1

T 1688-5863 / 010-8678-1397

커뮤니티
랜섬웨어 종류#3,컴퓨터수리업체

Carlos 랜섬웨어 (= Makop 랜섬웨어) - 이력서 문서파일과 원격제어(RDP) 방식으로 활동!!

 

Carlos 랜섬웨어는 이력서 문서 파일로 위장한 메일 첨부 방식과 원격제어(RDP) 접근 방식으로 암호화를 진행 합니다

 

[원격 데스크톱 서비스(RDP)를 이용한 유포 파일]

 

C:\Users\User\Pictures\Admin\bug\.mc_auto.exe

 

C:\Users\User\Pictures\Admin\bug\.mc_hand.exe

 

[메일 첨부 파일을 이용한 유포 파일]

 

이력서(경력사항도 같이 기재하였습니다 잘부탁드립니다).exe 

 

결제안내 파일은 readme-warning.txt 로 확인되고 확장자 변경은 아래와 같습니다

 

문서.txt.[akzhq808@tutanota.com].makop

문서.txt.[factfull0103@airmail.cc].factfull

문서.txt.[hopeandhonest@smime.ninja].makop

 

 

MME 랜섬웨어

 

기존에 보고된 적이 없는 MME 랜섬웨어는 실행 시 Discord 서버에서 추가적인 데이터를 받아온 후

 

"C:\Windows\SysWOW64\recover.exe" 정상 파일을 통한 파일 암호화를 진행합니다.

컴퓨터수리점13.gif

 

 

 

Zeppelin 랜섬웨어(.payfast) 변종

 

Zeppelin 랜섬웨어의 파일 확장명(.udacha123yes .<3자리 Random>-<3자리 Random>-<3자리 Random>) 형태의 확장자 변경 형태를 보이던 Zeppelin 랜섬웨어가 변종으로 활발히 유포되고 있습니다

 

감염경로는 원격제어(RDP) 방식으로 추정하고 있습니다

 

원격제어(RDP) 계정을 탈취하기 위해 무차별대입 공격(Brute-force Attack)을 하므로 계정관리에 각별히 신경써야 하겠습니다 

컴퓨터수리점14.gif

 

결제 안내 파일 : !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

확장자 변경 : 문서.txt..payfast.<3자리 Random>-<3자리 Random>-<3자리 Random> (3자리 랜덤 숫자+영문 대문자)

                  문서.txt.payfast290.<3자리 Random>-<3자리 Random>-<3자리 Random> (3자리 랜덤 숫자+영문 대문자)

 

 

Stop 랜섬웨어 - 파일과 암호화 화폐 지갑을 노리는 악성코드 !!

 

보안이 취약한 사이트로부터 다운로드한 크랙(Crack) 파일을 실행할 경우 추가적으로 다운로드를 통한 Stop랜섬웨어가 실행되며 추가적으로 정보 유출 악성코드도 실행 될수 있어서 주의를 요합니다

 

결제안내 파일은 _readme.txt 이고 다양한 확장자로 변경되는 변종이 지속적으로 발견 되고 있습니다

 

확장자 변경 : .bbbe / .bbbr / .bbbw / .maiv / .qqqe / .vfgj / .yoqs 등등...

 

새로운 STOP 랜섬웨어 변종이 많은 피해를 주고 있는데, 암호화폐 지갑의 정보를 빼낼 수 있는 악성코드도 추가적으로 동작 한다고 합니다

 

아래와 같은 결제 안내 파일인 "_readme.txt" 파일이 생성 됩니다

컴퓨터수리점15.gif

 

 

 

Target Company 랜섬웨어 - SQL DB서버를 노리는

 

SQL DB서버를 노리는 랜섬웨어로 자동화된 공격방식으로 SQL DB의 관리자 계정이 취약할 경우 공격 대상이 되기 쉽습니다

 

최근 확인된 TargetCompany 랜섬웨어의 변종은 확장자 변경이 "문서.txt.hhide"로 바뀌며

 

RECOVERY INFORMATION.txt의 결제 안내 파일을 생성 합니다

 

컴퓨터수리점16.gif

 

다행히 AVAST사에서 복호화 툴을 제공 하오니 아래 링크를 참고하여 복호화를 할 수 있습니다

 

https://decoded.avast.io/threatresearch/decrypted-targetcompany-ransomware/

 

 

BlackByte 랜섬웨어 - 파일날짜를 2000년1월1일로 수정하며 암호화!

 

BlackByte 랜섬웨어는 2021년 4월과 5월에 MS 패치를 통해 수정이 이루어진 Microsoft Exchange Server의 ProxyShell 취약점을 통해 JS스크립트 파일을 사용하여 공격할 수 있습니다

 

작동이 시작되면 암호화에 방해가 되는 서비스및 시스템 복원에 필요한 파티션과 기능을 무력화 시킵니다

 

확장자 변경은 "문서.txt.blackbyte"로 변경 됩니다

 

암호화가 완료 되면 아래 그림처럼 암호화가 완료 되었다는 팝업창을 띄웁니다

컴퓨터수리점17.gif

 

또한 "%AppData%\BlackByte_restoremyfiles.hta" 결제 안내 파일을 실행하여 BlackByte 메시지 정보를 생성합니다

컴퓨터수리점18.gif

목록

이 게시물을

에디터 선택

※ 주의 : 페이지가 새로고침됩니다
닫기

이 댓글을 삭제하시겠습니까?

공유하기

번호
분류
제목
377
커뮤니티
인터넷이 안될 때 인터넷 통신사에서 제공하는 인터넷 모뎀의 램프를 살펴 보자
376
커뮤니티
인터넷 연결 안될 때 공유기 램프로 확인해 보자
375
커뮤니티
인터넷 연결 안될 때 확인해 봐야 할것
374
커뮤니티
기업 사무실 인터넷 설치시 주의할 점
373
커뮤니티
중고 컴퓨터 매입합니다 www.com365.kr
372
자신의 IP주소 확인 방법
371
커뮤니티
윈도우 12 출시 날짜 - 2024년 9~10월 출시
370
무료 PDF 편집기
369
커뮤니티
허브의 종류에는 어떤 것이 있을까?
368
커뮤니티
매장 간판 홍보 게시판을 오픈했습니다
367
커뮤니티
스팸정보 공유 사이트 입니다
366
커뮤니티
커뮤니티 onview.co.kr
365
커뮤니티
PC수리, 컴퓨터수리업체-CryptJoker - 빠른 파일 암호화
364
커뮤니티
컴퓨터 수리점, 컴퓨터 수리업체-AXLocker 랜섬웨어 - 웹훅 기능을 악용
363
커뮤니티
컴퓨터수리, 컴퓨터수리업체-랜섬웨어 Hakuna matata-전자지갑 주소를 바뀌치기
362
커뮤니티
PC 수리점, 컴퓨터 수리점-Rhysida 랜섬웨어-칠레군의 정보를 유출
361
커뮤니티
컴퓨터 수리업체, 컴퓨터 수리-DarkBit 랜섬웨어-이스라엘 대학을 공격
360
커뮤니티
PC수리, 컴퓨터수리-2023년7월 변종 Magniber
359
커뮤니티
랜섬웨어 RA Group - 유출된 랜섬웨어 코드로 만들어진
358
커뮤니티
컴퓨터수리점, 컴퓨터수리-랜섬웨어 Royal - 윈도우, 리눅스에서 동작
커뮤니티
인터넷이 안될 때 인터넷 통신사에서 제공하는 인터넷 모뎀의 램프를 살펴 보자
커뮤니티
인터넷 연결 안될 때 공유기 램프로 확인해 보자
커뮤니티
인터넷 연결 안될 때 확인해 봐야 할것
커뮤니티
기업 사무실 인터넷 설치시 주의할 점
커뮤니티
중고 컴퓨터 매입합니다 www.com365.kr
자신의 IP주소 확인 방법
커뮤니티
윈도우 12 출시 날짜 - 2024년 9~10월 출시
무료 PDF 편집기
커뮤니티
허브의 종류에는 어떤 것이 있을까?
커뮤니티
매장 간판 홍보 게시판을 오픈했습니다
커뮤니티
스팸정보 공유 사이트 입니다
커뮤니티
커뮤니티 onview.co.kr
커뮤니티
PC수리, 컴퓨터수리업체-CryptJoker - 빠른 파일 암호화
커뮤니티
컴퓨터 수리점, 컴퓨터 수리업체-AXLocker 랜섬웨어 - 웹훅 기능을 악용
커뮤니티
컴퓨터수리, 컴퓨터수리업체-랜섬웨어 Hakuna matata-전자지갑 주소를 바뀌치기
커뮤니티
PC 수리점, 컴퓨터 수리점-Rhysida 랜섬웨어-칠레군의 정보를 유출
커뮤니티
컴퓨터 수리업체, 컴퓨터 수리-DarkBit 랜섬웨어-이스라엘 대학을 공격
커뮤니티
PC수리, 컴퓨터수리-2023년7월 변종 Magniber
커뮤니티
랜섬웨어 RA Group - 유출된 랜섬웨어 코드로 만들어진
커뮤니티
컴퓨터수리점, 컴퓨터수리-랜섬웨어 Royal - 윈도우, 리눅스에서 동작
쓰기

LOGIN

로그인

회원가입

SEARCH

MENU NAVIGATION