Crysis 랜섬웨어

Crysis Ransomware는 감염된 컴퓨터의 파일을 잠근 다음 해독 키를받는 대가로 몸값을 요구하는 맬웨어 위협입니다. Crysis에 의해 암호화 된 파일은 사용자가 접근 할 수 없게되며 악성 코드가 피해자의 컴퓨터에있는 파일을 암호화하는 정교한 방법을 사용하기 때문에 저장된 데이터는 복구하기가 어렵습니다. 이 감염의 부작용은 컴퓨터의 전반적인 성능 저하뿐 아니라 특정 도구 및 응용 프로그램이 제대로 작동하지 않는 것입니다. Crysis 랜섬웨어는 Windows 운영 체제를 실행하는 컴퓨터에만 영향을 미치며 2016 년 3 월에 처음으로 나타났습니다. 그 이후로 사이버 보안 연구자들은이 위험한 랜섬웨어의 다양한 변종과 버전을 확인했으며 그중 일부는 다음과 같은 다른 중요한 위협과 매우 유사하기 때문에 Dharma 및 Arena 랜섬웨어 인 전문가들은 이러한 모든 위협을 Crysis / Dharma 랜섬웨어 제품군이라고 부르기로 결정했습니다. 가족의 다른 맬웨어와 마찬가지로 Crysis는 암호화 된 파일에 특정 확장자를 추가하지만 확장자는 맬웨어의 특정 변종이 컴퓨터를 감염 시켰는지에 따라 다릅니다.

확장 된 악성 기능으로 인해 Crysis는 발견 된 후 가능한 한 빨리 제거해야하며 PC 보안 전문가는 사이버 범죄자에게 연락하지 말고 필요한 몸값을 지불하지 말라고 조언합니다. 약속 된 암호 해독 키입니다. Crysis 랜섬웨어의 배포 채널도 수년에 걸쳐 진화했습니다. 처음에는 악성 첨부 파일과 손상된 링크가 포함 된 스팸 이메일이이 위험한 랜섬웨어의 주요 배포 수단 이었지만 현재 공격자는 공격을 수행하기 위해 사회 공학 기술에 의존하지 않습니다.

배포 방법

2016 년 9 월부터 크라이시스는 주로 취약하게 보호되는 RDP (원격 데스크톱 프로토콜)를 통해 배포되며, 이러한 종류의 첫 번째 공격이 호주와 뉴질랜드에 등록되었습니다. 이 채널을 통해 컴퓨터를 해킹하기 위해 공격자는 먼저 인터넷에서 보호되지 않은 RDP를 검색 한 다음 관리자가 시스템에 액세스하는 데 필요한 Windows 암호를 해독하여 포트 3389에서 연결합니다. 그런 다음 대상 시스템에 악성 코드를 수동으로 설치하여 해킹 된 컴퓨터에 연결된 다른 모든 주변 장치와 동일한 네트워크에 연결된 다른 컴퓨터에서도 악성 스크립트를 실행할 수 있습니다.

Crysis 제품군의 랜섬웨어는 처음에는 대부분 개인 PC 사용자를 대상으로했지만, 2 월 초 사이버 보안 연구원들은 맬웨어 제품군 개발의 새로운 추세를 확인했습니다. 공격 수의 엄청난 증가와 랜섬웨어의 전 세계적 확장 외에도 공격자들은 전략을 변경했으며 현재 주로 대기업과 주요 기관을 표적으로 삼고 있습니다. 이를 위해 해커는 열린 RDP 포트를 검색하는 동안 특정 네트워크에 연결된 컴퓨터가 회사 컴퓨터인지 여부를 확인하려고합니다.이 경우 공격을 계속할 가능성이 더 높습니다. 논리적으로 이러한 변화의 이유는 기업이 데이터를 되찾기 위해 많은 양의 몸값을 지불 할 가능성이 더 높기 때문입니다.

기술 데이터

이미 언급했듯이 악성 코드는 대상 컴퓨터에 수동으로 설치됩니다. 그러나 실제 설치 전과 암호화 프로세스가 시작되기 전에 랜섬웨어 소유자는 피해자의 활동을 모니터링하고 특정 사용자와 관련된 개인 데이터뿐만 아니라 일반 시스템 데이터를 수집 할 수있는 일부 키 로깅 프로그램을 삭제합니다. 이러한 자격 증명 수집 및 모니터링 활동을 통해 해커는 공격 범위를 확장하고 동일한 네트워크에 연결된 다른 장치 또는 리소스를 손상시킬 수 있습니다. 동시에 수집 된 데이터를 통해 해커는 피해자가 개인 사용자인지 회사인지에 따라 필요한 몸값의 양을 사용자 지정할 수 있습니다. 그 결과, 예를 들어 Crysis 랜섬웨어 변종이 대규모 기업 네트워크를 공격 한 경우이 금액은 수천 달러에이를 수 있습니다.

설치 후 랜섬웨어가 수행하는 첫 번째 작업 중 하나는 Windows 레지스트리에 자체 시작 키를 만들고 C : \ Windows \ System32, C : \ Program Data와 같은 합법적 인 Windows 파일을 포함하는 폴더에 코드 복사본을 만드는 것입니다. , C : \ Program Files 및 C : \ Users \ Programs \ Startup. 이는 악성 코드의 지속성을 보장하고 최근에 생성 된 파일의 암호화를 허용하기 위해 수행됩니다. Crysis에 속한 악성 파일, 프로세스 및 레지스트리 키는 임의의 다른 이름을 가질 수 있으므로 즉시 인식하고 Windows 운영 체제에 속한 합법적 인 개체와 구별하기가 어렵습니다. 이것이이 랜섬웨어를 제거하는 데 일반적으로 전문적인 맬웨어 제거 도구가 필요한 이유 중 하나입니다.

Crysis 루틴의 다음 단계는 감염된 컴퓨터의 하드 디스크에있는 모든 파일을 암호화에 적합한 내장 파일 목록과 비교하는 것입니다. 거의 모든 인기있는 파일 형식이이 목록에 포함되어있어 맬웨어가 모든 형식의 중요한 사용자 데이터를 포함 할 수있는 모든 파일을 식별하고 암호화하도록 관리합니다. 또한 Crysis는 최신 버전이 확장명과 실행 파일이없는 시스템 파일을 포함하여 감염된 컴퓨터에있는 거의 모든 단일 파일을 암호화 할 수 있고 파일 위치에 관계없이이를 암호화 할 수 있기 때문에 진정한 주요 랜섬웨어 위협으로 변모했습니다. 고정, 이동식 또는 네트워크 드라이브. 이것은 다른 랜섬웨어 사례에서 이전에는 볼 수 없었던 것으로, Crysis / Dharma 랜섬웨어 제품군의 무시 무시한 악성 기능을 입증합니다. Crysis 랜섬웨어가 사용하는 암호화 엔진의 경우 전체 랜섬웨어 제품군에서 일반적으로 Crysis는 해커의 서버에 저장된 개인 키와 함께 RSA 암호화 및 AES-128 암호화 알고리즘을 혼합하여 사용합니다. 2016 년 처음 등장한 이후 Crysis 제품군의 다양한 랜섬웨어 위협은 암호화 된 파일에 다른 확장자를 추가했습니다. 첫 번째 버전부터 시간순으로 이러한 확장자는 .crysis, .dharma, .wallet, .onion, .arena, .cobra,, java, .arrow, .bip, .cmb, .brr,. 감마, .bkp, .monro, .boost, .adobe, .cccmn, .AUDIT, .tron. 올해 11 월 중순에 발견 된 최신 버전의 크라이시스는 잠긴 파일에 .Back 및 .Bear 확장자를 추가하고, 경우에 따라 공격자의 연락처 주소도 암호화 된 파일의 이름에 추가됩니다. 감염된 각 사용자에게 개별적으로 생성되는 고유 한 희생자 ID로

암호화가 완료된 후 Crysis는 악성 코드 소유자가 피해자가 연락해야하는 방법과 몸값을 지불해야하는 방법을 설명하는 텍스트 파일 형태로 몸값 메모를 생성합니다. 이 악성 코드는 일반적으로 랜섬 노트를 위해 두 개의 파일을 생성합니다. 하나는 자동으로 열리고 사용자의 기본 데스크톱 이미지를 대체하는 HTML 파일과 데스크톱 및 경우에 따라 감염된 폴더에 배치되는 TXT 파일입니다. 이러한 랜섬 노트 파일의 이름은 Help_Decrypt_FILES.html, Help_Decrypt_FILES.txt, info.hta, Files encrypted !!. txt 일 수 있으며 랜섬 노트 자체에는 다음과 같이 명시되어 있습니다.

"주의! 컴퓨터가 바이러스 인코더의 공격을 받았습니다.
모든 파일은 암호화되어 강력하게 암호화되며 원래 키 없이는 복구가 불가능합니다! 디코더와 원래 키를 얻으려면 이메일 : dalailama2015@protonmail.ch로 이메일을 보내야합니다. 제목은 "암호화"이며 귀하의 ID가 적혀 있습니다.
사례를 작성하고 빈 위협에 귀하와 우리의 시간을 낭비하지 마십시오.
적절한 사람에게만 편지에 대한 응답은 적절하지 않습니다.
PS는 48 시간 이내에 첫 번째 이메일 주소에서 응답을받지 못한 경우에만이 대체 이메일 goldman0@india.com을 사용하십시오. "

연구에 따르면 Crysis 랜섬 노트에 제공된 두 개의 이메일 주소는 체코와 인도에있는 도메인에 속하지만 악성 코드가 이들 국가에서도 발생했다는 결론을 내릴 수 없습니다. 2017 년 말에 등장한 버전은 피해자들에게 지불 지침을 위해 다른 이메일 주소 인 cranbery@colorendgrace.com으로 연락하도록 지시합니다. 악성 코드가 피해자와 통신하기 위해 사용하는 다른 알려진 주소로는 Decryptallfiles@india.com, Tree_of_life@india.com, mailrepa.lotos@aol.com, Guardware@india.com이 있습니다.

2017 년 5 월 이전에 출시 된 특정 버전에 대해 무료 복호화 도구가 출시되었지만 나머지 변종의 경우 암호화 된 파일이 백업에서만 복구 될 수있는 것은 드문 일이 아닙니다. 이는 크라이시스가 수행 할 수있는 또 다른 악의적 인 활동에서 비롯됩니다. 섀도우 볼륨 복사본 및 시스템 복원 지점을 제거하도록 프로그래밍 할 수 있으므로 전문적인 백업 복구 솔루션 없이는 암호화 된 데이터를 복구 할 수 없습니다. 또한이 악성 코드는 감염된 컴퓨터에 추가 트로이 목마 및 기타 위협을 배포하여 공격자가 모든 사용자 활동을 실시간으로 감시 할 수 있습니다. 크라이시스 랜섬웨어에 의해 삭제 된 인기있는 악성 페이로드에는 암호 화폐 채굴 기, 키로거 및 기타 바이러스도 포함됩니다.

예방 및 제거 기술

Crysis 랜섬웨어 감염을 방지하려면 컴퓨터의 통신 채널에 강력한 암호를 사용하는 것이 좋습니다. 또한 사용자는 신뢰할 수있는 맬웨어 방지 프로그램을 설치하고 방화벽을 활성화하며 언제든지 시스템을 최신 상태로 유지하는 것이 좋습니다. Crysis 랜섬웨어 감염은 악성 콘텐츠를 포함 할 수있는 의심스러운 웹 사이트 방지, 알 수없는 보낸 사람의 이메일 첨부 파일 무시, 승인 된 출처에서만 파일, 프로그램 및 소프트웨어 업데이트 다운로드를 포함하는 책임감 있고 안전한 인터넷 행동으로도 예방할 수 있습니다. 모든 중요한 데이터의 정기적 인 백업을 유지하는 것도 필수입니다. 왜냐하면 때로는 악성 코드가 시스템에서 제거 된 후 그러한 랜섬웨어 위협에 의해 잠긴 파일을 복구 할 수있는 유일한 방법이기 때문입니다.

컴퓨터가 Crysis에 감염되면 전문 제거 도구없이 컴퓨터를 제거하지 않는 것이 좋습니다. 이러한 유형의 맬웨어는 악성 파일을 Windows 운영 체제의 핵심에 놓아 중요한 합법적 인 Windows 응용 프로그램 및 프로세스에 영향을 미치며 경험이없는 사용자가 컴퓨터의 일반적인 작업을 방해하지 않고 이러한 파일을 찾아 삭제하기 어렵게 만듭니다. 맬웨어의 일부가 시스템에 남아 있으면 쉽게 파일을 다시 암호화 할 수 있으므로 Crysis 랜섬웨어로부터 PC를 완전히 청소하는 것이 매우 중요합니다.

크라이시스 랜섬웨어가 컴퓨터에 침입하면 암호화 할 파일을 검색하기 위해 영향을받는 하드 드라이브를 검사합니다. 구성 설정에서 Crysis Ransomware는 검색하는 파일 확장자 목록을 포함합니다. Crysis Ransomware 공격 중에 암호화되는 일반적인 파일 유형은 다음과 같습니다.

.odc, .odm, .odp, .ods, .odt, .docm, .docx, .doc, .odb, .mp4, sql, .7z, .m4a, .rar, .wma, .gdb, .tax, .pkpass, .bc6, .bc7, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .bkp, .qic, .bkf , .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo,. itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc , .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset,. forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc,. py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2 , .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg , .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps.

'.AUF 파일 확장자'랜섬웨어는 파일 암호화 트로이 목마로, 공격을 통해 대부분의 파일에 신속하게 액세스 할 수 없게됩니다. 이는이 위협이 문서, 이미지, 비디오, 아카이브 등과 같은 널리 사용되는 파일 형식의 콘텐츠를 잠그기 위해 생성 된 고유 한 암호화 키를 사용하는 안전한 파일 잠금 알고리즘을 사용하도록 프로그래밍 되었기 때문입니다. 모든 암호화 된 데이터는 이름이 '.AUF'확장자를 포함하도록 변경되므로 예를 들어 'backup.rar'라는 파일의 이름은 공격 후 'backup.rar.AUF'가됩니다.

'.AUF 파일 확장자'랜섬웨어는 Crysis 랜섬웨어의 약간 수정 된 변종으로 확인되었으며, 이는 불행히도 피해자가 파일 복구를 지원하기 위해 무료 복호화기에 의존 할 수 없음을 의미합니다. '.AUF 파일 확장자'랜섬웨어가 공격을 수행 한 후 피해자에게 파일을 다시 사용하기 위해해야 할 일에 대한 연락처 정보와 지침을 제공하는 목적으로 랜섬 노트를 삭제합니다. 나쁜 소식은 공격자가 제공하는 솔루션이 다소 비싸다는 것입니다. 해독 소프트웨어에 대한 대가로 비트 코인 지불을 요구합니다. 귀하의 컴퓨터를 멀웨어로 감염시킨 익명의 사이버 범죄자들에게 돈을 보내지 않는 것이 좋습니다. 왜냐하면 그들이 귀하에게 아무런 대가를 제공하지 않고 돈을 가져가는 것이 매우 쉽기 때문입니다. 이 Crysis Ransomware 제품군의 특정 구성원에 사용되는 이메일은 Decisivekey@tutanota.com입니다.

'.AUF File Extension'Ransomware의 희생자 인 경우 공격자에게 연락하는 것도 고려해서는 안됩니다. 이로 인해 좋은 결과가 나올 가능성은 거의 없기 때문입니다. 대신 신뢰할 수있는 맬웨어 방지 도구를 즉시 실행하고 해당 스캐너를 사용하여 '.AUF File Extension'Ransomware에 연결된 모든 파일을 제거해야합니다. 이 작업이 완료되면 백업에서 파일을 복원하거나 대체 파일 복구 유틸리티를 사용해야하는 복구 프로세스의 마지막 단계로 진행해야합니다.

SpyHunter는 Crysis 랜섬웨어를 감지하고 제거합니다.