Monster 랜섬웨어는 Installed Updates 폴더 이름으로 표시하며 마치 윈도우 업데이트에 관련된 폴더 처럼 아이콘 모양을 하고 있습니다

 

백업웨어.png

 

사용자가 해당 아이콘을 더블 클릭 할 경우 등록된 레지스트리 키값에 의해 제어판의 설치된 업데이트 창을 보여 줍니다

 

이는 사용자가 랜섬웨어 파일에 접근 하지 못하도록 하기 위한 것으로 보입니다

 

실제 폴더 이름은 Installed Updates.{D450A8A1-9568-45C7-9C0E-B4F9FB4537BD} 입니다

 

폴더 이름 중 D450A8A1-9568-45C7-9C0E-B4F9FB4537BD은 레지스트리에 등록된 설치된 업데이트 정보를 표시하는 키값 입니다

 

폴더 내부의 파일을 확인 해 보면 <Random>.exe로 생성된 랜섬웨어 악성  실행 파일과 암호화에 사용되는 키 파일(.sys)이 포함되어 있습니다

 

Monster 랜섬웨어가 실행되면 원활한 파일 암호화를 위해 다수의 프로세스를 종료 시키고 다수의 서비스를 중지 시킵니다

 

또한, .bat, .com, .sys, .cmd, .dll, .cpl, .lnk, .msc, .hta, .log, .pif, .scr, .msp의 확장자를 가진 파일은 암호화를 하지 않습니다

 

확장자 변경은 "문서.txt.{<Random>}.hack3dlikeapro" 현태로 변경 되며

 

예) 문서.txt.[4230DF49].hack3dlikeapro

 

안내 파일은 "WE CAN RECOVER YOUR DATA.txt" 파일이 각 폴더 마다 생성 됩니다

백업웨어2.png

 

파일 암호화가 완료된 후에는 파일 암호화에 사용된 파일을 자동 삭제하는 명령어가 실행 됩니다

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다

  

번호 제목
공지 랜섬웨어 피해예방 5대 수칙
129 BianLian 랜섬웨어 복구툴 공개 !! file
128 BianLian 랜섬웨어 - Go 개발 언어로 만들어지고 기업을 대상으로 공격 바이러스 백업웨어 file
127 ARCrypter 랜섬웨어 - 수정한 날짜 형식을 변경 file
126 2022년11월 변종 Magniber 랜섬웨어 - 윈도우의 제어된 폴더 엑세스 보안 기능을 해제 file
125 Azov 랜섬웨어 - WinRAR 압축 프로그램으로 위장 file
124 RobinHood 랜섬웨어 - 로빈후드를 사칭 file
123 바탕 화면을 변경 하는 Magniber 랜섬웨어 - 2022년10월 최근 변종 file
» Monster 랜섬웨어 - 업데이트 관련 폴더로 위장 file
121 DarkSide 랜섬웨어 - 미국의 국가 기반 시설을 공격 file
120 BlackRuby 랜섬웨어 - 암호 화폐 채굴 기능 file
119 GandCrab v2.0 랜섬웨어 - 카카오톡 파일명으로 유포 file
118 Sigma 랜섬웨어 - 비밀번호로 보호된 MS Word 문서로 유포 file
117 변종 Cantopen 랜섬웨어 - 그리스 신화와 일본 만화 케릭터 이름을 사용 하는 변종 file
116 AdamLocker 랜섬웨어 - 한국어 버전의 변형도 존재와 USB메모리를 통한 추가 전파 바이러스 백업웨어 file
115 Magniber 랜섬웨어 - 다양한 유포 방식으로 변경 file
114 Rook 랜섬웨어 - Babuk 악성코드에서 파생 file
113 Play 랜섬웨어 - 이메일 주소만 남기는 악성코드 file
112 Cordless 랜섬웨어 - 부팅시 화면을 검게 만듦 file
111 Magniber 랜섬웨어 - 유튜브 다운로드 사이트, 드라마 다시보기 사이트를 통한 감염 file
110 HERMES 2.1 랜섬웨어 - 암호화된 파일 3개를 풀어준다고 안내 file