포스팅 내용

국내외 보안동향

새로운 Brrr Dharma 랜섬웨어 변종 발견

New Brrr Dharma Ransomware Variant Released


.brrr 확장자를 붙이는 Dharma 랜섬웨어의 새로운 변종이 발견 되었습니다. 이 변종은 보안 연구원인 Jakub Kroustek이 트위터에 VirusTotal의 샘플을 링크해 알려졌습니다.


불행히도, 아직까지 Dharma Brrr 랜섬웨어 변종에 감염 되어 암호화 된 파일을 무료로 복호화하는 방법은 없습니다.


원격 데스크탑 서비스를 해킹하여 배포 돼


Brrr 변종을 포함한 Dharma 랜섬웨어 변종은 공격자가 인터넷에 직접적으로 연결 된 원격 데스크탑 서비스를 해킹해 수동으로 배포 됩니다.


공격자들은 일반적으로 TCP 포트 3389에서 RDP를 실행하는 컴퓨터를 인터넷에서 스캔 후, 컴퓨터의 패스워드 브루트포싱을 시도합니다.


또한 원격 데스크탑 서비스를 실행하는 공개적으로 접근이 가능한 컴퓨터의 알려진 크리덴셜을 판매하는 언더그라운드 사이트들도 존재합니다.


일단 이 컴퓨터에 접근을 성공하면, 랜섬웨어를 설치하고 컴퓨터를 암호화 합니다. 또한 동일한 네트워크상의 다른 컴퓨터에도 접근이 가능할 경우 이 역시 암호화합니다.



Brrr Dharma 랜섬웨어가 컴퓨터를 암호화하는 방식


Brrr 랜섬웨어가 컴퓨터에 설치 되면, 이는 파일을 스캔해 암호화합니다. 파일을 암호화 할 때는 .id-[id].[email].brrr와 같은 형식의 확장자를 붙입니다. 예를 들어 test.jpg라는 파일은 test.jpg.id-BCBEF350.[paydecryption@qq.com].brrr와 같이 변경 됩니다.


이 랜섬웨어는 매핑 된 네트워크 드라이브, 공유 된 가상 머신 호스트 드라이브, 언매핑 된 네트워크 공유까지 모두 암호화할 것입니다. 따라서 사용자들이 꼭 필요한 권한만 갖도록 네트워크 공유가 잠겨있는지 확인하는 것이 중요합니다.


<Dharma Brrr 랜섬웨어 변종으로 암호화 된 파일들>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-brrr-dharma-ransomware-variant-released/>


Dharma Brrr의 랜섬노트에는 피해자의 파일에 무슨 일이 일어났는지에 대한 내용과 지불 방법을 알기 위해 paydecryption@qq.com으로 연락하라는 메시지가 포함 되어 있었습니다.


이 랜섬웨어는 사용자가 윈도우에 로그인할 때 자동으로 시작 되도록 설정됩니다. 이로써 마지막으로 실행 된 이후 생성 된 새 파일을 또 다시 암호화할 수 있게 됩니다.


현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Crysis로 탐지중에 있습니다. 



출처 :


티스토리 방명록 작성
name password homepage