파일 랜섬웨어

사이버 보안 연구원은 파일 랜섬웨어라는 유해한 랜섬웨어 위협에 대해 사용자에게 경고하고 있습니다. 파일 랜섬웨어는 다양한 파일 형식을 잠글 수 있어 사용자가 자신의 데이터에 액세스하는 것을 효과적으로 차단합니다. 공격자는 암호화된 파일을 활용하여 피해자로부터 돈을 갈취할 수 있습니다. 파일 랜섬웨어는 Phobos 맬웨어 제품군의 변종으로 확인되었지만 손상을 일으킬 수 있는 능력은 여전히 중요합니다.

파일 랜섬웨어의 피해자는 영향을 받는 모든 파일의 이름이 크게 수정되었음을 알 수 있습니다. 실제로 File Ransomware는 암호화된 파일 이름에 ID 문자열, 공격자가 제어하는 이메일 주소 및 '.FILE'을 추가합니다. 또한 멀웨어는 침해된 장치에 두 개의 새 파일을 드롭합니다. 'info.hta' 및 'info.txt'라는 이름의 이 파일은 공격자의 몸값을 전달하는 역할을 합니다.

.hta 파일은 팝업 창의 소스로 사용됩니다. 그러나 표시되는 몸값을 요구하는 메시지는 매우 짧고 대부분 피해자가 사이버 범죄자와 연락할 수 있는 방법에 대한 정보를 포함합니다. 메모에는 두 개의 이메일 주소('teamchic@yandex.com' 및 'teamchica@yandex.com')와 두 개의 Jabber 계정('teamchic@jabb.im' 및 'teamchic@exploit.im')이 언급되어 있습니다.

파일 랜섬웨어가 남긴 전체 지침은 위협의 텍스트 파일에서 찾을 수 있습니다. 이는 피해자에게 몸값으로 요구되는 금액이 공격자에게 얼마나 빨리 연락을 취하는지에 따라 결정될 것임을 알립니다. 또한 비트코인 결제만 허용됩니다. 해커는 또한 최대 5개의 파일을 무료로 해독할 의향이 있다고 말합니다. 그러나 선택한 파일의 전체 크기는 4MB 미만이어야 하며 중요한 데이터가 포함되어서는 안 됩니다.

텍스트 파일로 전달된 몸값 메모는 다음과 같습니다.

' 모든 파일이 암호화되었습니다!

PC의 보안 문제로 인해 모든 파일이 암호화되었습니다. 복원하려면 teamchic@yandex.com으로 이메일을 보내주십시오.
메시지 제목에 이 ID를 쓰세요 -
24시간 이내에 응답이 없는 경우 다음 이메일로 보내주십시오:teamchica@yandex.com
메일에서 응답이 없으면 Jabber 클라이언트를 설치하고 teamchic@jabb.im 또는 teamchic@exploit.im 지원으로 편지를 보낼 수 있습니다.
비트코인으로 복호화 비용을 지불해야 합니다. 가격은 얼마나 빨리 우리에게 편지를 쓰느냐에 달려 있습니다. 결제 후 모든 파일의 암호를 해독하는 도구를 보내드립니다.

보증으로 무료 복호화
지불하기 전에 무료 암호 해독을 위해 최대 5개의 파일을 보낼 수 있습니다. 파일의 총 크기는 4Mb(아카이브되지 않음) 미만이어야 하며 파일에는 중요한 정보가 포함되어서는 안 됩니다. (데이터베이스, 백업, 대용량 엑셀 시트 등)

비트코인을 얻는 방법
비트코인을 구매하는 가장 쉬운 방법은 LocalBitcoins 사이트입니다. 회원가입을 하고 '비트코인 구매'를 클릭하고 결제수단과 가격으로 판매자를 선택해야 합니다.
hxxps://localbitcoins.com/buy_bitcoins
또한 여기에서 Bitcoins 및 초보자 가이드를 구입할 수 있는 다른 장소를 찾을 수 있습니다.
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Jabber 클라이언트 설치 지침:

hxxps://pidgin.im/download/windows/에서 Jabber(Pidgin) 클라이언트를 다운로드합니다.
설치 후 Pidgin 클라이언트는 새 계정을 만들라는 메시지를 표시합니다.
"추가"를 클릭하십시오
"프로토콜" 필드에서 XMPP를 선택합니다.
"사용자 이름"에서 - 아무 이름이나 생각해 보세요.
"도메인"필드에 jabber-server를 입력하십시오. 예를 들어 exploit.im이 많이 있습니다.
비밀번호 만들기
하단에 "계정 만들기"를 선택하십시오.
추가 클릭
"도메인" - exploit.im을 선택한 경우 데이터를 다시 입력해야 하는 새 창이 나타납니다.
사용자
비밀번호
보안 문자에 대한 링크를 따라가야 합니다(아래 필드에 입력해야 하는 문자가 표시됨)
Pidgin 클라이언트 설치 지침을 이해하지 못하는 경우 YouTube에서 많은 설치 자습서를 찾을 수 있습니다. hxxps://www.youtube.com/results?search_query=pidgin+jabber+install

주목!
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터를 해독하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
제3자의 도움을 받아 파일 암호를 해독하면 가격이 인상되거나(당사에 수수료가 추가됨) 사기의 피해자가 될 수 있습니다.

팝업 창으로 표시되는 메시지는 다음과 같습니다.

!!!모든 파일이 암호화됩니다!!!
암호를 해독하려면 다음 주소로 전자 메일을 보내십시오: teamchic@yandex.com.
24시간 이내에 응답하지 않으면 다음 주소로 이메일을 보내주십시오: teamchica@yandex.com
메일에서 응답이 없으면 Jabber 클라이언트를 설치하고 teamchic@jabb.im 또는 teamchic@exploit.im 지원으로 편지를 보낼 수 있습니다 .