Prometheus 랜섬웨어 - 기업을 대상으로 활동하는 악성코드

닉맨 2022.02.24 09:10:57

Prometheus 랜섬웨어는 기업을 대상으로 활동하는 랜섬웨어로 1대의 PC를 감염 시켜 내부 네트워크를 통해 전파를 목적으로 한 추가적인 공격이 이루어 집니다

 

Prometheus 랜섬웨어 감염시 임시폴더에  Sysinternals PsExec 파일을 추가하여 이를 통해 기본 게이트웨이(라우터)에 PSEXEC.exe파일을 생성하여 내부 내트워크를 대상으로 원격으로 랜섬웨어 설치를 진행 합니다

 

확장자 변경은 Prometheus 랜섬웨어 변종에 따라 다양하게 변경되는데 아래와 같습니다

문서.txt.[<3자리 Random>-<3자리 Random>-<3~4자리 Random>]

문서.txt.AZCUEPUMPS[prometheushelp@mail.ch]

문서.txt.KPSTARGARD[prometheusdec@yahoo.com]

문서.txt.PROM[prometheushelp@mail.ch]

 

결제 안내 파일은 "RESTORE_FILE_INFO.txt"가 생성 됩니다

백업웨어.JPG

 

원활한(?) 암호화 진행을 위해 다양한 동작이 이루어 집니다

1. Microsoft Defender 무력화

2. Raccine 랜섬웨어 보호 프로그램 무력화

3. 특정 프로세스 실행 차단 (agntsvc.exe, CNTAoSMgr.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, mbamtray.exe, msaccess.exe, msftesql.exe, mspub.exe, mspub.exe, mydesktopqos.exe, mydesktopqos.exe, mydesktopservice.exe, mydesktopservice.exe 등..)

4. 다양한 서비스 시작 유형 설정값 변경및 실행 중지

5. 시스템 복원 무력화

6. SMB 포로토콜 기능 활성화

7. 윈도우 방화벽 규칙 변경

8. 휴지통 비우기

 

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다