랜섬웨어 CryptJoker - 빠른 파일 암호화 진행

닉맨 2023.07.19 14:30:12

CryptJoker 랜섬웨어는 해커가 원격데스크톱(RDP) 계정을 획득하여 사용자 이용이 없는 시간대인 주말 야간 시간대에 침투하여 랜섬웨어를 실행하는 형태 입니다

 

CryptJoker 랜섬웨어의 특징은 1MB 영역에 대해서만 암호화를 진행 하므로 상당히 빠른 암호화 속도를 보입니다

DELL서버추천 IT장비수리방법 PC백업견적 PC전원불량 SSD교체방법 게임용CPU추천 기업네트워크구축견적 네트워크서버설치동영상 네트워크허브연결방법 노트북키보드고장수리비용 데이터백업방법 랜선공사비용 마우스멈춤수리방법 무선AP구축방법 방화벽유지보수 유지보수 복원솔루션삭제방법 산업용서버설치 서버구입비용 서버수리방법 서버점검견적 수도권IT장비 수도권동영상복원

CryptJoker 랜섬웨어는 아래 목록의 폴더는 암호화를 진행하지 않습니다

 

System Volume Information, Recycle.Bin, \Windows\, \Program Files (x86)\, \Program Files\

 

CryptJoker 랜섬웨어는 원활한 파일 암호화를 위해서 아래의 목록에 있는 프로세스를 종료 시킵니다

 

ccEvtMgr*, Culserver*, Intuit.QuickBooks.FCS*, MsDtsServer100*, MsDtsServer130*, msmdsrv*, MSSQL*, MSSQLFDLauncher*, MSSQLSERVER* , MSSQLServerOLAPService*, postgresql*, QBCFMonitorService*, QBIDPService*, ReportServer*, RTVscan* , SavRoam*, sqladhlp*, SQLADHLP*, SQLAgent*, SQLBrowser*, sqlbrowser*, sqlservr*, SQLTELEMETRY*, sqlwriter*, SQLWriter*, SSISTELEMETRY130*, storflt*, TMBMServer*, UniFi*, vmicguestinterface*, vmicheartbeat*, vmickvpexchange*, vmicrdv*, vmictimesync*, vmicvss*, vmms*, wrapper*

 

또한, 복구를 하지 못하도록 볼륨쉐도우 복사본을 삭제하는 명령을 수행 합니다

 

그리고, 윈도우를 재부팅 할경우 CryptJoker 랜섬웨어를 재실행 하기 위해서 레지스트리에 값을 추가 합니다

 

위치 : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

값 : Windows Security Service Watcher = <Random 실행 파일>

 

확장자 변경은 "문서.txt.[24자리 Random문자][pckey@yahooweb.co].locked" 형태로 변경 되며

예) 문서.txt.[768A34GHFY34UKTH7TV2BM33][pckey@yahooweb.co].locked

 

암화된 폴더에는 How_to_decrypt_my_files.html 안내 파일이 생성 됩니다

 

안전한백업.gif

 

해커가 RDP를 통해 랜섬웨어를 실행하여 파일 암호화를 진행하는 만큼 RDP계정의 비활성화 또는, 계정의 비밀번호를 복잡하게 적용 하는 등의 관리에 신경을 써야 할 것 입니다

 

 

 

 

랜섬웨어에 대한 피해 예방은 안전한 백업 입니다

백업웨어는 안전 합니다

 

 

 

 

 

 

 

수도권시스템복구 순간복구프로그램설치 스파이웨어예방빙법 실시간백업견적 외장하드오류수리비용 윈도우11블루스크린수리견적 윈도우노트북판매 윈도우프로그램설치견적 유투브방송컴추천 인텔서버판매 조립서버설치 백업웨어 컴퓨터가너무느려요수리비용 컴퓨터기사출장 컴퓨터네트워크점검비용 컴퓨터메인보드교체비용 컴퓨터복구프로그램사용법 컴퓨터수리 컴퓨터유지보수상담 컴퓨터출장포맷비용 컴퓨터화면캡처 하드업그레이드비용