변종  Matrix 랜섬웨어는 기존 Matrix 랜섬웨어의 또 다른 변종으로  이번에는 파일 암호화 이후 변경된 파일 이름에서 북한 관련 키워드가 포함된 것이 특징 입니다

 

이번 변종 Matrix 랜섬웨어 역시 최신 보안 패치가 제대로 이루어지지 않은 사용자가 Internet Explorer 웹 브라우저로 사이트 접속 과정에서 취약점을 통해 악성코드를 다운로드 하여 실행하는 방식 입니다

 

악성코드가 실행 되면 파일 암호화 이전에 시스템 복원을 통한 파일 복구를 무력화할 목적으로 윈도우 볼륨 쉐도우 복사본을 삭제 합니다

 

Matrix 랜섬웨웨 변종의 종류에 따라 암호화 파일이름 변경과 안내파일의 이름이 다소 다르게 생성 됩니다

1.

<Random>-<Random>.pyongyang001@yahoo.com

#_#WhatWrongWithMyFiles#_#.rtf / #_#WhatWrongWithMyFiles#_#1.rtf ~ #_#WhatWrongWithMyFiles#_#50.rtf

 

2.

<Random>-<Random>.[JUCHE001@TUTANOTA.COM]

#_#Where-is-my-files#_#!.rtf

 

3.

<원본 파일명>_[JUCHE001@YAHOO.COM].<원본 확장명>

#_#WhatWrongWithMyFiles#_#.rtf / #_#WhatWrongWithMyFiles#_#1.rtf ~ #_#WhatWrongWithMyFiles#_#50.rtf

 

4.

<원본 파일명>.<원본 확장명>

#_#WhatWrongWithMyFiles#_#.rtf / #_#WhatWrongWithMyFiles#_#1.rtf ~ #_#WhatWrongWithMyFiles#_#50.rtf

 

일부 변종에 따라 변경되는 파일 이름에 포함되는 단어중 pyongyang001(평양001), JUCHE001(주체001)와 같은 북한 관련 키워드가 메일 주소로 사용 되었습니다

 

또, 다른 특징으로는 보통의 랜섬웨어가 폴더 단위로 파일 암호화 를 진행하는 것과는 대조적으로 변종  Matrix 랜섬웨어는 파일 확장자 단위로 파일 암호화를 진행 합니다

예) .xlsx확장자 파일 암호화 이후 .doc확장자 파일 암호화 진행후 끝나면 .pdf확장자 파일 암호화.....

 

파일 암호화가 완료된 후에는 생성된 안내 파일만 남기고 암호화에 이용된 파일은 삭제를 합니다

 

최종적으로 "ALL YOUR FILES HAVE BEEN ENCRYPTED!" 메세지 창을 생성 합니다

백업웨어.png

 

또한, 암호화된 파일이 위치한 폴더 및 바탕 화면에 "Warning! All your files were encrypted with strong crypto algorithm." 제목의 안내 파일(#_#WhatWrongWithMyFiles#_#.rtf 또는 #_#Where-is-my-files#_#!.rtf)을 다수 생성합니다

백업웨어2.png

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다

 

 

 

 

번호 제목
공지 랜섬웨어 피해예방 5대 수칙
105 My Decryptor 랜섬웨어 - 웹 서버 구축 프로그램을 통한 유포 file
104 Gwisin 랜섬웨어 - 한국 기업을 대상으로 하는 맞춤형 랜섬웨어 file
103 Magniber 램섬웨어 - 2022년7월 이후 제어판 항목 파일로 감염 방식 변경 file
» 변종2 Matrix 랜섬웨어 - 북한 관련 메일주소를 사용 file
101 Bad Rabbit 랜섬웨어 - 가짜 Adobe Flash Player 설치 파일로 위장 file
100 Allcry 랜섬웨어 - 국내 광고 프로그램을 통해 유포 file
99 RedBoot 랜섬웨어 - 파일 암호화와 함께 MBR변조 까지 진행 file
98 CRBR Encryptor 랜섬웨어 - Cerber 랜섬웨어의 변종 file
97 Locky 랜섬웨어 - 특정 웹 사이트의 취약점을 이용하여 감염 file
96 PrincessLocker 랜섬웨어 - 감염된 웹사이트 접속시 자동 감염 방식 file
95 Encephalitis 랜섬웨어 - 랜섬웨어 제작툴로 만들어진 랜섬웨어 file
94 IsraBye 랜섬웨어 - 핵티비즘(Hacktivism) 성격의 랜섬웨어 file
93 Khonsari 랜섬웨어 - Apache Log4j 취약점을 이용한 랜섬웨어 file
92 Thanos 랜섬웨어 - Raccine 보안 프로그램을 무력화 시키는 랜섬웨어 file
91 Lilith 랜섬웨어 - 데이터 유출을 협박하는 랜섬웨어 file
90 Parasite 랜섬웨어 - 디스코드 서버에서 다운로드된 기생충 랜섬웨어 file
89 JobCrypter 랜섬웨어 - 암호화된 파일에 몸값 메세지를 추가 file
88 TellYouThePass 랜섬웨어 - Apache Log4j 취약점을 이용 file
87 LockBit v3.0 랜섬웨어 - 버그바운티 프로그램 도입 file
86 Nordteam 랜섬웨어 - 48시간 이내로 연락 할것을 요구 file