Cip 랜섬웨어

Infosec 연구원은 Dharma 랜섬웨어 제품군의 일부인 또 다른 파괴적인 랜섬웨어 위협을 식별했습니다. Cip Ransowmare라고 하는 위협은 큰 편차를 나타내지 않고 일반적인 Dharma 동작을 밀접하게 따릅니다. 하지만 감염된 컴퓨터 시스템에 미칠 수 있는 피해를 과소평가해서는 안 됩니다.

Cip는 강력한 암호화 알고리즘을 사용하여 거의 모든 피해자의 파일을 잠급니다. 영향을 받는 사용자는 문서, PODF, 아카이브, 데이터베이스, 사진, 사진, 오디오 및 비디오 파일 등에 액세스하거나 사용할 수 없습니다. 암호화 프로세스 중에 Cip Ransomware는 대상 파일의 이름도 수정합니다. 위협은 먼저 피해자의 ID 역할을 하는 문자열을 추가하여 일반적인 Dharma 명명 패턴을 고수합니다. 다음으로 Cip은 운영자가 제어하는 이메일 주소를 추가합니다. 마지막으로 '.cip'이 새 파일 확장자로 추가됩니다.

피해자에게는 공격자의 지시가 포함된 두 개의 몸값 메모가 남게 됩니다. 하나는 손상된 시스템의 바탕 화면에 'info.txt'라는 텍스트 파일로 저장됩니다. 다른 메모는 새 팝업 창에 표시됩니다.

Cip 랜섬웨어의 요구 사항

위협의 목표는 피해자의 데이터를 복원하는 대가로 돈을 갈취하는 것입니다. 그러나 두 랜섬 노트에는 다른 랜섬웨어 위협에서 관찰된 중요한 세부 정보가 많이 부족합니다. 메시지에는 요구되는 몸값의 양, 특정 암호화폐를 사용하여 자금을 이체해야 하는 경우 또는 공격자가 몇 개의 파일을 무료로 잠금 해제하여 데이터를 해독할 수 있는 능력을 기꺼이 입증하려는 경우 언급되지 않습니다.

대신, 텍스트 파일의 메모에는 피해자가 통신에 사용할 수 있는 두 개의 이메일('ciphercrypt@tuta.io' 및 'cipherc@onionmail.org')이 나열되어 있습니다. 팝업 창의 지침은 그다지 도움이 되지 않습니다. 데이터를 손상시키고 파일을 복구할 수 없게 만들 수 있으므로 암호화된 파일의 이름을 바꾸지 않거나 타사 암호 해독기를 실행하지 않는 것과 같은 다양한 경고가 포함된 섹션이 있을 뿐입니다.

팝업 메시지는 다음과 같습니다.

파일이 암호화되었습니다
1024
걱정하지 마세요. 모든 파일을 반환할 수 있습니다!
복원하려면 ciphercrypt@tuta.io로 메일을 보내주십시오. 귀하의 ID -
12시간 이내에 우편으로 답장을 받지 못한 경우 다른 우편으로 보내주십시오:cipherc@onionmail.org
주목!
에이전트 초과 지불을 방지하려면 당사에 직접 연락하는 것이 좋습니다.
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터를 해독하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
제3자의 도움을 받아 파일 암호를 해독하면 가격이 인상되거나(당사에 수수료가 추가됨) 사기의 피해자가 될 수 있습니다.

텍스트 파일에서 찾은 메모는 다음과 같습니다.

모든 데이터가 잠겨 있습니다
돌아가시겠습니까?
이메일 ciphercrypt@tuta.io 또는 cipherc@onionmail.org 쓰기