CRBR Encryptor 랜섬웨어 - Cerber 랜섬웨어의 변종

닉맨 2022.07.28 12:36:27

CRBR Encryptor 랜섬웨어는 Cerber 랜섬웨어의 변종으로 Adobe Flash Player, Internet Explorer 등의 소프트웨어 취약점을 이용해 감염시키는 방삭입니다

 

취약점에 대한 보안 업데이트가 이루어지지 않은 PC가 사이트에 접속하면 자동으로 감염 됩니다

 

 CRBR Encryptor 랜섬웨어에 감염되면 바탕화면에 악성 파일을 생성하여 자동 실행되는 형태이며, 백신 프로그램 탐지를 우회 하려는 목적으로 파일 용량을 증가 시키기도 합니다

 

백신 프로그램이 일반적으로 파일 용량이 일정 수준 이상인 경우 악성코드 탐지를 위한 파일 수집 용량 기준을 초과하여 새로운 변종 파일에 대한 진단 속도를 늦출수 있는 효과를 위해 악성코드 파일 용량을 증가 시킵니다

 

그리고, 파일 암호화가 완료되기 전에 PC가 종료 되거나 중지 될경우를 대비해 바탕화면에 생성된 악성 파일의 바로가기를 시작 프로그램 폴더에 등록 합니다   

 

기존 Cerber 랜섬웨어와의 차이점은 아래 확장자에 대한 암호화를 하지 않는 다는 점입니다

.bmp, .hwp, .mp3, png, .rtf, .txt

 

이는 일반적으로 중요시 되는 파일 확장자로 된 파일만을 빠르게 암호화 하기 위한 것으로 보입니다

 

확장자 변경은 "<10자리 영문,숫자 Random>.<4자리 Random 확장명>" 형태로 파일이름, 확장자까지 변경되어 원본 파일을 확인하기 어렵게 하고 있습니다

 

안내 파일은 "HOW_TO_DECRYPT_MY_FILES_<Random>_.hta"  "_HOW_TO_DECRYPT_MY_FILES_<Random>_.txt" 2개의 파일이 각 폴더마다 생성 되며, 한국어를 포함한 13개 언어로 되어 있습니다

 

백업웨어5.JPG

 

그리고 바탕화면의 배경을 악성코드가 생성한 bmp 그림파일로 변경하여 랜섬웨어에 감염된것을 알리고 있습니다

백업웨어6.JPG

배경 그림 내용에는 Tro 웹브라우저를 이용하여 특정 주소에 연결하라는 메세지가 있습니다

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다