AvosLocker 랜섬웨어

Infosec 연구원은 AvosLocker라는 새로운 랜섬웨어 작업을 발견했습니다. 해커 그룹은 2021년 6월경에 활동을 시작한 것으로 보이며 불과 몇 달 만에 여러 희생자를 모을 수 있었습니다. 사이버 범죄자는 Tor 네트워크에서 호스팅되는 전용 누출 사이트에 피해자의 이름을 공개합니다. 이 사이트는 '공공 서비스 공지'와 '유출'의 두 섹션으로 구성되어 있습니다. 침해된 모든 엔터티에서 수집된 데이터의 증거와 함께 '공공 서비스 발표' 페이지 아래에 표시됩니다. AvosLocker 그룹은 랜섬웨어 위협 전달을 위한 초기 감염 벡터로 손상된 광고뿐만 아니라 미끼 이메일을 유포하는 스팸 이메일 캠페인을 사용하고 있습니다.

AvosLocker 랜섬웨어 세부 정보

배포된 랜섬웨어 위협은 C++로 작성되었으며 AES-256 암호화 알고리즘의 맞춤형 버전을 활용하여 침해된 시스템에 저장된 파일을 잠급니다. 맬웨어는 Windows 시스템을 감염시키도록 설계되었으며 다른 플랫폼에서는 실행되지 않습니다. 위협적인 기능의 일부로 AvosLocker Ransomware는 영향을 받는 파일의 섀도우 볼륨 복사본을 삭제하고 암호화 프로세스를 방해할 수 있는 특정 응용 프로그램을 종료할 수 있습니다. 파일을 암호화하면 AvosLocker는 해당 파일의 원래 이름에 '.avos'를 새 확장자로 추가합니다. 이러한 유형의 대부분의 위협과 마찬가지로 AvosLocker Ransomware는 피해자를 위한 지침이 포함된 랜섬 노트도 제공합니다. 메시지는 'GET_YOUR_FILES_BACK.txt'라는 텍스트 파일로 삭제됩니다.

AvosLocker의 요구 사항

결과적으로 랜섬 노트 자체에는 유용한 정보가 거의 포함되어 있지 않습니다. 대부분의 경우 위협의 피해자가 모든 추가 지침을 얻기 위해 TOR 웹사이트를 방문하도록 권장합니다. 제공된 링크를 따라 특정 피해자 ID를 입력하면 '결제' 페이지로 연결됩니다. 여기에서 피해자는 해커가 요구한 금액이 두 배가 되기 전에 남은 시간을 측정하는 카운트다운 타이머를 볼 수 있습니다. 몸값은 Monero 암호 화폐를 사용하여 전송해야 합니다.

그러나 피해자는 지불하기 전에 샘플 파일을 사이트에 업로드하여 잠긴 데이터를 해독하는 해커의 능력을 테스트할 수 있습니다. 웹 페이지에는 영향을 받는 사용자가 AvosLocker 해커와 연락할 수 있는 지원 채팅도 포함되어 있습니다.

랜섬웨어 운영자에게 금액을 지불하는 것은 강력히 권장하지 않습니다. 사용자는 그 과정에서 사이버 범죄자의 다음 위협 작업에 자금을 지원하는 동안 추가적인 보안 위험에 노출될 수 있습니다.