Loki Locker 랜섬웨어는 FonixCrypter 랜섬웨어 계열로 원격 제어 방식으로 접속 후 실행되는 것으로 확인 됩니다
랜섬웨어 프로그램이 실행 되면 몇가지 특징이 있는데
첫번시스템에 연결된 디스크의 이름을 "Locker by Loki"로 변경되고
두번째로 작업 관리자를 무력화 시킵니다
세번째로 시스템 복원, 윈도우 방화벽 등을 무력화 시킵니다
네번째로 시스템을 켤때마다 랜섬웨어가 자동 실행 될수 있도록 Run 시작 프로그램 등록과 작업 스케쥴러에 등록 시킵니다
다섯번째로 암호화된 파일의 아이콘 모양을 빨간색 자물쇠 모양으로 바꿉니다
출처 : https://m.blog.naver.com/checkmal/222690464668
확장자 변경은 "[Ghosttm@zohomail.com][<Random>]문서.txt.Loki" 형태로 변경되며
결제 안내 파일은 "Restore-My-files.txt"파일이 각 폴더 마다 생성 됩니다
파일 암호화가 진행된 이후에는 여러가지 동작 들로 인해 시스템을 정상 적으로 사용 할 수없을 만큼 문제를 일으 킵니다
시스템 접속 방법이 원격제어(RDP) 방식인 만큼 계정관리와 방화벽을 통해 제한된 IP만 접속 할 수있도록 조치를 취하는 것이 좋을것 같습니다
해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다
가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다
데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다
