BlackRuby 랜섬웨어는 파일 암호화 기능에 추가로 암호 화폐를 채굴하는 기능이 더해진 랜섬웨어 입니다
BlackRuby 랜섬웨어가 실행되면 실행된 PC의 IP를 체크하여 국가를 확인 합니다
이때, 국가가 이란인 경우에는 이후 암호화 동작을 하지 않고 종료 하는 특징이 있습니다
랜섬웨어가 실행되면 파일 암호화를 진행 하면서 암호화된 파일을 복구 할수 없도록 볼륨 쉐도우 복사본을 삭제하고
BCD 파일을 수정 합니다
파일 암호화가 완료 되면 모네로(Monero) 암호화폐를 채굴할 수 있는 XMRig CPU miner 프로그램을 실행 합니다
이로 인하여 CPU 사용율이 급격히 증가할 수 있습니다
파일명 변경및 확장자 변경은 "Encrypted_<Random>.BlackRuby 형태로 변경되며
안내 파일은 " HOW-TO-DECRYPT-FILES.txt" 파일이 각 폴더마다 생성 됩니다
BlackRuby 랜섬웨어도 랜섬웨어 파일 실행 위치와 감염 경로를 숨길 목적으로 이벤트 로그를 삭제 한다는 점에서 원격 데스크톱(RDP)을 통해 접근하여 공격한 것으로 보입니다
따라서, 원격 데스크톱(RDP) 계정 관리에 각별한 주의가 필요 합니다
해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다
가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다
데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다
