“공격자가 사이버 위생에 무관심한 직원을 속여 첨부 파일을 열거나 악성 링크를 클릭하도록 하여 전체 네트워크를 손상시키는 경우 약간 변형된 악성 코드가 포함된 단일 스피어 피싱 이메일로 수백만 달러 규모의 기업 보안 솔루션을 우회할 수 있습니다. .”
James Scott, 중요 인프라 기술 연구소 선임 연구원
지난주에는 Defray라는 랜섬웨어가 특정 엘리트 조직 그룹을 표적으로 삼아 5,000달러를 요구했습니다. 감염시. 이는 고급 암호화 알고리즘을 사용하는 C++로 작성된 파일 인코더 트로이 목마입니다.
필독 사항: 랜섬웨어로부터 PC를 보호하는 다양한 방법
Deray라는 이름 첫 번째 추적 공격의 C&C 서버 호스트인 'defrayable-listings'를 기반으로 합니다.
Glushkov Ransomware라고도 알려져 있습니다. 이름은 위협을 확산시키고 해커에게 연락하는 데 사용되는 '[email protected]', 'glushkov®tutanota.de' 및 '[email protected]' 이메일 계정을 참조하는 데 사용될 수 있습니다.
2개의 소규모 선택적 공격을 유포하고 있었으며, 암호화폐의 큰 위협으로 인식되고 있습니다. 위협은 Petya 및 WannaCry 변종에 비유되고 있습니다.
보고에 따르면 위협은 주로 병원과 교육 기관 네트워크를 대상으로 하며 데이터를 암호화합니다.
첫 번째 공격의 목표는 다음과 같습니다. 다른 대상은 제조 및 기술 기관입니다.
어떻게 확산되고 있나요?
Img src: gbhackers
악성코드를 확산시키는 데 사용된 설치 프로그램은 포함된 실행 가능한 비디오 클립(O LE 패키저 셸 개체)이 포함된 Word 문서를 사용하고 있습니다.
수신자가 포함된 비디오 클립을 재생하려고 할 때 이미지인 video를 실행하면 Defray Ransomware가 설치되어 활성화됩니다. 설치 후에는 데이터 암호화를 시작한 다음 액세스 권한을 다시 얻으려면 몸값을 지불해야 한다고 선언하는 몸값 메모를 표시합니다.
피싱 이메일과 표적 스피어 피싱 이메일은 사무실 직원을 유인하는 데 사용되며 그런 다음 강제로 감염된 문서를 읽어보세요. 이메일은 개인 또는 그룹을 대상으로 하며 대상을 유인하기 위해 특별히 고안된 메시지로 구성됩니다.
캠페인은 제조 및 기술 전문가를 대상으로 8월 15일에 처음으로 진행되었습니다. 8월 22일에 이어 또 다른 캠페인이 진행됩니다. s가 실행되고 가짜 메일이 의료 및 교육 기관에 전송되었습니다. 이 이메일에는 병원의 정보 관리 및 기술 책임자로 추정되는 사람이 보낸 환자 보고서가 포함되어 있습니다.
Img src: 증거 자료
이러한 가짜 이메일은 악성 코드에 대한 공개 초대를 제공하며 시스템에 설치됩니다. 이는 마치 뱀파이어를 집에 초대하고 그에게 피를 흘리게 하는 것과 같습니다.
필독 사항: 랜섬웨어 처리 시 해야 할 일과 하지 말아야 할 일
이 모든 것이 데스크톱에 몸값 메모가 나타난 후 피해자는 비트코인 형태로 5,000달러를 지불하라는 요청을 받습니다.
몸값 메모는 'Files.TXT'와 'HELP'라는 두 파일에서 찾을 수 있습니다. TXXR'이며 결론은 다음과 같습니다.
“이것은 맞춤형으로 개발된 랜섬웨어이며, 해독기는 바이러스 백신 회사에서 만든 것이 아닙니다. 이건 이름조차 없어요. 파일 암호화에는 AES-256을, 암호화된 AES-256 비밀번호 저장에는 RSA-2048, 암호화된 파일 무결성 유지에는 SHA-2를 사용합니다. C++로 작성되었으며 많은 품질 보증 테스트를 통과했습니다. 다음 번에 이런 일을 방지하려면 오프라인 백업을 사용하세요.”
출처: tripwire
Defray Ransomware는 다음 확장자를 사용하여 파일을 암호화합니다.
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, .arw , .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, . dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf , .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, . pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, . stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet, .win, .xls, .xlsm, .xlsx, .zip.
출처: enigmasoftware
다음 읽기: Locky 랜섬웨어 'Back from the Dead'
이러한 모든 랜섬웨어 공격은 보호하고 주의를 기울여야 하는 경보입니다. 익명의 출처로부터 받은 이메일과 확실하지 않은 이메일은 열지 말아야 합니다. 이메일로 받은 첨부 파일을 모두 열어서는 안 됩니다. 또한 보안 관점에서 업데이트된 안티 바이러스를 컴퓨터에 설치해야 합니다. 기계.
읽기: 0
