상세 컨텐츠
본문
CommonRansom Ransomware Demands RDP Access to Decrypt Files
다소 특별한 요청을 하는 새로운 랜섬웨어인 CommonRansom이 발견 되었습니다. 이들은 파일을 복호화 하고자 하는 피해자에게 지불을 받은 후 해당 컴퓨터의 원격 데스크탑 서비스(RDP)를 오픈하고 어드민 크리덴셜을 보내도록 요구합니다.
CommonRansom은 피해자가 랜섬노트와 암호화 된 파일을 ID Ransomware 서비스에 업로드 한 후, 보안 연구원인 Michael Gillespie가 발견했습니다.
이는 피해자의 파일을 암호화한 후 [old@nuke.africa].CommonRansom 확장자를 붙입니다. 이후 DECRYPTING.txt라는 랜섬노트를 생성합니다. 내용은 아래와 같습니다.
이 랜섬웨어는 피해자에게 0.1 비트코인을 보낸 후 특정 정보를 포함한 이메일을 old@nuke.africa로 전송하라고 요구합니다.
하지만 이 요구를 절대 들어줘서는 안 됩니다. 일단 공격자가 연결 하면, 사용자는 스크린을 더 이상 볼 수 없게 되며 공격자가 무슨 일을 하는지 전혀 알 수 없게 됩니다. 이들은 파일을 복호화 해줄 지도 모르지만, 동시에 다른 악성코드를 컴퓨터에 설치하고, 파일을 삭제하거나 데이터를 훔칠 수도 있습니다.
아직까지 실제 랜섬웨어의 샘플은 찾을 수 없었지만, 위 랜섬웨어에 따르면 공격자들은 35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF 비트코인 주소를 사용하고 있습니다. 이 주소는 과거에 사용 된 적이 있습니다.
특히 흥미로운 점은, 이 비트코인 주소는 1CnCfvUTFQf11QNeBEpk29rRXfNFg75R9n 비트코인 주소에 65 비트코인을 보낸 것입니다. 1CnCfvUTFQf11QNeBEpk29rRXfNFg75R9n 주소는 법 집행부가 비트코인 추적을 어렵도록 하기 위해 사용 되었을 가능성이 있습니다.
해당 랜섬웨어의 샘플은 아직 발견되지 않은 상황입니다.
출처 :
'국내외 보안동향' 카테고리의 다른 글
| Emotet 트로이목마, 새로운 모듈을 사용해 피해자의 이메일 훔치기 시작해 (0) | 2018.11.01 |
|---|---|
| Mini_httpd 모듈 취약점 발견, 257만대의 IoT 기기들 영향 받아 (CVE-2018-18778) (0) | 2018.11.01 |
| 이메일을 통해 유포되고 있는 '.wiz'파일 주의 (0) | 2018.10.30 |
| 대부분의 리눅스 배포판에 영향을 미치는 새로운 권한 상승 취약점 발견 (0) | 2018.10.30 |
| 갠드크랩(GandCrab) 랜섬웨어의 무료 복호화 툴 공개 돼 (0) | 2018.10.26 |
댓글 영역