Win-Trojan/Gpcode.56832

Win-Trojan/Gpcode.56832

 

 

이 트로이목마는 2005년에 발견된 (최초의) 랜섬웨어이다. 2005년 5월 22일에 최초로 발견되었고, 제작국가는 물론 제작자도 알 수 없다.

 

*랜섬웨어는 주요 파일들을 암호화 한 다음 복호화(암호 해제)를 조건으로 돈을 요구하는 프로그램이다. 

 

전파 경로는 다양해서 정확한 경로를 알 수 없다. 이 트로이목마가 실행되면 다음의 확장자의 파일들을 찾아 암호화한다. 

 

이 트로이목마가 실행되면 윈도우 레지스트리에 다음과 같이 등록한다.

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "services"="[file name]"

([file name]은 트로이목마 파일 이름이다)

 

다음으로 다음의 확장자를 갖는 파일들을 암호화한다. 

 

• .xls

• .doc

• .txt

• .rtf

• .zip

• .rar

• .dbf

• .htm

• .html

• .jpg

• .db

• .db1

• .db2

• .asc

• .pgp

암호화된 파일의 이름은 PGPcoder 000000000032 로 시작한다.

 

ATTENTION!!!.txt (105 바이트) 파일을 생성하고, 이 파일은 다음의 내용을 포함한다. 

• Some files are coded.

• To buy decoder mail: n781567@yahoo.com

• with subject: PGPcoder 000000000032

 

참고:

안철수연구소

www.f-secure.com/v-descs/gpcode.shtml

rump2008.cr.yp.to/6b53f0dad2c752ac2fd7cb80e8714a90.pdf

en.wikipedia.org/wiki/PGPCoder