변종2 Matrix 랜섬웨어 - 북한 관련 메일주소를 사용

닉맨 2022.07.28 16:31:44

변종  Matrix 랜섬웨어는 기존 Matrix 랜섬웨어의 또 다른 변종으로  이번에는 파일 암호화 이후 변경된 파일 이름에서 북한 관련 키워드가 포함된 것이 특징 입니다

 

이번 변종 Matrix 랜섬웨어 역시 최신 보안 패치가 제대로 이루어지지 않은 사용자가 Internet Explorer 웹 브라우저로 사이트 접속 과정에서 취약점을 통해 악성코드를 다운로드 하여 실행하는 방식 입니다

 

악성코드가 실행 되면 파일 암호화 이전에 시스템 복원을 통한 파일 복구를 무력화할 목적으로 윈도우 볼륨 쉐도우 복사본을 삭제 합니다

 

Matrix 랜섬웨웨 변종의 종류에 따라 암호화 파일이름 변경과 안내파일의 이름이 다소 다르게 생성 됩니다

1.

<Random>-<Random>.pyongyang001@yahoo.com

#_#WhatWrongWithMyFiles#_#.rtf / #_#WhatWrongWithMyFiles#_#1.rtf ~ #_#WhatWrongWithMyFiles#_#50.rtf

 

2.

<Random>-<Random>.[JUCHE001@TUTANOTA.COM]

#_#Where-is-my-files#_#!.rtf

 

3.

<원본 파일명>_[JUCHE001@YAHOO.COM].<원본 확장명>

#_#WhatWrongWithMyFiles#_#.rtf / #_#WhatWrongWithMyFiles#_#1.rtf ~ #_#WhatWrongWithMyFiles#_#50.rtf

 

4.

<원본 파일명>.<원본 확장명>

#_#WhatWrongWithMyFiles#_#.rtf / #_#WhatWrongWithMyFiles#_#1.rtf ~ #_#WhatWrongWithMyFiles#_#50.rtf

 

일부 변종에 따라 변경되는 파일 이름에 포함되는 단어중 pyongyang001(평양001), JUCHE001(주체001)와 같은 북한 관련 키워드가 메일 주소로 사용 되었습니다

 

또, 다른 특징으로는 보통의 랜섬웨어가 폴더 단위로 파일 암호화 를 진행하는 것과는 대조적으로 변종  Matrix 랜섬웨어는 파일 확장자 단위로 파일 암호화를 진행 합니다

예) .xlsx확장자 파일 암호화 이후 .doc확장자 파일 암호화 진행후 끝나면 .pdf확장자 파일 암호화.....

 

파일 암호화가 완료된 후에는 생성된 안내 파일만 남기고 암호화에 이용된 파일은 삭제를 합니다

 

최종적으로 "ALL YOUR FILES HAVE BEEN ENCRYPTED!" 메세지 창을 생성 합니다

백업웨어.png

 

또한, 암호화된 파일이 위치한 폴더 및 바탕 화면에 "Warning! All your files were encrypted with strong crypto algorithm." 제목의 안내 파일(#_#WhatWrongWithMyFiles#_#.rtf 또는 #_#Where-is-my-files#_#!.rtf)을 다수 생성합니다

백업웨어2.png

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다