BlueSky 랜섬웨어 - MS SQL DB서버를 공격

닉맨 2022.07.04 17:23:02

최근 국내에서 MS SQL DB서버를 공격하는 랜섬웨어가 증가 하고 있습니다

 

주로 기업에 설치된 SQL DB서버를 대상으로 하며 관리가 소홀한 시간대인 야간시간에 침입하여 공격하는 것으로 보입니다

 

2022년 2월경부터 탐지가된 Ransomnix 랜섬웨어와 동일한 악성코드 실행 위치가 확인됩니다

 

파일 암호화에 방해가 되는 랜섬웨어 분석툴의 프로세스가 존재할 경우 종료 처리를 합니다

 

또한, 1분마다 랜섬웨어가 자동 재실행할수 있는 자동 실행값을 추가하여 계속 파일 암호화가 동작이 진행 되도록 구성 합니다

 

확장자 변경은 "문서.txt.bluesky" 형태로 변경 되며

 

안내 파일은 "# DECRYPT FILES BLUESKY #.html" 과 "# DECRYPT FILES BLUESKY #.txt" 2개의 파일이 폴더마다 생성 됩니다

 

백업웨어.JPG

< # DECRYPT FILES BLUESKY #.html> 내용

 

백업웨어1.JPG

< # DECRYPT FILES BLUESKY #.txt > 내용

 

안내 내용에는 Tro브라우저를 이용하녀 특정 Tro웹 사이트에 접속을 유도하며 접속을 위한 복구ID 값을 표시 했습니다

 

백업웨어10.jpg

사이트 내용에는 7일이내에 비용을 지불하지 않으면 금액이 2배로 오른다는 내용이 포함 되어 있습니다

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다