FiveHands 랜섬웨어는 기업에서 사용하는 VPN 프로그램의 보안 취약점을 이용하여 랜섬웨어 악성 파일을 추가 다운로드 하여 동작하도록 하고 있습니다
FiveHands 랜섬웨어는 UNC2447 이라는 사이버 범죄 조직이 SonicWall VPN 제로데이(0-Day) 취약점을 이용하여 유럽, 북미 지역을 대상으로 SombRAT 악성코드 감염을 시킨 후 FiveHands 랜섬웨어 유포 활동을 진행한 것으로 보입니다
FiveHands 랜섬웨어는 먼저 활동하였던 DeathRansom, HelloKitty 랜섬웨어 계열로 알려 졌습니다
특징으로는 일부 폴더와 파일을 암호화 대상에서 제외 한다는 점 입니다
암호화 제외 폴더 : $recycle.bin, all users, appdata, application data, local settings, program files, programdata, windows, winnt
암호화 제외 파일 : autoexec.bat, autorun.inf, boot, boot.ini, bootfont.bin, bootsect.bak, config.sys, DECRYPT_NOTE.txt, desktop.ini, iconcache.db, io.sys, msdos.sys, ntdetect.com, ntldr, ntuser.dat, ntuser.dat.log, pagefile.sys, swapfile.sys, thumbs.db
또한, 윈도우의 시스템 복원 지점을 삭제하여 복원하지 못하도록 하고 있습니다
확장자 변경은 "문서.txt.cyrpt"로 변경 되며
결제 안내 파일은 "DECRYPT_NOTE.txt" 파일이 각 폴더마다 생성 됩니다
결제 안내 파일 내용에는 Tor 브라우저를 이용하여 특정 사이트에 접속 하도록 유도 하고 있습니다
해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다
가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다
데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다
