1
LanRan 랜섬웨어 - 원본 파일을 숨김으로 속임수 씀

LanRan 랜섬웨어는 시스템 드라이브(보통 C드라이브)의 문서, 사진, 음악, 바탕화면에 저장된 파일 중 다음과 같은 확장자 파일을 대상으로 파일 암호화를 합니다

 

.7z, .7Z, .amv, .asp, .aspx, .avi, .BAT, .bmp, .c, .csv, .dll, .doc, .docx, .Exe, .exe, .fla, .flv, .gif, .GIF, .gz, .html, .icns, .ico, .iso, .jar, .jpg, .JPG, .mdb, .midi, .mov, .mp3, .mp3, .mp4, .mpg, .mpv, .mtv, .odt, .ogg, .pbm, .pdf, .php, .png, .PNG, .ppt, .pptx, .psd, .rar, .RAR, .rtf, .rv, .rvx, .sln, .sql, .tar, .txt, .TXT, .ved, .wm, .wma, .wmv, .xls, .xlsx, .xml, .xwmv, .zip

 

특이한 점은 이외의 드라이브 (D, E, F 드라이브 등...)에 있는 파일에 대해서는 암호화를 하지 않고 마치 삭제 한것처럼 속성 변경을 통해 숨김으로 변경 하여 안보이게 합니다

백업웨어.JPG

위의 F드라이브에 있는 폴더 이름에 .LanRan2.0.5.LanRan2.0.5 이름을 추가하여 파일을 생성 합니다

 

백업웨어1.JPG

하지만 이는 파일을 암호화 하서나 삭제 한 것이 아니라 폴더, 파일의 속성을 변경 하여 안보이게 한 것입니다

 

이를 확안 하기 위해서는 폴더 옵션에서 아래의 선택 사항을 확인 하면 볼 수 있습니다

백업웨어2.JPG

백업웨어3.JPG

 

폴더 옵션을 변경하면 Folder라는 이름의 폴더에 원본 파일 들이 있음을 확인 할 수있습니다

 

백업웨어4.JPG

 

 

또한, 새로이 생성된 Users 라는 폴더에는 LanRan2.0.5.exe 이름의 악성 파일과 <원본 폴더명>.LanRan2.0.5.LanRan2.0.5.exe 이름의 파일들이 다수 생성 된것을 볼 수 있습니다

백업웨어5.JPG

확장자 변경은 "문서.txt.LanRan2.0.5" 형태로 변경 되며

 

결제 안내 파일은 "@__README__@.txt" 파일이 바탕 화면에 생성되며

백업웨어6.JPG

 

img.jpg 파이일을 생성 하여 바탕화면으로 변경 합니다

백업웨어7.JPG

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다

 

 

 

이 게시물을

공유하기

SEARCH