Recofile 랜섬웨어

 

확장자 변경은 "원본문서.TXT.520" 또는 "원본문서.TXT.360" 형태로 바뀝니다

 

 

eking 이킹 랜섬웨어

랜섬웨어의 변형 랜셈웨어인  eking 랜섬웨어

- 주로 서버를 타킷으로 공격을 하고 있는 특징을 갖고 있음

 

eking 랜섬웨어는 네트워크를 통해 침투를 해 중요한 자료들을 암호화해서 거액의 비용을 요구하는 최근 유형입니다.

 

eking 랜섬웨어에 감염되면 파일 아이콘이 하얀색으로 변하고 메모장 나타나는 것은 다른 것들과 똑같습니다.

틀린 부분이 있다면 메모장 이름이 info.txt로 나타나며, 간혹 파일이름 앞이나 뒷부분에 이메일 주소가 함께 붙게 됩니다.

이 이메일 주소는 유포자들의 요구하는 조건이나 프로그램을 확보하여 파일을 원본으로 돌려받는 작업을 이룰 수 있는

중요한 문서이기 때문에 이 메일 주소를 꼭 삭제하지 말고 가지고 계시는 것이 중요합니다.

또한 확장자가 랜덤의 6~10자리의 영문명과는 조금 다르게 .e k i n g 의 단어가 붙습니다.

하지만 많은 변종이 존재할 수 있기 때문에 확장자명이나 텍스트 파일의 이름이 조금씩 바뀔 수 도 있습니다.

 

LockBit 랜섬웨어

메일을 통해 LockBit 랜섬웨어가 유포중에 있어 주의 하셔야 합니다.

 

 

피싱 메일은 저작권 위반을 위장하여 유포중인 것으로 추정됩니다. 

 

첨부파일에 pdf 파일(아이콘이 pdf파일처럼 보임)을 위장한 랜섬웨어 실행 파일이 있습니다.

 

첨부 파일 실행시 랜섬웨어에 감염됩니다.

 

감염 이후 사용자 PC의 파일들을 암호화 하여 확장자를 .lockbit으로 변경합니다. 

 

Restore-My-Files.txt 명의 랜섬노트와 LockBit_Ransomware.hta 파일을 배경화면을 변경됩니다.

재부팅 시에도 바뀐 화면이 뜰 수 있도록 레지스트리에 등록됩니다.

 

 

 

장롱에 넣어 두고 이걸 배포한 사람이 잡혀 비밀번호가 풀릴 때까지 기다려라

 

랜섬웨어 감염시 해결방법을 입니다.

비밀번호 없이는 암호화된 파일을 복구할 수 없다는 것을 극단적으로 표현한 말이 인데 돈이 없고

중요한 파일이라면 참 난감한 상태입니다. 하지만 해커들이 요구한 돈을 준다고 해도 과연 100% 복구가 될까요?

답은 "글쎄요" 입니다.

 

몇년전 13억원을 주고 암호키를 받아냈던 웹호스팅업체인 인터넷나야나가 데이터를 원상복구하지 못해던 사건을 우리는 잊지말아야 합니다. 그리고 백업의 중요성을 다시 한번 생각하게 됩니다.

그럼 어떻게 랜섬웨어를 예방하고 효율적인 백업을 해야할까요?

 

랜섬웨어 감염 경로

 

감염 경로는 다양합니다. 

1. 초창기 랜섬웨어는 성인사이트에 접속, 불법 소프트웨어 다운로드시 감염

2. 스팸 메일의 첨부파일을 통한 감염

3. 불확실한 URL 링크 클릭 시 감염

4. 최근에는 윈도우 보안패치 되지 않은 PC로 감염된 웹 사이트에 접속만해도 감염

5. 직접적인 해킹을 통한 감염

 

Crypt계열 랜섬웨어

 

CryptXXX : 초기 해당 랜섬웨어는 2016년 카스퍼스키에서 복호화 툴은 제공하면서 어느정도 복구가 가능 했지만 이후 변종이 나오멱서 원본파일에 200KB 용량의 의미없는 코드를 추가시켜 암호화 하면서 복구가 힘들게 되었습니다

 

*확장자 변경은 "원본문서.txt.CRYPT"로 변경 됩니다

 

랜섬노트인 !Recovery메모장에 RSA4096의 내용 적혀 있다면 오리지널 Crypt 계열 랜섬웨어로 카스퍼스키에서 저공하는 복호화툴로 복구가 가능 합니다

 

또한, !Recovery메모장에 RZA4096의 내용이 있다면 변종 Crypt 랜섬웨어로 복구가 어려울수 있지만 nomoreransom의 rannohdecryptor로 복호화 해보면 성공할 수도 있다는 보고가 있습니다

 

 

 

병원을 타켓으로 하는 랜섬웨어 공격

 

최근 대전을지대병원이 랜섬웨어 공격을 받았다는 소식이 있다.

1월 31일 새벽 병원내 전상망에 악성코드 감염을 이용한 해킹 공격을 확인 하여

피해 현황을 조사한 결과 전자의무기록시스템의 파일서버와 프로그램 개발관련 서버가 감염되었다고 한다

그러나 환자의 개인정보는 암호화 되어 있어 피해가 없어다고 한다

 

현재 병원은 공경해 왔던 해당 IP 및 접속경로를 차단 하고 서비스 분리 및 모니터링 강화 등의 조치를 치한 상태이며

취약점 점검 및 백업 시스템 점검 등의 보안조치를 하고 있다고 한다.

 

랜섬웨어의 공격시 피해를 최소화 하는 방법은 해당 IP의 빠른 차단임이 다시 한번 증명되었다.

 

요즘 환자의 생명이 걸린 병원을 대상으로 한 랜섬웨어 공격이 점차 늘고 있어 적극적인 예방적인 조치가 시급하다고 할 수 있다.