CryptoMix의 변종인 Revenge 랜섬웨어, RIG 익스플로잇 키트를 통해 배포 돼
Revenge Ransomware, a CryptoMix Variant, Being Distributed by RIG Exploit Kit
최근 RIG 익스플로잇 키트를 통해 배포 되는 CryptoMix 또는 CryptFile2의 변종인 Revenge 랜섬웨어가 발견되었습니다. 이 변종은 또 다른 CryptoMix의 변종인 CryptoShield와 유사하지만, 일부가 수정되었습니다.
보안 연구원들은 해킹 되어 RIG 익스플로잇 키트 자바스크립트가 추가 된 웹사이트에서 Revenge 랜섬웨어가 배포 되고 있는 것을 확인하였습니다. 이렇게 변조된 사이트들을 방문하면 사용자의 동의 없이 Revenge 랜섬웨어가 설치될 수 있습니다.
[RIG 익스플로잇 키트의 트래픽]
<이미지 출처 : https://www.bleepingcomputer.com/news/security/revenge-ransomware-a-cryptomix-variant-being-distributed-by-rig-exploit-kit/>
Revenge는 AES-256 알고리즘을 사용해 파일 및 파일 이름을 암호화 하고, .REVENGE 확장자를 추가합니다. 예를들어, test.jpg라는 파일이 암호화 될 경우 ABCDEF0123456789B7BC7311B474CAFD.REVENGE 와 같은 이름으로 변경 될 것입니다.
피해자의 파일을 암호화 하는데 사용 된 AES 암호화 키는 내장 된 RSA-1024 공개 키를 사용해 암호화 되며, 랜섬웨어의 개발자만 이를 복호화할 수 있습니다.
현재 공용키는 다음과 같습니다.
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQrO3EuFElsq2cyX+mgWJ4lnK5 xE/YNZru2WpwEvEG2kTIcYthRInXveRJKnUzvtWJ0RCymL3mVbBQXF9JSCQPIkb5 NDDXDgVH16vZFBHbHoqiA4nORa7BAC9ThEgQk6+U8ZLLPahcxN9RXqE66WAmAeP9 1CerOjfLCUJMB02qoQIDAQAB
-----END PUBLIC KEY-----
Revenge 랜섬웨어는 아래의 가짜 경고창을 띄웁니다.
<이미지 출처 : https://www.bleepingcomputer.com/news/security/revenge-ransomware-a-cryptomix-variant-being-distributed-by-rig-exploit-kit/>
영어의 문법이 맞지 않기 때문에, 이 경고가 진짜가 아니라는 것을 알 수 있습니다.
[ 텍스트 랜섬 노트 ]
<이미지 출처 : https://www.bleepingcomputer.com/news/security/revenge-ransomware-a-cryptomix-variant-being-distributed-by-rig-exploit-kit/>
안타깝게도 현재로써는 Revenge 랜섬웨어로 암호화 된 파일을 무료로 복호화할 수 있는 방법은 없습니다.
현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.REVENGE로 탐지중에 있으며, 랜섬웨어 차단기능에서 성공적으로 차단중에 있습니다.
하지만 랜섬웨어의 변종이 지속적으로 등장하는 만큼, 사용자여러분께서는 자주 사용하시는 SW 및 브라우저를 최신버전으로 업데이트 하시고, 또한 중요 자료는 주기적으로 백업해 보관하시는 것을 권고 드립니다.
출처 :
모든 윈도우 버전에서 사용자 세션을 탈취할 수 있는 기술 발견 돼 (0) | 2017.03.21 |
---|---|
강한 파괴력을 지닌 Bash Bunny (0) | 2017.03.17 |
깃허브 엔터프라이즈(Github Enterprise) 원격코드실행 취약점 분석 (0) | 2017.03.16 |
왓츠앱과 텔레그램 계정들, 사진 단 한 장으로 해킹 가능해 (0) | 2017.03.16 |
구글, 플레이 스토어에서 가장 큰 애드웨어 패밀리 제거해 (0) | 2017.03.15 |
댓글 영역