Khonsari 랜섬웨어는 프로그램 작성 중 로그를 남기기 위해 사용되는 Java 기반의 오픈소스 유틸리티인 Apache Log4j 취약점(CVE-2021-44228)을 이용한 랜섬웨어 입니다
Apache Log4j 취약점(CVE-2021-44228)은 채굴 악성코드, Botnet 등을 유포하는데 악용 되었습니다
참고로, Botnet은 디도스 공격등에 이용되는 컴퓨터 집단을 의미 합니다
Khonsari 랜섬웨어는 PaddingMode.Zeros를 사용하는 AES 128 CBC 암호화 알고리즘을 이용하여 파일 암호화를 진행하는 행위 외에는 별다른 기능이 없습니다
다만, 암호화 완료 후 생성되는 안내파일의 내용중 특정 전화 번호가 기재 되어 있는것이 특징 입니다
이로 인해 보안 전문가들은 암호화에 대한 몸값을 지불하여도 복구툴을 받을 수 없을 것으로 보고 있습니다
확장자 변경은 "문서.txt.khonsari" 형태로 변경됩니다
안내파일은 "HOW TO GET YOUR FILES BACK.TXT" 파일이 생성 됩니다
해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다
가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다
데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다
