Allcry 랜섬웨어는 국내 광고 프로그램의 특정 모듈을 악성 파일로 변경한 후 업데이트 기능을 통해 유포 된석으로 보입니다
광고 기능을 수행하는 "qbridge Network Service" 광고 모듈을 악성코드가 포함된 파일로 패치한 후 파일 암호화 기능을 수행하는 Allcry 랜섬웨어 악성 파일은 시스템 폴더에 winsrv.exe 파일로 생성합니다
또한, 자신의 유포 흔적을 제거할 목적으로 광고 프로그램에 생성된 QBridge.exe 파일도 다시 한번 패치 합니다
시스템 폴더에 생성된 Allcry 랜섬웨어 실행 파일(winsrv.exe) 파일은 Microsoft 관련 파일처럼 파일 속성값이 설정되어 있으며, 실행 시 국내 특정 광고 서버에 접속하여 통신에 성공한 경우에만 파일 암호화가 진행됩니다
감염된 PC와 연결된 모든 저장장치(HDD, 외장HDD, 네트워크 공유 폴더, USB 등)에 대해 파일 암호화를 진행 합니다
암호화가 완료 되면 바탕화면에 readme.txt 파일을 생성하고 "Allcry crypter"메세지 창을 생성하여 보여 집니다
Allcry crypter"메세지 창의 옵션을 선택하여 한국어, 영어, 중국어로 된 내용을 확인 할 수 있습니다
해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다
가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다
데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다