Chinese Coffee 랜섬웨어는 중궁어 사용자를 대상으로 동작 하도록 만들어진 랜섬웨어 입니다
중국 기업에서 사용하는 특정 업데이트 파일의 DLL 취약점을 사용하녀 랜섬웨어가 동작 합니다
정상적인 프로그램의 업데이트 파일이 실행될 경우 myou.dll 파일을 추가 다운로드하여 로딩하는 방식으로 동작하며 공격자는 해당업데이트 파일이 myou.dll 파일을 로딩한다는 점을 악용한 것으로 보입니다
이때 업데이트 파일의 DLL Hijacking 취약점을 이용하여 공격 합니다
암호화 대상 확장자는 아래와 같습니다
.3gp, .aes, .aib, .ais, .aof, .asm, .ba_, .cdr, .cpp, .cs, .csr, .csv, .dat, .dbb, .dbf, .doc, .docm, .docx, .dps, .dwg, .dxf, .fdb, .frm, .gdb, .gpg, .ibd, .java, .jpg, .key, .keys, .ldf, .lst, .mat, .mdb, .mdf, .mov, .mp4, .myd, .myi, .ndf, .p12, .pas, .pdf, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .rar, .rbk, .rdata, .rdb, .rep, .sas, .sas7bdat, .sav, .shp, .sql, .sqlite, .udb, .udbx, .vsd, .wps, .xls, .xlsb, .xlsm, .xlsx, .zip
또한 특정 폴더는 암호화를 제외 하도록 하고 있습니다
확장자 변경 형태는 "그림.coffee.<4자리 Random>.jpg"로 변경 됩니다
결제 안내 파일은 "请阅读我.RSA.txt" 파일이 각 폴더마다 생성 됩니다
请阅读我는 "읽어주세요" 라는 뜻입니다
해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다
가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다
데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다