The PGA Possibly Infected With the BitPaymer Ransomware
랜섬웨어가 미국의 기업, 정부 기관, 병원을 공격한데 이어 이제는 골프 분야까지 공격하고 있습니다.
GolfWeek에 따르면, PGA 미국 오피스의 컴퓨터들이 랜섬웨어에 감염 되었습니다. 피해자들은 지난 화요일 랜섬 노트가 스크린에 뜨기 시작했을 때 감염 사실을 발견했습니다.
"Your network has been penetrated,"
"All files on each host in the network have been encrypted with a strong algorithm.”
“algorithm”을 잘못 스펠링한 것으로 보아, PGA 아메리카는 BitPaymer 랜섬웨어에 감염 된 것으로 추측 됩니다.
이 랜섬웨어는 최근 Matanuska-Susitna 알라스카 마을을 공격해, 주민들이 일주일동안 타자기를 사용하게 만들었던 랜섬웨어와 동일한 유형입니다.
BitPaymer, 활발히 활동 시작하나?
BitPaymer가 발견 된 후 시간이 좀 지났지만, 거의 주목을 받지 못했습니다. 하지만 아래의 차트에서 확인할 수 있듯이, BitPaymer는 지난 몇 주 동안 약간의 활동을 시작했습니다.
<이미지 출처 : https://www.bleepingcomputer.com/news/security/the-pga-possibly-infected-with-the-bitpaymer-ransomware/>
SamSam과 마찬가지로, BitPaymer는 인터넷에 연결 된 원격 데스크탑 서비스를 통해 조직을 해킹합니다. 일단 네트워크 내부에 침입 하면, 접근이 가능한 네트워크 내의 모든 컴퓨터들을 암호화합니다.
최근 변종은 파일을 암호화한 후 .locked 확장자를 붙이며, 랜섬노트는 암호화 한 파일명 뒤에 ".readme_txt"를 붙인 이름을 사용합니다. 예를 들어 test.jpg 파일이 암호화 될 경우 랜섬노트의 이름은 test.jpg.readme_txt가 될 것입니다.
BitPaymer 랜섬웨어의 랜섬노트는 아래와 같습니다. 아래의 문자열은 GolfWeek 기사에서 언급 된 것과 매치합니다.
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorythm.
Backups were either encrypted or deleted or backup disks were formatted.
We exclusively have decryption software for your situation.
DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT RENAME the encrypted files.
DO NOT MOVE the encrypted files.
This may lead to the impossibility of recovery of the certain files.
To get info(pay-to-decrypt your files) contact us at:
[first_contact_email]
or
[second_contact_email]
BTC wallet:
[bitcoin_address]
To confirm our honest intentions.
Send 2 different random files and you will get it decrypted.
It can be from different computers on your network to be sure we decrypts everything.
Files should have .LOCK extension of each included.
2 files we unlock for free.
BitPaymer는 복호화 시 매우 큰 금액을 요구하는 것으로 알려져있습니다. 예를 들어, 예전에 BitPaymer에 감염 된 한 네트워크 전체를 복호화 하는데 53 비트코인을 요구했었습니다.
아쉽게도 BitPaymer의 보안은 허술하지 않아, PGA 아메리카는 백업으로부터 파일을 복원하거나 엄청난 랜섬머니를 지불해야하게 됐습니다.
현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Bitpaymer로 탐지중에 있습니다.
출처 :
DNS 하이재킹, 브라질 금융 기관 노려 (0) | 2018.08.14 |
---|---|
Cmb Dharma 랜섬웨어 변종 발견 돼 (0) | 2018.08.13 |
해커, 스냅챗 해킹해 소스코드를 GitHub에 공개 해 (0) | 2018.08.09 |
WPA/WPA2를 사용하는 WiFi의 패스워드를 해킹할 수 있는 새로운 공격 발견 돼 (0) | 2018.08.09 |
TSMC 칩 생산 업체, WannaCry 랜섬웨어에 감염 되었다 밝혀 (0) | 2018.08.08 |
댓글 영역