포스팅 내용

국내외 보안동향

파일 복호화를 위해 RDP 접속을 요구하는 CommonRansom 랜섬웨어 발견

CommonRansom Ransomware Demands RDP Access to Decrypt Files


다소 특별한 요청을 하는 새로운 랜섬웨어인 CommonRansom이 발견 되었습니다. 이들은 파일을 복호화 하고자 하는 피해자에게 지불을 받은 후 해당 컴퓨터의 원격 데스크탑 서비스(RDP)를 오픈하고 어드민 크리덴셜을 보내도록 요구합니다.


CommonRansom은 피해자가 랜섬노트와 암호화 된 파일을 ID Ransomware 서비스에 업로드 한 후, 보안 연구원인 Michael Gillespie가 발견했습니다.


이는 피해자의 파일을 암호화한 후 [old@nuke.africa].CommonRansom 확장자를 붙입니다. 이후 DECRYPTING.txt라는 랜섬노트를 생성합니다. 내용은 아래와 같습니다.



이 랜섬웨어는 피해자에게 0.1 비트코인을 보낸 후 특정 정보를 포함한 이메일을 old@nuke.africa로 전송하라고 요구합니다.


하지만 이 요구를 절대 들어줘서는 안 됩니다. 일단 공격자가 연결 하면, 사용자는 스크린을 더 이상 볼 수 없게 되며 공격자가 무슨 일을 하는지 전혀 알 수 없게 됩니다. 이들은 파일을 복호화 해줄 지도 모르지만, 동시에 다른 악성코드를 컴퓨터에 설치하고, 파일을 삭제하거나 데이터를 훔칠 수도 있습니다.


아직까지 실제 랜섬웨어의 샘플은 찾을 수 없었지만, 위 랜섬웨어에 따르면 공격자들은 35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF 비트코인 주소를 사용하고 있습니다. 이 주소는 과거에 사용 된 적이 있습니다.


특히 흥미로운 점은, 이 비트코인 주소는 1CnCfvUTFQf11QNeBEpk29rRXfNFg75R9n 비트코인 주소에 65 비트코인을 보낸 것입니다. 1CnCfvUTFQf11QNeBEpk29rRXfNFg75R9n 주소는 법 집행부가 비트코인 추적을 어렵도록 하기 위해 사용 되었을 가능성이 있습니다.


해당 랜섬웨어의 샘플은 아직 발견되지 않은 상황입니다. 





출처 : 

https://www.bleepingcomputer.com/news/security/commonransom-ransomware-demands-rdp-access-to-decrypt-files/



티스토리 방명록 작성
name password homepage