Capibara Ransomware

사이버 보안 연구원들은 잠재적인 맬웨어 위협을 조사하는 동안 Capibara 랜섬웨어를 발견했습니다. 이 위협적인 소프트웨어는 몸값을 갈취할 목적으로 영향을 받는 시스템의 파일을 암호화합니다. 연구원들은 Capibara가 '.capibara' 확장자를 추가하여 암호화된 파일의 이름을 변경하는 독특한 동작을 관찰했습니다. 예를 들어 원래 이름이 '1.doc'인 파일은 '1.doc.capibara'로 이름이 바뀌고 '2.jpg'는 '2.jpg.capibara'가 됩니다.

암호화 과정이 완료되면 Capibara는 바탕 화면 배경 이미지를 추가로 변경하고 공격자의 지시 사항과 요구 사항이 포함된 'READ_ME_USER.txt'라는 텍스트 파일을 생성합니다. 특히 이 랜섬웨어 메모의 내용은 러시아어로 작성되었습니다.

Capibara 랜섬웨어는 피해자의 파일 액세스를 차단합니다.

Capibara가 남긴 몸값 메모는 피해자에게 파일이 암호화되었으며 공격자의 개입 없이는 복원할 수 없다고 경고합니다. 데이터에 다시 액세스하려면 피해자는 비트코인(BTC) 암호화폐를 사용하여 5000 러시아 루블(RUB) 가격의 암호 해독 프로그램을 구매하라는 안내를 받습니다. 그러나 몸값 금액인 0.073766 BTC는 정기적으로 변동하는 현재 루블 환율과 일치하지 않습니다.

랜섬웨어와 관련된 경우 심각한 결함이 있는 랜섬웨어 변종을 처리하지 않는 한 사이버 범죄자의 도움 없이 파일을 해독하는 것은 일반적으로 불가능합니다. 불행하게도 피해자들은 몸값 요구 사항을 충족한 후에도 약속된 암호 해독 키나 소프트웨어를 받지 못하는 경우가 많습니다. 따라서 사이버 보안 전문가들은 데이터 복구가 보장되지 않고 몸값 지불이 범죄 활동을 직접적으로 지원하므로 이러한 요구를 준수하지 말 것을 강력히 권고합니다.

시스템에서 Capibara 랜섬웨어를 제거하면 추가 암호화가 방지되지만 이미 잠겨 있거나 암호화된 파일에 대한 액세스는 복원되지 않습니다.

모든 장치에 구현해야 하는 필수 보안 조치

모든 장치에서 랜섬웨어 위협으로부터 데이터를 보호하려면 강력한 보안 조치를 구현하는 것이 중요합니다. 사용자가 취해야 할 단계는 다음과 같습니다.

• 소프트웨어 업데이트 유지 : 운영 체제, 소프트웨어 응용 프로그램 및 맬웨어 방지 프로그램을 항상 최신 업데이트로 업데이트하십시오. 소프트웨어 업데이트는 랜섬웨어가 악용하는 알려진 취약점으로부터 보호하는 보안 패치를 제공하는 경우가 많습니다.
• 강력한 맬웨어 방지 소프트웨어 사용 : 모든 장치에 평판이 좋은 맬웨어 방지 소프트웨어를 설치합니다. 이러한 프로그램이 자동으로 업데이트되고 정기적인 검사를 수행하도록 설정되어 있는지 확인하세요.

• 방화벽 활성화 : 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하기 위해 가능할 때마다 방화벽을 활성화하고 구성합니다. 방화벽은 무단 액세스를 차단하고 맬웨어가 명령 및 제어 서버와 통신하는 것을 방지하는 데 도움이 됩니다.

• 이메일 첨부 파일 및 링크에 대해 각별한 주의를 기울이십시오 . 특히 알 수 없거나 의심스러운 발신자가 보낸 이메일 첨부 파일을 처리하거나 링크를 따라갈 때 매우 주의하십시오. 예상치 못한 첨부 파일이나 링크와 상호 작용하기 전에 해당 링크의 적법성을 확인하세요.

• 정기적으로 데이터 백업 : 중요한 데이터를 외장 하드 드라이브, 클라우드 스토리지 또는 안전한 백업 서비스에 정기적으로 백업하여 백업 전략을 구현합니다. 백업이 랜섬웨어에 의해 암호화되는 것을 방지하려면 백업이 네트워크에 지속적으로 연결되어 있지 않은지 확인하세요.

• 효과적인 비밀번호 및 다단계 인증(MFA) 사용 : 활발하게 사용되는 모든 계정에 대해 강력하고 고유한 비밀번호를 사용하고 가능한 경우 다단계 인증(MFA)을 활성화합니다. MFA는 비밀번호 외에 추가적인 확인 양식을 요구하여 추가 보안 계층을 추가합니다.

• 사용자 권한 제한 : 사용자 권한을 제한하여 무단 액세스를 방지하고 랜섬웨어로 인해 발생할 수 있는 피해를 제한합니다. 최소 권한 원칙(PoLP)을 사용하여 사용자가 자신의 역할에 필요한 리소스에만 액세스할 수 있도록 합니다.

• 팝업 차단기 활성화 : 랜섬웨어를 배포하는 데 사용될 수 있는 팝업을 차단하고 팝업 광고를 클릭하지 않도록 웹 브라우저를 구성합니다.

• 네트워크 분할 구현 : 네트워크를 분할하여 중요 시스템과 데이터를 덜 안전한 영역에서 분리합니다. 이는 네트워크 내에서 랜섬웨어의 확산을 억제하는 데 도움이 될 수 있습니다.

모든 장치에 걸쳐 이러한 보안 조치를 일관되게 구현함으로써 사용자는 랜섬웨어 감염의 피해자가 될 가능성을 크게 줄이고 귀중한 데이터가 암호화되어 사이버 범죄자에 의해 인질로 잡혀지는 것을 방지할 수 있습니다.

Capibara 랜섬웨어의 랜섬노트 원본 형식은 다음과 같습니다.

'Все ваши файлы на компьютере были успешно зашифрованы капибарой.
Ваш компьютер был заражен вирусом шифровальщиком. Все ваши файлы были зашифрованы и не могут быть восстановлены без нашей помощи. Для того, что бы восстановить их, вы можете купить программу для расшифровки файлов. Она позволит вам восстановить ваши данные и удалить вирус с компьютера.
Цена программы - 5000 рублей. Платеж только через битокин.
Как мне платить и где купить биткоин?
Поищите в гугле, спросите у знакомых, нам похер.

Payment informationAmount: 0.073766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV'