FileCoder macOS 랜섬웨어
사이버 범죄자들은 의심하지 않는 사용자를 악용하는 새로운 수법을 끊임없이 개발하고 있으며, 랜섬웨어는 여전히 가장 심각한 위협 중 하나입니다. macOS 사용자들 사이에서는 Patcher 또는 Findzip으로도 알려진 FileCoder 랜섬웨어가 악명 높습니다. 이 랜섬웨어는 활성화되면 개인 파일을 암호화하고 이를 해제하는 대가로 돈을 요구합니다. 안타깝게도 FileCoder의 허술한 코딩 기술 때문에 돈을 지불하더라도 데이터를 복구할 수 없으므로, 강력한 예방 전략이 필수적입니다.
목차
FileCoder 랜섬웨어란 무엇인가요?
파일코더(FileCoder)는 macOS 시스템을 표적으로 삼는 파일 암호화 랜섬웨어입니다. Adobe Premiere Pro CC나 Microsoft Office 2016과 같은 인기 소프트웨어의 패치 도구로 위장하는 경우가 많습니다. 연구원들은 이 랜섬웨어가 비트토런트(BitTorrent) 플랫폼을 통해 확산되는 것을 처음 발견했으며, 불법 복제 소프트웨어를 찾는 사용자들이 주요 피해자가 되었습니다.
이 맬웨어는 주로 OS X 10.11.x(El Capitan)와 macOS 10.12.x를 실행하는 시스템에 영향을 미치지만, 이전 버전과 최신 버전도 영향을 받을 수 있습니다. 실행 파일은 Apple의 서명을 받지 않았으므로, 신중한 사용자에게는 주의가 필요합니다.
FileCoder는 어떻게 기기를 감염시키나요?
감염 과정은 사용자가 토렌트 사이트에서 프리미엄 소프트웨어용 '패처' 또는 '크래커'로 보이는 프로그램을 다운로드하는 순간 시작됩니다. 가짜 패처가 실행되면 3단계로 진행 상황을 보여주는 창이 표시되지만, 이는 단순한 주의를 끌기 위한 것입니다. 사용자가 '시작'을 클릭하는 즉시 암호화 과정이 시작됩니다. 인터페이스에 2/3단계가 표시될 때는 이미 피해가 발생한 후입니다.
FileCoder는 사용자 폴더의 모든 내용을 암호화하여 시스템 및 애플리케이션 파일은 그대로 둡니다. 실행 시점에 연결된 외부 드라이브와 네트워크 볼륨도 공격 대상으로 삼습니다. 이 맬웨어는 로컬에서 25자리의 무작위 암호화 키를 생성하고 rm 명령을 사용하여 원본 파일을 삭제합니다. diskutil을 사용하여 여유 공간을 삭제하려고 시도하지만, 잘못된 파일 경로로 인해 실패하며, 이 오류로 인해 부분적인 데이터 복구 가능성은 희박합니다.
암호화 후에는 무슨 일이 일어날까요?
암호화가 완료되면 사용자의 데스크톱은 README.txt 및 DECRYPT!.txt와 같은 랜섬웨어 메시지로 가득 찹니다. 피해자는 24시간 이내에 파일 잠금을 해제하려면 280달러의 비트코인을, 더 빠른 복호화를 위해서는 500달러를 지불하라는 지시를 받습니다. 그러나 FileCoder는 명령 및 제어 서버와 통신하거나 복호화 키를 전송할 수 없기 때문에 이러한 요구는 사기입니다. 즉, 랜섬웨어를 지불하더라도 파일에 대한 접근 권한은 복구되지 않습니다.
또한, 랜섬웨어는 알 수 없는 이유로 암호화된 파일의 수정 날짜를 2010년 2월 13일로 변경합니다. 시스템을 재부팅하면 사용자 기본 설정 및 설정이 데이터와 함께 암호화되므로 'iCloud에 로그인' 화면이 나타납니다.
약점 및 복구 옵션
FileCoder는 파괴적인 잠재력에도 불구하고 여러 가지 결함을 가지고 있습니다.
- 파일을 느리게 암호화하는데, 250MB 비디오 파일의 경우 약 30초가 걸립니다. 빠른 조치로 인해 암호화가 중단될 수 있습니다.
- 프로세스 중에 애플리케이션을 종료하면 파일 암호화가 더 이상 진행되지 않습니다.
- 잘못된 diskutil 경로로 인해 완전한 보안 삭제가 불가능하고, Data Rescue와 같은 도구를 사용하여 부분 복구가 가능합니다.
연구원들은 FileCoder로 암호화된 파일을 해독하는 방법도 개발했습니다. 이 과정은 번거롭고 기술적 지식이 필요하지만, 피해자들에게 최후의 수단이 될 수 있습니다.
파일을 복구하려면 피해자에게 여러 가지 리소스가 필요합니다. 즉, 두 번째로 작동하는 컴퓨터, 암호화된 파일 중 하나 이상의 암호화되지 않은 사본, 안정적인 텍스트 편집기, Xcode 명령줄 도구, ZIP 파일 암호화에 알려진 평문 공격을 수행하는 유틸리티인 pkcrack입니다.
하지만 암호화되지 않은 원본 파일을 항상 보유해야 하는 것은 아닙니다. 해당 파일이 없으면 사용자는 랜섬웨어를 악용하여 자신을 공격할 수 있습니다. FileCoder 앱이 다운로드 디렉터리와 같은 사용자 폴더 내에서 실행된 경우, 맬웨어는 자체 실행 파일을 암호화했을 가능성이 높습니다. 피해자는 감염된 애플리케이션의 새 복사본을 다운로드하여 복호화 과정을 도울 수 있습니다.
연구원들은 이 방법이 대량 복호화가 불가능하기 때문에 속도가 느리고 노동 집약적이라고 경고합니다. 그럼에도 불구하고, 데이터에 다시 접근하고 싶어 하는 사람들에게 이 방법은 최후의 수단으로 활용될 수 있습니다.
감염을 예방하기 위한 검증된 보안 관행
FileCoder와 같은 랜섬웨어 감염을 예방하는 것은 감염 후 복구하는 것보다 훨씬 쉽습니다. 다음 보안 조치를 따라 시스템을 보호하세요.
1. 안전한 컴퓨팅 습관
- 토런트 사이트나 검증되지 않은 출처에서 소프트웨어나 패치를 다운로드하지 마세요.
- 항상 애플리케이션 서명을 확인하고 신뢰할 수 있는 개발자나 공식 Mac App Store의 앱만 설치하세요.
- 최신 위협과 보안 권고에 대한 정보를 받아보세요.
- 강력한 시스템 보호
- 평판이 좋은 맬웨어 방지 솔루션을 사용하고 최신 상태로 유지하세요.
이러한 방법을 결합하면 랜섬웨어 위협에 대한 노출을 크게 줄이고 최악의 상황에서도 데이터가 안전하게 보호되고 복구 가능한 상태로 유지됩니다.
메시지
FileCoder macOS 랜섬웨어와 관련된 다음 메시지가 발견되었습니다.
|
NOT YOUR LANGUAGE? USE https://translate.google.com What happened to your files ? All of your files were protected by a strong encryption method. What do I do ? So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT FOLLOW THESE STEPS: 1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version) 2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb 3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com 4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes) KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME! |
