Globelmposter 랜섬웨어는 변종에 따라 원격데스크톱(RDP)를 이용한 사람에 의해 실행이 이루어지는 공격 방식외에도 프로그램에 의한 자동회된 공격을 통해서 짧은 시간에 다수의 DB 서버를 노리는 것으로 보입니다
접속에 성공한 랜섬웨어는 스크립를 실행시켜 다수의 서비스, 프로세스, 로그 등을 종료및 삭제 하는것은 물론 복구에 필요한 시스템 파티션과 복구파티션을 강제로 활성화 시켜 암호화 시킵니다
Microsoft SQL Server Management Studio (SSMS)를 통해 괸리되는 계정을 지속적으로 무작위 대입 공격( Burte Force-Attach) 방식으로 계정과 암호를 찾아내어 접속 후 시스템에 랜섬웨어를 실행하는 공격을 자동화시캬서 진행하고 있습니다
따라서, 기본계정(SA)은 삭제하고 유추하기 힘든 계정과 암호를 사용하는 것이 좋겠습니다
확장자 변경은 "원본문서.TXT.Globeimposter-Alpha865qqz" 또는 "원본문서.TXT.farrattack" 형태로 바뀝니다
Magniber 랜섬웨어 - 최신 웹브라우저 업데이트 메세지창을 통해 유포
Magniber 랜섬웨어는 최신 보안 패치가 적용되지 않은 Internet Explorer(이하 IE) 웹 브라우저를 이용하여 사이트 접속 중 취약점(Exploit)을 통해 자동 감염되는 방식으로 진행되고 있으나 2022년6월에 IE의 서비스 종료와 Microsoft Edge, Chrome 등의 가양한 웹브라우저를 사용하는 추세에 따라 Magniber 랜섬웨어도 다양한 웹브라우저에 감염 시킬 수 있도록 변화하고 있습니다
Chrome, Microsoft Edge 사용자가 웹사이트 접속중 아래외 같은 메세지가 표시될 수 있습니다
사용하는 웹브라우저의 종류에 따라 다양한 형태로 노출 될수 있습니다
무심코 설치를 진행하면 랜섬웨어에 감염될 수 있습니다
확장자 변경은 "원본문서.TXT.<7~9자리 영문 소문자 Random 확장명>" 형태로 바뀝니다
CrySis 랜섬웨어 - 원격제어 방식으로 시스템에 침투
CrySis 랜섬웨어는 주로 야간시간에 원격제어 방식으로 시스템에 침투하여
C:\Users\User\Documents\winhost 파일을 생성, 실행하여 암호화 시키는 유형입니다
확장자 변경은 "원본문서.TXT.id-<Random>.[quacksalver@onionmail.org].ver" 형태로 바뀝니다
Mallox 랜섬웨어 - Microsoft .NET Framework 정상 파일로 파일 암호화 진행
Mallox 랜섬웨어는 Microsoft .NET Framework 정상 파일 또는 랜섬웨어 악성 파일로 파일 암호화 진행 합니다
특히 시스템에 CAPS\ACServer, DuzoneBizon, DuzonISS, mssql2014, MSSQLSERVER 등의 폴더가 있는 DB서버일경우 주요 공격 대상이됩니다
따라서 MS SQL Server 계정명과 암호는 유추하기 어려운 값으로 변경이 필요합니다
확장자 변경은 "원본문서.TXT.mallox" 형태로 바뀝니다
Phobos 랜섬웨어 - 원격 데스크톱 서비스(RDP)를 통한 공격 유형
Phobos 랜섬웨어는 원격 데스크톱 서비스(RDP)를 통한 공격 유형을 보입니다
RDP를 통하여 접속한 뒤에 랜섬웨어를 실행 합니다
따라서 Windows 관리자 계정명과 암호를 유추하기 어려운 값으로 변경하고 RDP기본 포트인 3389대신 다른 포트를 사용 해야할 것 입나다
획징자 변경은 "원본문서.TXT.[<Random>-2455].[tspans@privatemail.com].google" 등의 다양한 형태로 바뀝니다