1
랜섬웨어 BTC_azadi - 네트워크 드라이브에서도 실행

BTC_azadi 랜섬웨어는 최근에 확인된 신종 랜섬웨어 입니다

 

국내 감염 방식으로는 휴일 새벽 시간대에 RDP(원격제어) 방식으로 침투하여 직접 악성코드를 실행 한것으로 보입니다

 

해커가 RDP를 통해 침투 한 후에 문서 폴더에 별도의 폴더를 생성하여 Crypter.exe 랜섬웨어 파일을 실행 한것으로 보입니다

 

이 후에 감염된 PC외 연결된 네트워크 드라이브의 공유 폴더에도 랜섬웨어 파일을 복사 한 후에 다른 사용자가 해당 랜선웨어 파일을 실행 할 경우 추가 피해가 예상 됩니다

 

BTC_azadi 랜섬웨어는 다음괴 같은 폴더와 파일 그리고, 확장자는 제외한 파일에 대해서 암호회를 진행 합니다

 

<폴더>

$Windows.~bt, $windows.~ws, Boot, Default, Intel, MSOCache, PerfLogs, Public, System Volume Information, Windows, windows nt, windows.old

 

<확장자>

.BTC, .drv, .efi, .msi

 

<파일>

autorun.inf, boot.ini, bootfont.bin, bootmgr, bootsect.bak, Config.Msi, desktop.ini, How To Restore Files.txt, iconcache.db, MSVCRT.dll, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db

 

또한, 시스템 복구를 막기위해 다음과 같은 명령어로 복원 지점 삭제를 합니다

vssadmin.exe delete shadows /all /quiet

 

확장자 변경은 "문서.txt..EMAIL=[azadi33@smime.ninja]ID=[<Random>].BTC" 형태로 변경 되며

 

안내 파일은 "How To Restore Files.txt" 파일이 각 폴더마다 생성 됩니다

 

백업웨어.png

 

 

컴퓨터AS 부평컴퓨터AS  RANSOMDEFENDER종류 RANSOM복구방법 RANSOM복구비용 RANSOM치료견적 RANSOM치료동영상 RANSOM치료방법 RANSOM치료비용 SSD교체동영상 SSD교체방법 SSD교체비용 SSD데이터복구 SSD데이터복구견적 

 

 

이 게시물을

공유하기

SEARCH