Chinese Coffee 랜섬웨어는 중궁어 사용자를 대상으로 동작 하도록 만들어진 랜섬웨어 입니다

 

중국 기업에서 사용하는 특정 업데이트 파일의 DLL 취약점을 사용하녀 랜섬웨어가 동작 합니다

 

정상적인 프로그램의 업데이트 파일이 실행될 경우 myou.dll 파일을 추가 다운로드하여 로딩하는 방식으로 동작하며 공격자는 해당업데이트 파일이 myou.dll 파일을 로딩한다는 점을 악용한 것으로 보입니다

 

이때 업데이트 파일의 DLL Hijacking 취약점을 이용하여 공격 합니다

 

암호화 대상 확장자는 아래와 같습니다

.3gp, .aes, .aib, .ais, .aof, .asm, .ba_, .cdr, .cpp, .cs, .csr, .csv, .dat, .dbb, .dbf, .doc, .docm, .docx, .dps, .dwg, .dxf, .fdb, .frm, .gdb, .gpg, .ibd, .java, .jpg, .key, .keys, .ldf, .lst, .mat, .mdb, .mdf, .mov, .mp4, .myd, .myi, .ndf, .p12, .pas, .pdf, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .rar, .rbk, .rdata, .rdb, .rep, .sas, .sas7bdat, .sav, .shp, .sql, .sqlite, .udb, .udbx, .vsd, .wps, .xls, .xlsb, .xlsm, .xlsx, .zip

 

또한 특정 폴더는 암호화를 제외 하도록 하고 있습니다

 

확장자 변경 형태는 "그림.coffee.<4자리 Random>.jpg"로 변경 됩니다

 

결제 안내 파일은 "请阅读我.RSA.txt" 파일이 각 폴더마다 생성 됩니다

 

请阅读我는 "읽어주세요" 라는 뜻입니다

백업웨어.JPG

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다

번호 제목
공지 랜섬웨어 피해예방 5대 수칙
76 Black Basta 랜섬웨어 - 안전모드로 재부팅후 파일 암호화 file
75 LanRan 랜섬웨어 - 원본 파일을 숨김으로 속임수 씀 file
74 D3adCrypt 랜섬웨어 file
73 LockBit v2.0 랜섬웨어 - 이력서 문서로 위장한 랜섬웨어 file
» Chinese Coffee 랜섬웨어 - 중국어 사용자를 대상으로 동작 file
71 Cantopen 랜섬웨어 - UAC (사용자 계정 컨트롤) 알림을 활성화 시킴 file
70 TargetCompany 랜섬웨어 변종 - 확장자를 bozon으로 변경 file
69 변종 Rapid 랜섬웨어 - 코로나 백신 구매를 언급하는 랜섬웨어 file
68 새로운 랜섬웨어 그룹 탄생 및 조직화
67 Loki Locker 랜섬웨어 - 붉은 자물쇠 모양의 아이콘으로 변경 file
66 NCC 그룹 “러시아에 적대적인 국가나 기업, 집중 공격”
65 RURansom 랜섬웨어 - 러시아를 대상으로 만들어진 랜섬웨어 file
64 변종 Crypt888 랜섬웨어 - 국내에서 제작 유표된 랜섬웨어 file
63 변종 Matrix 랜섬웨어 - HWP 파일을 우선적으로 암호화 진행 file
62 CryFile 랜섬웨어 - 디스크 공간 부족을 유발 시키는 랜섬웨어 file
61 Shade 랜섬웨어 복호화 툴 공개!! file
60 과기정통부, 사이버보안 취약점 정보포털 개설 file
59 Cuba 랜섬웨어 - 암호화된 파일 내부에 피델 카스트로를 연상하는 문구가 포함됨 file
58 Try2Cry 랜섬웨어 - USB전파 기능이 있음!! file
57 Ragnarok 랜섬웨어 - 러시아어, 중국어 OS환경은 감염 않되는변종 file