Crysis/Dharma 랜섬웨어의 새로운 변종 발견!

New Bip Dharma Ransomware Variant Released

금일, 한 연구원이 Crysis/Dharma 랜섬웨어의 새로운 변종으로 보이는 악성코드를 Id-Ransomware 사이트에 업로드했습니다. 

이후 또 다른 연구원이 이것이 새로운 Dharma 변종인지 알아보기 위해 몇가지 샘플들을 찾았습니다. 이 새로운 버전은 파일을 암호화한 후 .Bip 확장자를 붙입니다. 이 변종이 현재 배포 되고 있는 중인지는 확인하지 못했으나, 과거의 Dharma 랜섬웨어는 보통 원격 데스크탑 서비스를 해킹해 수동으로 설치 되었습니다.

Bip 랜섬웨어 변종이 설치 되면, 이는 데이터 파일을 찾아 암호화 하기 위해 컴퓨터를 스캔할 것입니다. 파일을 암호화 후 .id-[id].[email].bip와 같은 형식으로 확장자를 붙입니다. 예를 들어, test.jpg라는 파일이 암호화 되면 test.jpg.id-BCBEF350.[Beamsell@qq.com].bip와 같은 이름으로 변경 될 것입니다.

이 랜섬웨어는 매핑 된 네트워크 드라이브, 공유 된 가상 머신 호스트 드라이브, 매핑 되지 않은 공유 네트워크 등을 모두 암호화 합니다. 따라서 사용자의 공유 네트워크들을 잠궈 실제로 접근해야하는 사용자만 권한을 갖도록 하는 것이 중요합니다.

아래는 Bip 랜섬웨어 변종이 암호화 한 폴더의 예입니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-bip-dharma-ransomware-variant-released/>

이 변종은 컴퓨터를 암호화 할 때 기기의 섀도우 볼륨 복사본들도 모두 삭제해 파일을 복구를 막습니다.

또한 두 개의 서로 다른 랜섬노트를 생성합니다. 하나는 Info.hta 파일이며, 다른 하나는 사용자가 컴퓨터에 로그인 했을 때 실행 되는 오토런입니다.

<Dharma 랜섬노트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-bip-dharma-ransomware-variant-released/>

또 다른 노트는 FILES ENCRYPTED.txt이며 데스크탑에서 찾아볼 수 있습니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-bip-dharma-ransomware-variant-released/>

두 랜섬노트 모두 돈을 지불하기 위한 지시사항을 받기 위해서는 Beamsell@qq.com로 연락하라는 메시지가 포함되어 있습니다.

마지막으로, 이 랜섬웨어는 사용자가 윈도우에 로그인할 때 자기 자신이 자동으로 시작되도록 설정합니다. 이로써 암호화 된 후 생성 된 새로운 파일들을 또 다시 암호화 할 수 있게 됩니다.

현재까지는 복호화 방법이 없는 Dharma Bip 랜섬웨어

안타깝게도, 현재까지는 Bip 랜섬웨어 변종이 암호화한 파일들을 무료로 복구할 수 있는 방법이 없습니다.

현재 파일을 복구할 수 있는 방법은 백업을 사용하거나, 섀도우 볼륨 복사본을 이용하는 것입니다. 랜섬웨어는 섀도우 볼륨 복사본 제거를 시도하지만, 가끔 실패하는 경우가 있습니다.

Dharma 랜섬웨어로부터 시스템을 보호하는 법

Dharma 랜섬웨어는 해킹 된 원격 데스크탑 서비스를 통해 설치 될 가능성이 높기 때문에, 이 서비스가 제대로 잠겨 있는지 확인하는 것이 좋습니다. 또한 여기에는 원격 데스크탑 서비스를 사용하는 컴퓨터들이 인터넷에 직접적으로 연결 되어있는지 확인하는 과정도 포함 됩니다. 원격 데스크탑을 사용하는 컴퓨터들을 VPN 뒤쪽에 위치시켜 네트워크의 VPN 계정을 가지고 있는 사용자들만이 접근할 수 있도록 하는 것이 좋습니다.

또한 적절한 계정 잠금 정책을 만들어 원격 데스크탑 서비스를 통해 계정들에 브루트포싱 공격을 하는 것을 어렵도록 하는 것도 중요합니다.

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Crysis로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/new-bip-dharma-ransomware-variant-released/