가 스펨메일로 온 악성파일을 실행하거나, 웹으로 부터 다운로드 및 실행 또는 취약점을 통한 드라이브-바이 다운로드 기법을 통해 감염 된다.
* 실행 후 증상
[암호화 행위]
특정 확장자를 가진 파일들을 대상으로 암호화를 수행하며, 원본 파일명.salsa222 확장자로 변경한다.
[감염 대상]
Salsa 랜섬웨어의 암호화 대상 확장자는 1245개다.
.SALSA222 |
[감염 안내 페이지 생성]
바탕화면을 아래와 같이 변경한다.
사용자에게 금전을 요구하기 위해 바탕화면과 암호화 된 파일이 있는 폴더에 아래와 같은 파일명포맷의 안내페이지를 생성한다.
- “CLICK HERE TO UNLOCK YOUR FILES SALSA222”
- “CLICK HERE TO UNLOCK YOUR FILES SALSA222\READ TO UNLOCK FILES.salsa.html”
- “CLICK HERE TO UNLOCK YOUR FILES SALSA222\LANGUAGE FILES\READ TO UNLOCK FILES.salsa.언어별파일.html”
[파일 생성]
%ALLUSERSPROFILE%\donotdeletesalsa 경로에 자신과 동일한 파일을 생성한다.
%ALLUSERSPROFILE%\donotdeletesalsa\lic.salsat
%ALLUSERSPROFILE%\donotdeletesalsa\salsa222.exe
%ALLUSERSPROFILE%\donotdeletesalsa\click
here to unlock your files salsa222\read to unlock files.salsa.html
%ALLUSERSPROFILE%\donotdeletesalsa\click
here to unlock your files salsa222\language files\READ TO UNLOCK FILES.salsa.언어별파일.html
[레지스트리 등록]
자동 실행을 등록하여 지속적인 감염을 유도 한다.
- 키 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Salsa
값 : %ALLUSERSPROFILE%\donotdeletesalsa\salsa222.exe
출처: 안랩 http://www.ahnlab.com/kr/site/securityinfo/asec/asecCodeView.do
자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다
문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
정보 감사합니다.