DarkMystic 랜섬웨어
데이터가 개인 생활과 직장 생활 모두의 생명선인 세상에서 사이버 위협으로부터 디지털 자산을 보호하는 것은 그 어느 때보다 중요합니다. 온라인에 도사리고 있는 수많은 위험 중에서도 랜섬웨어 공격은 특히 심각한 피해를 입힙니다. 사용자가 파일에 접근할 수 없게 되고 복구 비용을 요구하기 때문입니다. 가장 최근에 발견된 랜섬웨어 변종 중 하나는 BlackBit 랜섬웨어 계열에 속하는 정교하고 악성 프로그램인 DarkMystic입니다.
목차
위협의 실체 규명: DarkMystic 랜섬웨어란 무엇인가?
새로운 악성 코드 변종에 대한 조사 중 발견된 DarkMystic은 파일을 암호화하고, 파일 이름을 변경하고, 피해자에게 암호 해독을 위해 막대한 비트코인 몸값을 지불하도록 압력을 가하는 강력한 랜섬웨어입니다.
DarkMystic은 시스템에 침투하면 대상 파일 유형을 스캔한 후 강력한 암호화 기법을 사용하여 암호화합니다. 암호화된 파일의 이름은 다음과 같이 변경됩니다.
- 공격자의 이메일 주소
- 고유한 피해자 ID
- '.darkmystic' 확장자
예를 들어, 원래 이름이 1.png였던 파일은 '[darkmystic@onionmail.com][9ECFA84E]1.png.darkmystic'으로 변환될 수 있습니다.
몸값 요구와 심리적 압박 전술
암호화 후, 맬웨어는 피해자의 데스크톱 배경화면을 수정하고 두 가지 유형의 몸값 요구 메시지를 전달합니다.
- Restore-My-Files.txt라는 텍스트 파일
- info.hta라는 제목의 HTML 애플리케이션 팝업
이 노트에는 다음 내용이 요약되어 있습니다.
- 몸값을 지불하지 않으면 파일이 암호화되어 영구적으로 삭제될 수 있습니다.
- 피해자는 이틀 안에 비트코인으로 지불해야 하며, 그렇지 않으면 몸값이 두 배로 늘어나게 됩니다.
- 최대 3개의 파일에 대한 무료 복호화 테스트를 통해 복구 가능성을 입증합니다.
- 파일을 조작하거나 복구 도구를 사용하려고 하면 데이터가 영구적으로 손실될 수 있습니다.
위협적인 메시지에 더해, 이 팝업은 기한이 지나면 하드 드라이브가 손상될 것이라고 경고합니다. 하지만 몸값을 지불하는 것은 강력히 권장되지 않습니다. 몸값 지불은 범죄 활동 자금으로 사용될 뿐만 아니라, 많은 피해자들이 몸값을 지불한 후에도 복호화 키를 받지 못하기 때문입니다.
DarkMystic이 기기에 침투하는 방식
DarkMystic은 시스템을 감염시키기 위해 다양한 기만적인 전략을 사용합니다. 이러한 방법은 최신 랜섬웨어 공격에서 표준으로 사용되며, 실행을 위해 종종 사용자 작업에 의존합니다.
일반적인 감염 벡터는 다음과 같습니다.
- 악성 첨부 파일이나 링크가 포함된 피싱 이메일
- 랜섬웨어를 조용히 전달하는 트로이 목마 로더/백도어
- 불법 사이트에서 다운로드한 가짜 소프트웨어 업데이트나 크랙
- 손상되거나 사기성이 있는 웹 페이지에서의 드라이브바이 다운로드
- P2P(피어투피어) 공유 네트워크 및 신뢰할 수 없는 프리웨어 사이트
- 다운로드를 유발하는 악성 광고 및 위조 팝업
- 감염된 파일을 담고 있는 USB 드라이브와 같은 이동식 장치
- 특정 변형에서 로컬 네트워크 전반에 걸쳐 자체 확산되는 동작
악성 파일을 열거나 위장된 링크를 클릭하는 것만으로도 공격이 발생할 수 있습니다.
요새 건설: 안전을 지켜주는 보안 관행
DarkMystic과 같은 랜섬웨어에 대한 가장 효과적인 보호는 선제적 방어입니다. 보안을 최우선으로 생각하고 다음 조치를 실행하면 사용자는 위험을 크게 줄일 수 있습니다.
- 시스템 및 네트워크 강화
- 신뢰할 수 있는 맬웨어 방지 소프트웨어를 설치하고 최신 상태로 유지하세요.
보안 허점을 없애려면 운영 체제와 애플리케이션을 자주 업데이트하세요.
방화벽을 사용하여 허가되지 않은 네트워크 활동을 방지하세요.
기본적으로 Office 파일에서 매크로를 제한하고 스크립트 실행을 비활성화합니다.
노출을 줄이기 위해 권한이 제한된 사용자 계정을 만듭니다.
- 스마트한 사용자 습관
- 원치 않는 이메일의 첨부 파일을 열거나 링크를 클릭하지 마세요.
공식 웹사이트나 신뢰할 수 있는 플랫폼에서만 소프트웨어를 설치하세요.
숨겨진 맬웨어가 포함된 불법 복제 소프트웨어나 '크랙'은 절대 사용하지 마세요.
강력하고 고유한 비밀번호를 사용하고 다중 요소 인증(MFA)을 켜세요.
로컬 오프라인 저장소와 안전한 클라우드 저장소를 모두 사용하여 필수 데이터를 자주 백업하세요.
공격 중 암호화를 방지하기 위해 사용하지 않을 때는 백업을 네트워크에서 분리해 두세요.
결론: 경계하고 보호받으세요
DarkMystic 랜섬웨어는 단순한 디지털 성가신 존재가 아닙니다. 공포, 압박, 그리고 절박함을 조성하기 위해 만들어진 고위험 위협입니다. BlackBit 계열과 연계되어 있어 고도화된 회피 전략과 공격적인 강탈 수법으로 인해 더욱 위험해집니다.
최선의 방어선은 재난이 닥치기를 기다리는 것이 아니라, 사전에 대비하는 것입니다. 스스로 교육하고, 건전한 사이버 보안을 실천하며, 견고한 보안 조치를 시행하면 디지털 어둠 속에 어떤 위협이 도사리고 있더라도 데이터를 안전하게 보호할 수 있습니다.
메시지
DarkMystic 랜섬웨어와 관련된 다음 메시지가 발견되었습니다.
|
All your files have been encrypted by BLACKBIT! 29d,23:55:54 LEFT TO LOSE ALL OF YOUR FILES All your files have been encrypted due to a security problem with your PC. If you want to restore them, please send an email darkmystic@onionmail.com You have to pay for decryption in Bitcoin. The price depends on how fast you contact us. After payment we will send you the decryption tool. You have to 48 hours(2 Days) To contact or paying us After that, you have to Pay Double. In case of no answer in 24 hours (1 Day) write to this email darkmystic@tutamail.com Your unique ID is : - You only have LIMITED time to get back your files! •If timer runs out and you dont pay us , all of files will be DELETED and you hard disk will be seriously DAMAGED. •You will lose some of your data on day 2 in the timer. •You can buy more time for pay. Just email us. •THIS IS NOT A JOKE! you can wait for the timer to run out ,and watch deletion of your files 🙂 What is our decryption guarantee? •Before paying you can send us up to 3 test files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) Attention! •DO NOT pay any money before decrypting the test files. •DO NOT trust any intermediary. they wont help you and you may be victim of scam. just email us , we help you in any steps. •DO NOT reply to other emails. ONLY this two emails can help you. •Do not rename encrypted files. •Do not try to decrypt your data using third party software, it may cause permanent data loss. •Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as desktop background image: BLACKBIT All your files have been encrypted due to a security problem with your computer If you want to restore them, write us to the e-mail: darkmystic@onionmail.com Write this ID in the title of your message: - In case of no answer in 24 hours write us to this e-mail: darkmystic@tutamail.com For more information see Restore-My-Files.txt that is located in every encrypted folder |
|
Ransom note deliveres as a text message: !!!All of your files are encrypted!!! To decrypt them send e-mail to this address: darkmystic@onionmail.com In case of no answer in 24h, send e-mail to this address: darkmystic@tutamail.com You can also contact us on Telegram: @DarkMystic_support All your files will be lost on Wednesday, May 14, 2025 8:44:45 AM. Your SYSTEM ID : !!!Deleting "Cpriv.darkmystic" causes permanent data loss. |
