한명선 작가(랜섬웨어) – 저작권관련 이미지 전자메일 경고

아까 받은 전자메일이다.

저 전자메일 주소는 내 블로그 전자메일로 노출이돼 있는데 보통 저 전자메일로 도메인관련 사기 전자메일이 자주오나 이번 “랜섬웨어” 전자메일은 처음 온것 같다.

네이트 전자메일이고 랜섬 웨어 파일은 알집 압축기 전용인 “EGG”확장자로 돼있다.

전자 우편 내용은 아래와 같다.

발신인이 “한명선 <hanms0711@noranwood.com>”으로 돼있어 noranwood.com 도메인 후이즈를 실행해 봤다.

noranwood.com의 후이즈 정보

————————————————————————–
Domain Name: NORANWOOD.COM

Registry Domain ID: 2305091761_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.PublicDomainRegistry.com

Registrar URL: http://www.publicdomainregistry.com

Updated Date: 2018-09-10T23:21:16Z

Creation Date: 2018-09-01T21:25:44Z

Registry Expiry Date: 2019-09-01T21:25:44Z

Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com

Registrar IANA ID: 303

Registrar Abuse Contact Email: abuse-contact@publicdomainregistry.com

Registrar Abuse Contact Phone: +1.2013775952

Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited

Name Server: NS1.DOMAIN-PARK.IN

Name Server: NS2.DOMAIN-PARK.IN

DNSSEC: unsigned

URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

>>> Last update of whois database: 2018-09-18T12:55:20Z <<< For more information on Whois status codes, please visit https://icann.org/epp NOTICE: The expiration date displayed in this record is the date the registrar’s sponsorship of the domain name registration in the registry is currently set to expire. This date does not necessarily reflect the expiration date of the domain name registrant’s agreement with the sponsoring registrar. Users may consult the sponsoring registrar’s Whois database to view the registrar’s reported date of expiration for this registration. TERMS OF USE: You are not authorized to access or query our Whois database through the use of electronic processes that are high-volume and automated except as reasonably necessary to register domain names or modify existing registrations; the Data in VeriSign Global Registry Services’ (“VeriSign”) Whois database is provided by VeriSign for information purposes only, and to assist persons in obtaining information about or related to a domain name registration record. VeriSign does not guarantee its accuracy. By submitting a Whois query, you agree to abide by the following terms of use: You agree that you may use this Data only for lawful purposes and that under no circumstances will you use this Data to: (1) allow, enable, or otherwise support the transmission of mass unsolicited, commercial advertising or solicitations via e-mail, telephone, or facsimile; or (2) enable high volume, automated, electronic processes that apply to VeriSign (or its computer systems). The compilation, repackaging, dissemination or other use of this Data is expressly prohibited without the prior written consent of VeriSign. You agree not to use electronic processes that are automated and high-volume to access or query the Whois database except as reasonably necessary to register domain names or modify existing registrations. VeriSign reserves the right to restrict your access to the Whois database in its sole discretion to ensure operational stability. VeriSign may restrict or terminate your access to the Whois database for failure to abide by these terms of use. VeriSign reserves the right to modify these terms at any time. The Registry database contains ONLY .COM, .NET, .EDU domains and Registrars. Domain Name: NORANWOOD.COM Registry Domain ID: 2305091761_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.publicdomainregistry.com Registrar URL: www.publicdomainregistry.com Updated Date: 2018-09-01T21:25:46Z Creation Date: 2018-09-01T21:25:44Z Registrar Registration Expiration Date: 2019-09-01T21:25:44Z Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com Registrar IANA ID: 303 Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Registry Registrant ID: Not Available From Registry Registrant Name: Arnold Werner Registrant Organization: Registrant Street: 109 Business center rd. Registrant City: Reisterstown Registrant State/Province: Maryland Registrant Postal Code: 19804 Registrant Country: US Registrant Phone: +1.9383361244 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: mshuherk@gmail.com Registry Admin ID: Not Available From Registry Admin Name: Arnold Werner Admin Organization: Admin Street: 109 Business center rd. Admin City: Reisterstown Admin State/Province: Maryland Admin Postal Code: 19804 Admin Country: US Admin Phone: +1.9383361244 Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: mshuherk@gmail.com Registry Tech ID: Not Available From Registry Tech Name: Arnold Werner Tech Organization: Tech Street: 109 Business center rd. Tech City: Reisterstown Tech State/Province: Maryland Tech Postal Code: 19804 Tech Country: US Tech Phone: +1.9383361244 Tech Phone Ext: Tech Fax: Tech Fax Ext: Tech Email: mshuherk@gmail.com Name Server: ns1.domain-park.in Name Server: ns2.domain-park.in DNSSEC: Unsigned Registrar Abuse Contact Email: abuse-contact@publicdomainregistry.com Registrar Abuse Contact Phone: +1.2013775952 URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2018-09-18T12:55:37Z <<< For more information on Whois status codes, please visit https://icann.org/epp Registration Service Provided By: DOMAINS4BITCOINS.COM The data in this whois database is provided to you for information purposes only, that is, to assist you in obtaining information about or related to a domain name registration record. We make this information available “as is”, and do not guarantee its accuracy. By submitting a whois query, you agree that you will use this data only for lawful purposes and that, under no circumstances will you use this data to: (1) enable high volume, automated, electronic processes that stress or load this whois database system providing you this information; or (2) allow, enable, or otherwise support the transmission of mass unsolicited, commercial advertising or solicitations via direct mail, electronic mail, or by telephone. The compilation, repackaging, dissemination or other use of this data is expressly prohibited without prior written consent from us. The Registrar of record is PDR Ltd. d/b/a PublicDomainRegistry.com. We reserve the right to modify these terms at any time. By submitting this query, you agree to abide by these terms. 후이즈 씨오 케이알 후이즈 정보 WHOIS Result Domain Name: NORANWOOD.COM Registry Domain ID: 2305091761_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.publicdomainregistry.com Registrar URL: www.publicdomainregistry.com Updated Date: 2018-09-01T21:25:46Z Creation Date: 2018-09-01T21:25:44Z Registrar Registration Expiration Date: 2019-09-01T21:25:44Z Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com Registrar IANA ID: 303 Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Registry Registrant ID: Not Available From Registry Registrant Name: Arnold Werner Registrant Organization: Registrant Street: 109 Business center rd. Registrant City: Reisterstown Registrant State/Province: Maryland Registrant Postal Code: 19804 Registrant Country: US Registrant Phone: +1.9383361244 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: Registry Admin ID: Not Available From Registry Admin Name: Arnold Werner Admin Organization: Admin Street: 109 Business center rd. Admin City: Reisterstown Admin State/Province: Maryland Admin Postal Code: 19804 Admin Country: US Admin Phone: +1.9383361244 Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: Registry Tech ID: Not Available From Registry Tech Name: Arnold Werner Tech Organization: Tech Street: 109 Business center rd. Tech City: Reisterstown Tech State/Province: Maryland Tech Postal Code: 19804 Tech Country: US Tech Phone: +1.9383361244 Tech Phone Ext: Tech Fax: Tech Fax Ext: Tech Email: Name Server: ns1.domain-park.in Name Server: ns2.domain-park.in DNSSEC: Unsigned Registrar Abuse Contact Email: Registrar Abuse Contact Phone: +1.2013775952 URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2018-09-18T12:59:46Z <<<

퍼블릭 도메인 리지스트리 후이즈 정보

====================================================================

noranwood.com 후이즈 정보다.

noranwood는 “노란우드”로 읽힌느것 같은데 그러니껜 “노란색 나무”란 뜻인것 같다.

저 도메인 생성 날짜는 2018년 9월 1일이다.

Tech Email: mshuherk@gmail.com

Name Server: ns1.domain-park.in

Name Server: ns2.domain-park.in

후이즈 정보는 뭐 매릴랜드해대가 미국 애처럼 보이나

저 애의 네임서버는 확장자가 in으로 IN은 인도 도메인 주소다.

위 “랜섬웨어”파일을 배포하는 애가 누군지는 모르것다만 노란우드 도메인은 전자메일이 mshuherk@gmail.com인 애가 소유하고 있는 것으로 보인다.

mshuherk@gmail.com 란 이메일 주소로 검색을 해보니 저 애는 2018년에도 “공정거래 위반행위 관련 통지서”란 제목으로 랜섬웨어 파일이 담긴 전자우편을 배포한 애로 보인다.

위 트위터를 보면 “Venus Locker organization 비너스 컴퓨텨 잠금 협회”란 조직이 계속해서 공정거래 위원회인척 위장하고 랜섬웨어 바이러스 파일을 보내고 있다 적혀 있다.

https://www.fortinet.com/blog/threat-research/venuslocker-delivering-rotten-easter-eggs-in-south-korea.html

위 링크는 비너스 컴퓨터 잠금협회가 계속해서 한국에 랜섬웨어를 퍼뜨리고 있단 기사고 위 링크에 뭐가 적혀져 있는지는 알길이 없지만 내가 받은 “랜섬웨어” 악성 바이러스에 대해 자세히 나와 있는것 처럼 보인다.

왜 널리 쓰이는 zip이나 rar 압축파일로 배포하지 않고 한국에서만 주로 쓰이는 알집 EGG파일로 압축해 배포하는진 모르것다.

확장자가 EGG인 알집으로 압축된 파일은 거의 국내에서만 쓰이는데 왜 ZIP이나 RAR로 압축을 안했는지 이상하네.

내 이런 랜섬웨어 전자우편은 첨 받아 봤는데 조심해라.

저 메일이 온 이 메일 주소가 노출돼 있는 이메일 주소인데 저렇게 노출된 블로그, 홈피 주소들을 끌어 모아 “저작권”경고 이메일로 위장한 “랜섬웨어” 악성 바이러스 파일을 퍼뜨리고 있는 갑다.

랜섬웨어 첨부 파일 이름은 아래와 같다.

“이미지무단사용관련.egg” 이란 이름으로 압축된 알집랜섬웨어 압축파일을 온라인 바이러스 검색기에 돌려보니 56군데 중에 2군데만 바이러스로 인식했다.

56군데중 2군데서만 바이러스로 인식했단건 아마도 안티 바이러스 프로그램으로 “이미지무단사용관련.egg”이란 이름으로 배포되고 있는 이 랜섬웨어 파일을 검사해봤자 90%가 넘는 확율로 각종 안티 바이러스 프로그램에선 바이러스가 안걸린 깨끗한 파일로 인식할것으로 보인다.

그러니껜 “이미지무단사용관련.egg”이란 이름으로 배포되고 있는 저작권관련 이메일이 작년 “공정거래위원회”경고 이메일 첨부파일과는 다른 요 최근 만들어진 또 다른 신종 랜섬웨어 같다.

블로그, 홈피 돌리는 애들 각별히 조심해라.

저작권 경고 이메일들도 후덜덜 할끼지만 저 이메일 잘못 열었다가 컴퓨탸 강제 포맷 때려야 할 수도 있것다.

난 랜섬웨어 걸리는 사람들은 주로 “야동”사이트에 접속해 저런걸 걸리는 사람들이라 생각했는데 방금 이 랜섬웨어 전자우편 첨부 파일이 만일 ZIP이나 RAR로 압축돼 있다면 나도 이번에 랜섬웨어 감염돼 컴퓨타 강제포맷 때려야 했을 수도 있었것다.

난 알집을 안쓰기 때문에 EGG 알집압축파일로 와가 이상하게 생각했는데 홈피, 블로그 돌리는 애들 조심해라.

아래 링크 가보면 이미 이번 “한명선작가 저작권 경고”이메일 랜섬웨어 희생자가 나타난것 같다.

https://xetown.com/topic/1071087

“한명선작가 저작권 경고”랜섬웨어 전자우편 내용

한명선 <hanms0711@noranwood.com>

저작권관련 이미지 무단사용 안내메일(한명선 본인제작)

안녕하세요
한명선작가입니다
현재 제가 제작한 이미지들을 동의없이 이용하고 있으셔 이렇게 메일드려요
제가 제작한 이미지들은 무료사용이 불가하기 저작권법상 문제가 됩니다
개인적으로 법적인 내용을 이야기하려는것보다는
사용을 금해주셨으면해요
저 역시도 그런식으로 실수하여 다른 작가님이미지를 사용했던적도 있으니까요
당연히 인지하지 못하시고 사용했다고 생각합니다
이제는 이렇게 말씀을 드렸으니 조치부탁드릴께요
사용하시는 이미지와 제가 제작한 이미지같이 정리해서 보내드려요
확인하시고 조치부탁드릴께요
이렇게 말씀드렸음에도 다른 조치가 없으시면
저도 다른 방법이 없어요..ㅜㅜ
그러니 부탁드리겠습니다
좋은하루되시구요
수고하세요

위 글을 누가 적었는가 싶어서 MS워드에 붙여 넣기 해봤다.

일단 단어들을 봐서는 외국인이 번역기를 돌린것 같아 보이진 않는다.

“있으셔” 있으셔(서)

무료사용이 불가하기 저작권법상
저건 무료사용이 불가하기 (때문에) 또는 불가하(니)로 적으려다 깜빡한것으로 보인다.

이제는 이렇게 말씀을 드렸으니 조치부탁드릴께요
난 조치가 아니라 “조취”가 맞는 단어인줄 알았는데 “조치”가 맞다고 나오네.

내가 만일 저 부부분을 적었다면

“이제는 이렇게 말씀 드렸으니 조취 부탁드리겠습니다”라고 적지 않았나 십다.

글의 문체로 봐서 한글을 쓰는 애가 적긴 적은것 처럼 보인다.

한글을 쓰는 애가 누가 있냐?

“남조선, 북조선, 조선족”이 있것다.