DeadLock Ransomware

최신 랜섬웨어 공격은 개인 또는 조직 데이터를 악용하기 위해 특별히 고안되었습니다. 중요한 파일이 암호화되면, 사전에 대비하지 않는 한 공격자는 모든 수단을 동원할 수 있습니다. 강력한 보안 위생, 다층적인 방어 체계, 그리고 탄력적인 백업 전략은 단일 악성 첨부 파일, 크랙된 설치 프로그램, 또는 불법 다운로드로 인해 비즈니스 중단이나 영구적인 데이터 손실이 발생할 가능성을 크게 줄여줍니다. DeadLock 랜섬웨어는 이러한 기본 원칙이 얼마나 중요한지 보여주는 좋은 예입니다.

DeadLock을 특별하게 만드는 것

DeadLock은 모든 피해자에게 고유 식별자를 부여하는 파일 암호화 랜섬웨어입니다. 공격 과정에서 사용자 데이터를 암호화하고, 암호화된 각 파일의 이름을 피해자의 ID와 '.dlock' 확장자를 원래 파일 이름에 붙여 변경합니다. 예를 들어, '1.png'는 '1.png.F8C6A8.dlock'이 되고, '2.pdf'는 '2.pdf.F8C6A8.dlock'이 됩니다. 이 ID는 협박 과정 전반에 걸쳐 피해자를 추적하고 지불 금액을 복호화 키와 연결하는 데 사용됩니다. DeadLock은 또한 동일한 식별자가 포함된 파일 이름(예: "READ ME.F8C6A8.txt")의 랜섬 노트를 생성하고, 시스템이 침해되었음을 강조하기 위해 바탕 화면 배경 무늬를 변경합니다.

몸값 편지 내부

이 메모에는 피해자의 다음 움직임을 조종하기 위한 몇 가지 핵심 사항이 담겨 있습니다. 암호화된 파일은 공격자만 보유한 '고유 복호화 키' 없이는 복구할 수 없다고 주장합니다. 피해자는 개인 정보 보호에 중점을 둔 세션 메신저를 설치하고 제공된 세션 ID(파일 이름에 포함된 피해자별 식별자와 매핑됨)를 사용하여 연락하라는 안내를 받습니다. 공격자는 확인을 위해 암호화된 파일 하나와 '개인 키'(고유 ID)를 보내달라고 요청합니다. 이는 무해한 샘플을 복호화하여 신뢰를 구축하려는 일반적인 전술입니다.

결제 및 압력 전술

DeadLock 운영자들은 암호화폐, 특히 비트코인이나 모네로를 요구합니다. 그들은 결제 후 작동하는 복호화 도구를 제공하겠다고 약속합니다. 대부분의 랜섬웨어 공격과 마찬가지로, 이 경우에도 강제적인 보장은 없습니다. 또한, 이 경고는 두려움을 이용하여 독자적인 복구 시도를 막습니다. 피해자들은 암호화된 파일의 이름을 바꾸거나 타사 복호화 도구를 사용하지 말라고 경고하며, 이러한 행위가 데이터를 영구적으로 손상시키거나 복구 비용을 증가시킬 수 있다고 주장합니다. 이러한 경고는 부분적으로는 기술적인 측면(부적절한 처리는 실제로 복구를 복잡하게 만들 수 있음)과 부분적으로는 심리적 압박감으로 작용합니다.

복호화 현실 확인

랜섬웨어에 대한 전반적인 경험과 운영자의 메시지는 냉혹한 진실을 뒷받침합니다. 대부분의 경우 공격자의 협조와 도구 없이는 DeadLock으로 암호화된 파일을 해독할 수 없습니다. 따라서 현실적인 복구 경로는 두 가지입니다. (1) 오프라인 상태이거나, 사이트 외부에 있거나, 버전이 관리되거나, 공격 시점에 맬웨어가 접근할 수 없었던 백업을 사용하는 것입니다. (2) 몸값을 지불하고 범죄자가 약속을 지키기를 바라는 것입니다. 몸값을 지불하는 것은 위험합니다. 공격자가 사라지거나, 손상된 복호화 도구를 배포하거나, 몸값을 지불했다는 사실을 향후 갈취의 쉬운 표적으로 삼을 수 있습니다. 가능하다면 몸값을 지불하는 대신 영향을 받지 않은 백업을 사용하는 것이 좋습니다.

완전 제거가 중요한 이유

암호화가 완료된 후에도 시스템에 랜섬웨어를 남겨두는 것은 위험합니다. 잔여 구성 요소는 새로 생성된 파일을 다시 암호화하거나, 자격 증명을 수집하거나, 백도어를 열거나, 로컬 네트워크를 통해 측면 이동을 시도할 수 있습니다. 엔드포인트 검사, 메모리 검사, 예약된 작업, 시작 항목 및 도메인 컨트롤러 검토를 통해 랜섬웨어를 제거하는 것은 반복적인 피해를 방지하는 데 매우 중요합니다.

일반적인 교착 상태 감염 벡터

공격자는 초기 발판을 마련해야 합니다. 랜섬웨어 공격은 사용자의 신뢰, 호기심, 그리고 비용 절감을 위한 지름길을 노리는 여러 유포 채널을 통해 이루어집니다.

• 번들 키 생성기 및 맬웨어를 비밀리에 설치하는 라이선스 우회 도구를 포함한 불법 복제 또는 '크랙된' 상업용 소프트웨어.
• 웨어즈나 토렌트 사이트에서 가져온 소프트웨어 크랙, 키젠, 비공식 활성화 프로그램.
• 악성 이메일 첨부 파일: 함정이 있는 Word 문서(종종 매크로가 활성화됨), PDF, ZIP 아카이브, 스크립트 파일 또는 송장, 배송 알림 또는 긴급 HR 양식으로 위장한 실행 가능한 페이로드.
• 사용자를 익스플로잇 키트나 사기성 다운로드 페이지로 리디렉션하는 멀버타이징(악성 광고)입니다.
• 설치 프로그램을 숨겨진 페이로드로 다시 패키징하는 P2P 공유 플랫폼 및 타사 다운로드 허브.
• 자동으로 실행되거나 사용자가 오염된 파일을 실행하도록 유도하는 이동식 미디어(예: 감염된 USB 드라이브).
• 사용자에게 랜섬웨어 로더가 포함된 '수정본'이나 '업데이트본'을 다운로드하도록 압력을 가하는 가짜 기술 지원 포털입니다.
• 드라이브바이 다운로드나 페이로드를 전달하는 스크립트가 삽입된, 손상된 합법적 웹사이트.

방어력을 강화하는 최고의 보안 관행

다층 보안은 랜섬웨어 공격의 폭발 반경을 크게 줄여줍니다. DeadLock 및 유사 위협의 성공을 예방하는 데 도움이 되는 우선순위 방어 조치는 다음과 같습니다.

• 중요한 데이터의 안정적인 오프라인 백업을 유지하세요.
• 운영 체제, 애플리케이션, 펌웨어에 패치를 신속하게 적용하세요. 특히 매크로나 익스플로잇 남용에 취약한 노출된 서비스와 생산성 제품군에 패치를 적용하세요.
• 동작 기반 랜섬웨어 탐지 및 자동 격리 기능을 갖춘 평판 좋은 엔드포인트 보호/EDR을 사용하세요.
• 최소 권한 사용자 계정을 적용하고, 필요하지 않은 경우 로컬 관리자를 비활성화하고, 관리자 자격 증명을 일상적인 사용과 분리합니다.
• 그룹 정책, 애플리케이션 허용 목록 및 제어된 폴더 액세스를 통해 매크로 실행, 스크립트 인터프리터 및 서명되지 않은 바이너리를 제한합니다.
• 이메일 보안 필터링을 구축하세요: 샌드박스 첨부 파일, 링크 검사, 의심스러운 파일 형식이나 스푸핑된 발신자 도메인을 표시하세요.
• 이동식 미디어의 자동 실행을 비활성화하고, 마운트하기 전에 USB 장치를 검사합니다.
• 원격 액세스, 관리 콘솔 및 백업 관리 인터페이스에 대해 다중 인증 요소(MFA)를 요구합니다.

장기 레슨

DeadLock은 랜섬웨어 계열 전반에 걸쳐 반복되는 주제를 강화합니다. 최종 사용자가 정기적으로 크랙된 도구를 다운로드하거나, 검증되지 않은 첨부 파일을 열거나, 신뢰할 수 없는 광고 네트워크를 탐색한다면 공격자는 최첨단 익스플로잇을 사용할 필요가 없습니다. 기본적인 보안 기술, 패치 적용 규칙, 접근 제어, 모니터링되는 백업, 그리고 사용자 인식은 잠재적인 위기를 복구 가능한 사건으로 만듭니다. 지금 바로 이러한 방어 체계에 투자하십시오. 압박 속에서 몸값을 지불하는 것보다 훨씬 저렴합니다.

마무리 생각

랜섬웨어 복구력은 공격이 발생하기 훨씬 전부터 구축됩니다. DeadLock의 작동 방식을 이해하고 다층적인 예방 및 복구 제어를 구현하면 이러한 위협뿐 아니라 유사한 위협에도 대처할 수 있습니다. 의도적으로 찾거나 확인하지 않은 모든 것에 대해서는 의심을 버리세요. 경계는 첫 번째이자, 종종 최선의 방어선입니다.