Lilith 랜섬웨어의 감염 경로는 정확히 알수 없으나 파일 암호화를 진행 하기전에 기업내 시스템에 접근하여 데이터를 유출하는 것으로 보입니다
또한, 시스템 복원 기능을 무력화 하기위해 비활성화로 되어있는 윈도우 복구 파티션과 EFI파티션을 활성화 하여 접근한뒤에 복구괸련 파일을 손상 시킵니다
그리고, 파일 암호화에 방해가 되는 특정 프로세스를 종료 처리하며 다음과 같은 특정 폴더와 파일에 대해서는 암호화를 진행하지 않토록 하고 있습니다
<암호화 제외 폴더>
$Recycle.Bin, All Users, Google, Internet Explorer, Mozilla, Mozilla Firefox, Opera, Opera Software, Program Files, Program Files (x86), ProgramData, Tor Browser, Windows, Windows.old
<암호화 제외 파일>
autorun.inf, boot.ini, bootfont.bin, bootmgfw.efi, bootmgr, bootmgr.efi, bootsect.bak, desktop.ini, ecdh_pub_k.bin, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db
확장자 변경은 "문서.txt.lilith" 형태로 변경 되며
안내 파일은 "Restore_You_Files.txt" 파일이 각 폴더마다 생성 됩니다
안내 파일 내용에는 72시간안에 Tox 메세지를 통해서 연락을 하지 않으면 유출한 데이터를 인터넷상에 공개한다는 내용이 포함되어 있습니다
해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다
가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다
데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다
