상세 컨텐츠

본문 제목

Cmb Dharma 랜섬웨어 변종 발견 돼

국내외 보안동향

by 알약(Alyac) 2018. 8. 13. 16:29

본문

New Cmb Dharma Ransomware Variant Released


지난 목요일, Dharma 랜섬웨어의 새로운 변종이 발견 되었습니다. 이는 암호화 된 파일에 .cmb 확장자를 붙입니다.


Dharma 랜섬웨어의 Cmb 변종은 연구원인 Michael Gillespie가 ID 랜섬웨어에 업로드 된 샘플을 확인해 발견 되었습니다.


불행히도 현재 Dharma Cmb 랜섬웨어에 감염 된 파일을 무료로 복호화 하는 방법은 없습니다.


원격 데스크탑 서비스를 통해 유포 돼


Cmb 변종을 포함한 Dharma 패밀리는 원격 데스크탑 프로토콜 서비스(RDP)를 통해 컴퓨터를 해킹하여 수동으로 설치 됩니다. 공격자들은 인터넷에서 보통 TCP 포트 3389에서 실행 되는 RDP를 탐색 후 컴퓨터의 패스워드를 알아내기 위한 브루트포싱 공격을 시작합니다.


컴퓨터에 접근 하면, 공격자들은 랜섬웨어를 설치해 컴퓨터를 암호화시킵니다. 네트워크상의 다른 컴퓨터도 암호화할 수 있는 경우 시도합니다.


CMD Dharma 랜섬웨어가 컴퓨터를 암호화하는 법


Cmb 랜섬웨어 변종이 설치 되면, 파일을 스캔해 암호화 할 것입니다. 파일을 암호화 할 때, .id-[id].[email].cmb 형식으로 확장자를 붙입니다. 예를 들어, test.jpg 파일이 암호화 될 경우 test.jpg.id-BCBEF350.[paymentbtc@firemail.cc].cmb와 같이 이름이 변경 됩니다.


이 랜섬웨어는 매핑 된 네트워크 드라이브, 공유 된 가상 머신 호스트 드라이브, 언매핑 된 네트워크 공유들까지 암호화할 것입니다. 따라서 네트워크 공유에 대한 접근 권한이 실제로 필요한 사람들에게만 부여 되었는지 확인하는 것이 중요합니다.


아래는 Cmb 랜섬웨어 변종을 통해 암호화 된 폴더의 샘플입니다.


파일이 암호화 되면, 랜섬웨어는 컴퓨터에 랜섬 노트 2개를 생성합니다. 하나는 Info.hta 파일로 사용자가 컴퓨터에 로그인 하면 자동으로 실행 됩니다.


또 다른 하나는 FILES ENCRYPTED.txt로 데스크탑에서 찾아볼 수 있습니다.


이 두 랜섬노트 모두에 paymentbtc@firemail.cc로 연락하라는 문구가 포함 되어 있습니다.


마지막으로, 랜섬웨어는 사용자가 윈도우에 로그인할 때 자동으로 실행 되도록 구성 합니다. 이로써 마지막 실행 이후 생성 된 새로운 파일들을 또 다시 암호화할 수 있게 됩니다.


Dharma Cmb 랜섬웨어로부터 보호하는 법


Dharma 랜섬웨어는 해킹 된 원격 데스크탑 서비스를 통해 설치 되기 때문에, 이를 올바르게 잠궈두는 것은 매우 중요합니다. 원격 데스크톱 서비스를 실행하는 컴퓨터가 인터넷에 직접적으로 연결 되어 있지 않도록 설정 해야합니다. 그 대신 원격 데스크탑을 실행하는 컴퓨터들을 VPN 뒤에 위치시켜 네트워크의 VPN 계정이 있는 사용자들만 접근이 가능하도록 만드는 것이 좋습니다.


또한 원격 데스크탑 서비스를 통한 브루트포싱 공격의 난이도를 높이기 위해 적절한 계정 잠금 정책을 실행하는 것도 중요합니다.


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Crysis로 탐지중에 있습니다. 





출처 : 

https://www.bleepingcomputer.com/news/security/new-cmb-dharma-ransomware-variant-released/



관련글 더보기

댓글 영역