Royal 랜섬웨어는 2022년 초에 확인되어 활발한 감염 활동을 하며 2023년 현재는 윈도우는 물론 리눅스 환경에서도 동작하여 파일 암호화를 진행 합니다
일반적인 감염 방식은 대상 기업에 이메일을 보낸 후에 메일에 포함된 링크를 클릭 하도록 유도하고 연결된 사이트는 정상 사이트인것 처럼 위장하여 악성코드를 다운로드 하여 감염을 시킵니다
다운로드된 Qakbot 악성코드는 Cobalt Strike 설치를 하고 이를 통해 내부 네트워크 검색과 백신등의 보안 제품을 무력화 시킬수 있는 프로그램을 사용 하고, PsExec 툴을 사용하여 우회하여 Royal 랜섬웨어를 실행 합니다
최근 랜섬웨어를 통한 공격 집단의 공통적인 특징인 파일 암호화 이전에 기업의 내부 데이터를 유출하여 데이터의 외부 공개와 암호화된 파일 복구의 이중 협박을 합니다
파일 암호화 진행 전의 활동으로는 시스템 복원을 무력화 하는 명령을 실행 하며
아래의 파일 확장자와 폴더는 파일 암호화를 진행 하지 않습니다
파일 확장자 : .bak, .dll, .exe, .lnk, .royal_u, .royal_w
폴더 : $recycle.bin, $windows.~bt, $windows.~ws, google, mozilla, perflogs, royal, tor browser, windows, windows.old
확장자 변경은 "문서.txt.royal" 또는 "문서.txt.royal_w"의 형태로 변경 되며
파일 암호화가 완료된 폴더에는 README.TXT의 안내 파일이 생성 됩니다
윈도우백신추천 윈도우프로그램설치삭제 유투브컴최저가 일체형컴퓨터업그레이드견적 조립서버수리 컴퓨터가멈춰요수리견적 컴퓨터기사출장수리견적 컴퓨터느려짐조치동영상 컴퓨터모니터수리 컴퓨터복구프로그램설치비용 컴퓨터수리게시판 유지보수 컴퓨터재부팅방법 컴퓨터파일공유 파워교체방법 허브가격
안내 파일 내용에는 몸값 협상을 위한 접속 주소를 안내하고 있으며, 해당 주소로 접속 하면 아래 그림 화면처럼 협상을 위한 화면이 나옵니다
협상 과정에서 정해진 몸값을 제시하는게 아니라 협상을 통해 몸값을 정하고 있습니다
피해 기업 사례에서 보면 100만 달러에서 1,000만 달러까지 요구한 것으로 조사 되었습니다
위에 언급된 침투 방식 외에도 RDP(원격데스크톱), 기업 솔루션의 취약점을 이용 하기도 합니다
HDD수리방법 IT컨설팅견적 PC백업프로그램가격 PC전원안들어옴 SSD데이터복구비용 게임용그래픽카드최저가 기업유지보수비용 네트워크설치방법 노트북소리안나옴 노트북프리도스설치방법 데이터복원방법 랜선설치비용 백업웨어 메인보드교체견적 무선AP설치동영상 백업복구프로그램사용법 복원솔루션설치비용 산업용서버수리견적 서버납품견적 서버실구축비용 서버증설방법 수도권PC백업 수도권랜선설치 수도권외장하드수리 스위칭허브가격 스파이웨어치료프로그램 안티랜섬웨어가격 외장하드오류해결방법 윈도우11블루스크린해결방법
