Proton의 보안 팀으로 위장한 GarrantyDecrypt 랜섬웨어 변종 발견돼

Ransomware Pretends to Be Proton Security Team Securing Data From Hackers

ProtonMail과 ProtonVPN을 운영하는 Proton Technologies의 보안 팀으로 위장한 GarrantyDecrypt 랜섬웨어의 최신 변종이 발견되었습니다.

이 랜섬웨어 패밀리는 지난 2018년 10월 랜섬웨어 연구원인 Michael Gillespie가 발견했으며, 다른 랜섬웨어와 같이 대규모 배포 공격을 한 적은 없지만 공개된 직후 꾸준히 피해자들이 늘고 있습니다.

사용자들은 ID-Ransomware에 이 랜섬웨어의 랜섬노트나 암호화된 파일을 꾸준히 등록하고 있습니다.

 

[그림] GarrantyDecrypt의 등록 현황

<이미지 출처: https://www.bleepingcomputer.com/news/security/ransomware-pretends-to-be-proton-security-team-securing-data-from-hackers/>

지난 2월 또 다시 발견된 GarrantyDecrypt 랜섬웨어의 최신 변종은 악성코드 개발자가 Proton의 보안 팀을 가장하여 행동하는 새로운 전략을 사용했습니다. 

이들의 랜섬 노트는 SECURITY-ISSUE-INFO.txt 이며, 피해자가 “외부인”에게 공격을 받았고 Proton의 SECURE-SERVER 서비스가 공격을 예방하기 위해 데이터를 암호화했다는 내용이 포함되어 있습니다.

심지어 개발자들은 "PROTON SECURE-SERVER SYSTEMS (c) 2019"라는 저작권 문구를 랜섬 노트의 하단에 추가해 이 파일이 더욱 합법적으로 보이게끔 했습니다.

<이미지 출처: https://www.bleepingcomputer.com/news/security/ransomware-pretends-to-be-proton-security-team-securing-data-from-hackers/>

이 랜섬노트는 Proton의 SECURE-SERVER 서비스가 외부의 공격으로부터 파일을 보호한 대가로 $780의 요금을 부과하며, 파일을 복호화 하기 위해서는 요금을 지불해야 한다고 작성되어있습니다.

안타깝게도 아직까지 이 랜섬웨어를 복호화 할 수 있는 방법은 없습니다. GarrantyDecrypt에 감염된 경우, 암호화된 데이터와 랜섬 노트의 복사본을 안전한 곳에 저장한 후 나중에 복호화 키가 공개되기를 기다리거나, 백업을 통해 복구하는 수밖에 없습니다.

랜섬웨어 감염으로부터 내 컴퓨터를 안전하게 지키기 위해서는 출처가 불분명한 파일은 열지 말고, 백신 프로그램을 항상 최신으로 업데이트하며 바이러스 검사를 주기적으로 꼭 해 주시기 바랍니다.

출처:

https://www.bleepingcomputer.com/news/security/ransomware-pretends-to-be-proton-security-team-securing-data-from-hackers/