CLEAN 랜섬웨어

infosec 연구원들은 CLEAN 랜섬웨어의 코드와 동작을 분석하여 해당 위협이 Dharma Ransomware 제품군의 변종임을 확인했습니다. CLEAN은 Dharma 위협에서 예상대로 작동합니다. 대상 컴퓨터 시스템에 침투하려고 시도하고 암호화 루틴을 시작하고 거기에 저장된 데이터를 잠급니다. 그 후 공격자들은 요구된 몸값을 지불한 경우에만 필요한 암호 해독 키와 도구를 보내겠다고 약속하여 피해자를 금전적으로 갈취하려고 합니다.

CLEAN Ransomware가 파일을 잠그면 해당 파일의 원래 이름도 크게 변경됩니다. 이것은 Dharma 변종에서 관찰되는 일반적인 동작입니다. 영향을 받는 파일에는 피해자의 고유 ID를 나타내는 문자열, 이메일 주소 및 '.CLEAN'이 이름에 추가됩니다. CLEAN 랜섬웨어가 사용하는 이메일 주소는 'clean@onionmail.org'입니다. 위협의 다음 단계는 몸값을 전달하는 것입니다. 두 가지 별도의 방법으로 수행합니다. 하나는 'FILES ENCRYPTED.txt'라는 텍스트 파일을 만드는 것이고 다른 하나는 팝업 창에 메시지를 표시하는 것입니다.

CLEAN 랜섬웨어의 요구 사항

일반적인 Dharma 방식으로 CLEAN Ransomware의 메모에는 사용자가 확인해야 하는 중요한 세부 정보가 대부분 부족합니다. 텍스트 파일에는 해커가 통제하는 이메일 주소인 'clean@onionmail.org' 또는 'clean@privyinternet.com'을 메시지로 피해자에게 알려주는 몇 문장만 포함되어 있습니다. 팝업창에 표시되는 메모가 더 길긴 하지만 그렇다고 유용하지도 않다. 동일한 두 이메일을 반복하지만 암호화된 파일의 이름을 변경하면 영구적인 손상을 일으킬 수 있다는 것과 같은 다양한 경고가 포함된 섹션이 추가되었습니다.

텍스트 파일의 메시지는 다음과 같습니다.

' 모든 데이터가 잠겨 있습니다.
돌아가시겠습니까?
이메일 clean@onionmail.org 또는 clean@privyinternet.com을 작성하십시오.

팝업 창에 다음 지침이 표시됩니다.

파일이 암호화되었습니다
걱정하지 마세요. 모든 파일을 반환할 수 있습니다!
복원하려면 다음 링크를 따르십시오:email clean@onionmail.org 귀하의 ID -
12시간 이내에 링크를 통해 응답을 받지 못한 경우 이메일:clean@privyinternet.com으로 문의하십시오.
주목!
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터를 해독하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
제3자의 도움을 받아 파일 암호를 해독하면 가격이 인상되거나(당사에 수수료가 추가됨) 사기의 피해자가 될 수 있습니다. '