RCRU64 랜섬웨어의 실행위치나 공격방식을 보면 해커가 RDP(원격 제어)방식으로 접속하여 데이터를 유출 시킨뒤 랜섬웨어를 실행 하여 파일 암호화를 진행 하는 것으로 보입니다

 

RCRU64 랜섬웨어가 실행되면 몇가지 단계별로 악성코드를 실행 시키는 동작을 합니다

 

1. UAC(사용자 계정 컨트롤) 알림 기능을 비활성화 시키는 값을 레지스트리에 등록 합니다

2. 윈도우 방화벽 무력화및 설정값 일부를 변경 합니다

3. 시스템 복원 기능 무력화를 하여 복구를 할 수 없도록 합니다

4. 파일 암호화 과정에 방해가 될수 있는 여러 프로세스를 종료 처리 합니다

 

이러한 악성코드는 C:\Users\%UserName%\AppData 경로에 생성 됩니다

백업웨어.png

 

 

생성된 파일들은 작업 스케줄러에 등록되어 6분마다 반복 실행을 합니다

 

이후 파일 암호화가 완료된 후에는 흔적을 지우기 위해 사용된 악성코드및 연관된 스크립트를 삭제 처리 합니다

 

확장자 변경은 "문서.TXT[ID=<Random>-Mail=Nordteam@mail.ee].<4자리 Random>" 형태로 변경되며

 

안내 파일은 "Read_Me!_.txt" 와 "ReadMe_Now!.hta" 파일이 생성 됩니다

백업웨어2.png

백업웨어3.png

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다

번호 제목
공지 랜섬웨어 피해예방 5대 수칙
109 AstraLocker v2.0 랜섬웨어 - 유출된 Babuk Locker 악성코드로 제작 file
» RCRU64 랜섬웨어 - 데이터 유출및 파일 암호화로 협박 file
107 RansomMine 랜섬웨어 - 마인크래프트 게임을 플레이 하도록 요구 file
106 BTCWare 랜섬웨어 - Bitmessage 메신저로 연락을 유도 file
105 Fuacked 랜섬웨어 - MBR 손상과 사진을 현오스러운 사진으로 변경 file
104 My Decryptor 랜섬웨어 - 웹 서버 구축 프로그램을 통한 유포 file
103 Gwisin 랜섬웨어 - 한국 기업을 대상으로 하는 맞춤형 악성코드 file
102 Magniber 램섬웨어 - 2022년7월 이후 제어판 항목 파일로 감염 방식 변경 file
101 변종2 Matrix 랜섬웨어 - 북한 관련 메일주소를 사용 file
100 Bad Rabbit 랜섬웨어 - 가짜 Adobe Flash Player 설치 파일로 위장 file
99 Allcry 랜섬웨어 - 국내 광고 프로그램을 통해 유포 file
98 RedBoot 랜섬웨어 - 파일 암호화와 함께 MBR변조 까지 진행 file
97 CRBR Encryptor 랜섬웨어 - Cerber 랜섬웨어의 변종 file
96 Locky 랜섬웨어 - 특정 웹 사이트의 취약점을 이용하여 감염 file
95 PrincessLocker 랜섬웨어 - 감염된 웹사이트 접속시 자동 감염 방식 file
94 Encephalitis 랜섬웨어 - 랜섬웨어 제작툴로 만들어진 악성코드 file
93 IsraBye 랜섬웨어 - 핵티비즘(Hacktivism) 성격의 악성코드 file
92 Khonsari 랜섬웨어 - Apache Log4j 취약점을 이용한 악성코드 file
91 Thanos 랜섬웨어 - Raccine 보안 프로그램을 무력화 시키는 악성코드 file
90 Lilith 랜섬웨어 - 데이터 유출을 협박하는 악성코드 file