랜섬웨어 DARKY LOCK - 유출된 Babuk Locker 코드로 만들어진 랜섬웨어

DARKY LOCK 랜섬웨어는 암호회된 파일의 마지막 영역에 "choung dong looks like hot dog!!" 문자열이 포함 된 것으로 보아 유출된 Babuk Locker의 코드로 만들어진 랜섬웨어 임을 할 수 있습니다

 

특이한 점은 DARKY LOCK 랜섬웨어에 DoYouWantToHaveFuckWithLockBitBlack 이라는 문자열로 LockBit 랜섬웨어를 조롱하는 듯한 문자열이 포함되어 있습니다

 

DARKY LOCK 랜섬웨어가 실행되면 윈도우의 EFI파티션과 복구 파티션을 활성화 시켜 파티션네의 파일도 암호화를 진행 합니다

 

이 후에 아래의 목록에 있는 프로세스와 서비스를 중지 시키는 동작을 합니다

 

프로세스

agntsvc.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefox.exe, infopath.exe, isqlplussvc.exe, msaccess.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, notepad.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, onenote.exe, oracle.exe, outlook.exe, powerpnt.exe, sqbcoreservice.exe, sql.exe, steam.exe. synctime.exe, tbirdconfig.exe, thebat.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, xfssvccon.exe

 

서비스

AcrSch2Svc, AcronisAgent, Backup ExecAgentAccelerator, Backup ExecAgentBrowser, Backup ExecDiveciMedia Service, Backup ExecManagementService, Backup ExecVSSProvider, BackupExecRPCService, BackupExeclobEngine, CAARCUpdateSvc, CASAD2DWebSvc, DefWatch, GXCVD, GxBlr, GxCIMgr, GxFWD, GxVss, Intuit. QuickBooks.FCS, PDVFSService, QBCFMonitorService, QBFCService, QBIDPService, RTVscan, SavRoam, VSNAPVSS, Veeam , FSSVc, Veeam TransportSvc, VeeamDeploymentService, YooBackup, YoolT, backup, ccEvtMgr, ccSetMgr, memtas, mepocs, sophos, stc_raw_agent, zhudongfangyu

 

암호화 제외되는 폴더

$Recycle Bin, All Users, AppData, Boot, Google, Internet Explorer, Mozilla, Mozilla Firefox, Opera, Opera Software, Program Files, Program Files (x86), ProgramData, Tor Browser, Windows, Windows,old

 

암호화 제외되는 파일
autorun.inf, boot,ini, bootfont.bin, bootmgfw.efi, bootmgr, bootmgr.efi, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.ini, ntuser.dat, ntuser.dat.log, thumbs.db
 

이후 173.249.63.184:2465 주소의 서버와 통신 할 수 있는 환경일 경우 파일 암호화를 진행 합니다

 

확장자 변경은 "문서.txt.darky" 형태로 변경 되며

 

각 폴더에 "Restore-My-Files.txt" 안내 파일을 생성 하여 금전 요구를 하며 공격자의 이름과 이메일 주소를 알리고 있습니다

 

백업웨어5.gif

 

유출된 Babuk Locker 랜섬웨어 코드로 만들어진 기타 여러 랜섬웨어들과 같이 파일 암호화 속도가 빠르게 진행 됩니다

 

 

 

 

랜섬웨어에 대한 피해 예방은 안전한 백업 입니다

백업웨어는 안전 합니다

 

 

 

 

 

 

 

백업웨어 백업프로그램 CPU A/S후기 IT유지보수견적 PC바이러스치료방법 PC오류해결 RANSOM치료견적 가성비노트북추천 기업PC유지보수 네트워크분석기설명 네트워크테스터사용방법 노트북인터넷설치비용 데이타보관장치 랜공사방법 랜섬웨어복구툴설치 무료복구프로그램설치 바이러스치료백신가격 병원네트워크구축비용 산업용서버가격 서버구성견적 서버셋팅견적 서버이전견적 소프트웨어유지보수비용 수도권노트북수리비 수도권서버증설 수도권컴퓨터점검 스파이웨어감지프로그램설치 시스템유지보수 외장하드수리방법 윈도우10설치비용 윈도우노트북셋팅방법 윈도우정품인증견적 유투브방송장비 인텔서버설치비용 조립PC설치견적 컴퓨터tip 컴퓨터교체동영상 컴퓨터네트워크점검 컴퓨터먹통증상수리방법 컴퓨터백업프로그램제거 컴퓨터속도느려짐수리 컴퓨터유지보수비용 컴퓨터출장포맷비용 컴퓨터화면캡처 하드업그레이드비용 컴퓨터수리비용 컴퓨터수리가격 컴퓨터as비용

 

, , , 이 게시물을
목록
번호 제목
공지 랜섬웨어 피해예방 5대 수칙
» 랜섬웨어 DARKY LOCK - 유출된 Babuk Locker 코드로 만들어진 랜섬웨어 file
133 랜섬웨어 Money Message - 암호화중 변경된 파일 확장명을 되돌려 놓는 랜섬웨어 file
132 랜섬웨어 BTC_azadi - 네트워크 드라이브에서도 실행 file
131 Avast사 TargetCompany 랜섬웨어 복구툴 공개!! file
130 랜섬웨어 Trigona - 서버에 접근 가능한 계정을 획득하여 공격 file
129 BianLian 랜섬웨어 복구툴 공개 !! file
128 랜섬웨어 BianLian - Go 개발 언어로 만들어지고 기업을 대상으로 공격 바이러스 백업웨어 file
127 랜섬웨어 ARCrypter - 수정한 날짜 형식을 변경 file
126 2022년11월 변종 Magniber 랜섬웨어 - 윈도우의 제어된 폴더 엑세스 보안 기능을 해제 file
125 랜섬웨어 Azov - WinRAR 압축 프로그램으로 위장 file
124 랜섬웨어 RobinHood - 로빈후드를 사칭 file
123 바탕 화면을 변경 하는 Magniber 랜섬웨어 - 2022년10월 최근 변종 file
122 랜섬웨어 Monster - 업데이트 관련 폴더로 위장 file
121 랜섬웨어 DarkSide - 미국의 국가 기반 시설을 공격 file
120 랜섬웨어 BlackRuby - 암호 화폐 채굴 기능 file
119 랜섬웨어 GandCrab v2.0 - 카카오톡 파일명으로 유포 file
118 랜섬웨어 Sigma - 비밀번호로 보호된 MS Word 문서로 유포 file
117 랜섬웨어 변종 Cantopen - 그리스 신화와 일본 만화 케릭터 이름을 사용 하는 변종 file
116 랜섬웨어 AdamLocker - 한국어 버전의 변형도 존재와 USB메모리를 통한 추가 전파 바이러스 백업웨어 file
115 랜섬웨어 Magniber - 다양한 유포 방식으로 변경 file
쓰기