랜섬웨어 RobinHood - 로빈후드를 사칭

닉맨 2022.11.07 14:37:27

RobinHood 랜섬웨어는 2018년 8월경에 해외에서 확인된 랜섬웨어 입니다

 

영국의 전설적인 의적 로빈후드(RobinHood)를 자칭하며 정치적 메세지 표시와 파일 암호화는 물론 일정 시간이 경과하면 파일을 삭제하는 랜섬웨어 입니다

 

악성 코드가 실행 되면 MicrosoftServices라는 이름의 작업 스케쥴을 등록하여 72시간 안에 몸값 지불을 하지 않으면 Wiper 기능을 이용하여  암호화된 파일 마저 삭제를 합니다

 

파일 암호화는 시스템 폴더 영역을 제외한 모든 폴더에 대하여 파일 암호화를 진행 합니다

 

확장자 변경은 "문서.txt.Robinhood" 형태로 변경 되며

 

안내 파일은 READ_IT.txt 파일이 각 폴더마다 생성 됩니다

 

백업웨어.png

파일 암호화가 완료 되면 아래 그림처럼 바탕화면 배경을 변경 하며 오른쪽 하단에 타이머 시간 표시를 합니다

 

내용에는 사우디아라비아에 의해 예멘의 무고한 사람들이 죽고 있다며 72시간 안네 비트코인을 보낼것과 사우디아라비아의 범죄 행위를 트위터에 작성 하라고 되어 있습니다

 

백업웨어2.png

 

 

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다