랜섬웨어 종류#3,컴퓨터수리업체

닉맨 2023.03.23 16:58:41

Carlos 랜섬웨어 (= Makop 랜섬웨어) - 이력서 문서파일과 원격제어(RDP) 방식으로 활동!!

 

Carlos 랜섬웨어는 이력서 문서 파일로 위장한 메일 첨부 방식과 원격제어(RDP) 접근 방식으로 암호화를 진행 합니다

 

[원격 데스크톱 서비스(RDP)를 이용한 유포 파일]

 

C:\Users\User\Pictures\Admin\bug\.mc_auto.exe

 

C:\Users\User\Pictures\Admin\bug\.mc_hand.exe

 

[메일 첨부 파일을 이용한 유포 파일]

 

이력서(경력사항도 같이 기재하였습니다 잘부탁드립니다).exe 

 

결제안내 파일은 readme-warning.txt 로 확인되고 확장자 변경은 아래와 같습니다

 

문서.txt.[akzhq808@tutanota.com].makop

문서.txt.[factfull0103@airmail.cc].factfull

문서.txt.[hopeandhonest@smime.ninja].makop

 

 

MME 랜섬웨어

 

기존에 보고된 적이 없는 MME 랜섬웨어는 실행 시 Discord 서버에서 추가적인 데이터를 받아온 후

 

"C:\Windows\SysWOW64\recover.exe" 정상 파일을 통한 파일 암호화를 진행합니다.

컴퓨터수리점13.gif

 

 

 

Zeppelin 랜섬웨어(.payfast) 변종

 

Zeppelin 랜섬웨어의 파일 확장명(.udacha123yes .<3자리 Random>-<3자리 Random>-<3자리 Random>) 형태의 확장자 변경 형태를 보이던 Zeppelin 랜섬웨어가 변종으로 활발히 유포되고 있습니다

 

감염경로는 원격제어(RDP) 방식으로 추정하고 있습니다

 

원격제어(RDP) 계정을 탈취하기 위해 무차별대입 공격(Brute-force Attack)을 하므로 계정관리에 각별히 신경써야 하겠습니다 

컴퓨터수리점14.gif

 

결제 안내 파일 : !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

확장자 변경 : 문서.txt..payfast.<3자리 Random>-<3자리 Random>-<3자리 Random> (3자리 랜덤 숫자+영문 대문자)

                  문서.txt.payfast290.<3자리 Random>-<3자리 Random>-<3자리 Random> (3자리 랜덤 숫자+영문 대문자)

 

 

Stop 랜섬웨어 - 파일과 암호화 화폐 지갑을 노리는 악성코드 !!

 

보안이 취약한 사이트로부터 다운로드한 크랙(Crack) 파일을 실행할 경우 추가적으로 다운로드를 통한 Stop랜섬웨어가 실행되며 추가적으로 정보 유출 악성코드도 실행 될수 있어서 주의를 요합니다

 

결제안내 파일은 _readme.txt 이고 다양한 확장자로 변경되는 변종이 지속적으로 발견 되고 있습니다

 

확장자 변경 : .bbbe / .bbbr / .bbbw / .maiv / .qqqe / .vfgj / .yoqs 등등...

 

새로운 STOP 랜섬웨어 변종이 많은 피해를 주고 있는데, 암호화폐 지갑의 정보를 빼낼 수 있는 악성코드도 추가적으로 동작 한다고 합니다

 

아래와 같은 결제 안내 파일인 "_readme.txt" 파일이 생성 됩니다

컴퓨터수리점15.gif

 

 

 

Target Company 랜섬웨어 - SQL DB서버를 노리는

 

SQL DB서버를 노리는 랜섬웨어로 자동화된 공격방식으로 SQL DB의 관리자 계정이 취약할 경우 공격 대상이 되기 쉽습니다

 

최근 확인된 TargetCompany 랜섬웨어의 변종은 확장자 변경이 "문서.txt.hhide"로 바뀌며

 

RECOVERY INFORMATION.txt의 결제 안내 파일을 생성 합니다

 

컴퓨터수리점16.gif

 

다행히 AVAST사에서 복호화 툴을 제공 하오니 아래 링크를 참고하여 복호화를 할 수 있습니다

 

https://decoded.avast.io/threatresearch/decrypted-targetcompany-ransomware/

 

 

BlackByte 랜섬웨어 - 파일날짜를 2000년1월1일로 수정하며 암호화!

 

BlackByte 랜섬웨어는 2021년 4월과 5월에 MS 패치를 통해 수정이 이루어진 Microsoft Exchange Server의 ProxyShell 취약점을 통해 JS스크립트 파일을 사용하여 공격할 수 있습니다

 

작동이 시작되면 암호화에 방해가 되는 서비스및 시스템 복원에 필요한 파티션과 기능을 무력화 시킵니다

 

확장자 변경은 "문서.txt.blackbyte"로 변경 됩니다

 

암호화가 완료 되면 아래 그림처럼 암호화가 완료 되었다는 팝업창을 띄웁니다

컴퓨터수리점17.gif

 

또한 "%AppData%\BlackByte_restoremyfiles.hta" 결제 안내 파일을 실행하여 BlackByte 메시지 정보를 생성합니다

컴퓨터수리점18.gif