MedusaLocker 랜섬웨어 - 원격제어(RDP) 접근 방식
MedusaLocker 랜섬웨어는 RDP(원격제어) 계정을 알아낸후 시스템에 침투 하여 악성코드를 생성 실행시켜 데이터를 암호화 합니다
따라서, RDP 계정을 유추하기 어려운 것으로 바꾸거나 RDP를 장기간 사용하지 않을경우 중지를 시키는것이 안전 합니다
확장자 변경은 "문서.txt.Readinstruction"으로 바뀌며
결제 안내 파일은 "HOW_TO_RECOVER_DATA.html" 파일이 생성 됩니다
Babuk Locker 랜섬웨어 - 4개 언어의 안내 파일 생성
Babuk Locker 랜섬웨어는 윈도우 부팅, 복구에 필요한 숨김 속성의 파티션을 활성화 하여 탐색기 보이게 합니다
Update.exe 파일명으로 실행되며 시작프로그램 폴더에 존재하여 윈도우 부팅시마다 실행 됩니다
또한 아래의 그림에 나와있는 백업, 보안솔루션에 대하여 서비스가 동작중인 경우 중지를 시도 합니다
확장자 변경은 "문서.txt.piton"으로 변경 되며
결제 안내 파일은 "Help Restore You Files.txt" 파일이 생성 됩니다
4개국 언어(영어, 스페인어, 러시아어, 포루투갈어)로 된 결제 안내 파일
Avast에서 복호화 툴을 제공 합니다. NO MORE RANSOM 사이트에서 받을수 있습니다
https://www.nomoreransom.org/ko/decryption-tools.html
CryTOX 랜섬웨어는 윈도우 탐색기 또는 svchost.exe 시스템 파일을 이용하여 파일을 암호화 합니다
또한 암호화된 파일 속성을 읽기전용으로 변경 합니다
확장자 변경은 "문서.txt.<Random>.waiting"으로 변경 되며
결제 안내파일 "Readme.hta"을 생성 합니다
Oppo 랜섬웨어 - RDP(원격제어)로 접근하여 암호화
Oppo 랜섬웨어는 RDP(원격제어) 접근 방식으로 접속하여 RX.exe 랜섬웨어 파일을 실행하거나 Microsoft .NET Framework 정상 파일을 이용하여 파일 암호화를 진행할 수 있습니다
또한 MS SQL Server 계정 해킹을 통해 접근할 수도 있기 때문에 계정관리에 주의가 필요 합니다
확장자 변경은 "문서.txt.oppo"로 바뀌며
결제 안내 파일은 "HOW TO BACK YOUR FILES.txt" 또는 "HOW TO RECOVER !!.TXT"가 생성 됩니다
Prometheus 랜섬웨어 - 기업을 대상으로 활동하는 악성코드
Prometheus 랜섬웨어는 기업을 대상으로 활동하는 랜섬웨어로 1대의 PC를 감염 시켜 내부 네트워크를 통해 전파를 목적으로 한 추가적인 공격이 이루어 집니다
Prometheus 랜섬웨어 감염시 임시폴더에 Sysinternals PsExec 파일을 추가하여 이를 통해 기본 게이트웨이(라우터)에 PSEXEC.exe파일을 생성하여 내부 내트워크를 대상으로 원격으로 랜섬웨어 설치를 진행 합니다
확장자 변경은 Prometheus 랜섬웨어 변종에 따라 다양하게 변경되는데 아래와 같습니다
문서.txt.[<3자리 Random>-<3자리 Random>-<3~4자리 Random>]
문서.txt.AZCUEPUMPS[prometheushelp@mail.ch]
문서.txt.KPSTARGARD[prometheusdec@yahoo.com]
문서.txt.PROM[prometheushelp@mail.ch]
결제 안내 파일은 "RESTORE_FILE_INFO.txt"가 생성 됩니다
원활한(?) 암호화 진행을 위해 다양한 동작이 이루어 집니다
1. Microsoft Defender 무력화
2. Raccine 랜섬웨어 보호 프로그램 무력화
3. 특정 프로세스 실행 차단 (agntsvc.exe, CNTAoSMgr.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, mbamtray.exe, msaccess.exe, msftesql.exe, mspub.exe, mspub.exe, mydesktopqos.exe, mydesktopqos.exe, mydesktopservice.exe, mydesktopservice.exe 등..)
4. 다양한 서비스 시작 유형 설정값 변경및 실행 중지
5. 시스템 복원 무력화
6. SMB 포로토콜 기능 활성화
7. 윈도우 방화벽 규칙 변경
8. 휴지통 비우기