LanRan 랜섬웨어는 시스템 드라이브(보통 C드라이브)의 문서, 사진, 음악, 바탕화면에 저장된 파일 중 다음과 같은 확장자 파일을 대상으로 파일 암호화를 합니다

 

.7z, .7Z, .amv, .asp, .aspx, .avi, .BAT, .bmp, .c, .csv, .dll, .doc, .docx, .Exe, .exe, .fla, .flv, .gif, .GIF, .gz, .html, .icns, .ico, .iso, .jar, .jpg, .JPG, .mdb, .midi, .mov, .mp3, .mp3, .mp4, .mpg, .mpv, .mtv, .odt, .ogg, .pbm, .pdf, .php, .png, .PNG, .ppt, .pptx, .psd, .rar, .RAR, .rtf, .rv, .rvx, .sln, .sql, .tar, .txt, .TXT, .ved, .wm, .wma, .wmv, .xls, .xlsx, .xml, .xwmv, .zip

 

특이한 점은 이외의 드라이브 (D, E, F 드라이브 등...)에 있는 파일에 대해서는 암호화를 하지 않고 마치 삭제 한것처럼 속성 변경을 통해 숨김으로 변경 하여 안보이게 합니다

위의 F드라이브에 있는 폴더 이름에 .LanRan2.0.5.LanRan2.0.5 이름을 추가하여 파일을 생성 합니다

 

하지만 이는 파일을 암호화 하서나 삭제 한 것이 아니라 폴더, 파일의 속성을 변경 하여 안보이게 한 것입니다

 

이를 확안 하기 위해서는 폴더 옵션에서 아래의 선택 사항을 확인 하면 볼 수 있습니다

 

폴더 옵션을 변경하면 Folder라는 이름의 폴더에 원본 파일 들이 있음을 확인 할 수있습니다

 

 

 

또한, 새로이 생성된 Users 라는 폴더에는 LanRan2.0.5.exe 이름의 악성 파일과 <원본 폴더명>.LanRan2.0.5.LanRan2.0.5.exe 이름의 파일들이 다수 생성 된것을 볼 수 있습니다

확장자 변경은 "문서.txt.LanRan2.0.5" 형태로 변경 되며

 

결제 안내 파일은 "@__README__@.txt" 파일이 바탕 화면에 생성되며

 

img.jpg 파이일을 생성 하여 바탕화면으로 변경 합니다

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다