Intel Ransomware

연구원들이 인텔 랜섬웨어(Intel Ransomware)로 알려진 새로운 종류의 랜섬웨어를 발견했습니다. 이 위협적인 소프트웨어는 장치에 침투하여 저장된 데이터를 암호화하고 손상된 정보를 해독하는 대가로 몸값을 요구합니다.

특히 Intel 랜섬웨어의 영향을 받은 파일은 이름 변경 프로세스를 거칩니다. 원본 파일 이름에는 피해자에게 할당된 고유 식별자가 추가되고 그 뒤에 '.[intellent@ai_download_file]'이 붙으며 '.intel' 확장자로 끝납니다. 예를 들어 처음에 '1.jpg'라는 라벨이 붙은 파일은 암호화 후 '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel'로 변환됩니다.

암호화 프로세스가 완료되면 피해자는 팝업 창과 'README!.txt'라는 텍스트 파일로 랜섬 메시지를 보게 됩니다. 이러한 텍스트 파일은 암호화된 각 폴더와 시스템 바탕 화면에 저장됩니다. 랜섬노트 내용을 분석한 결과 Intel 랜섬웨어는 특히 기업을 표적으로 삼고 이중 갈취 전술을 사용하는 것으로 나타났습니다. 게다가 이 위협적인 프로그램은 Dharma Ransomware 제품군과 관련이 있습니다.

Intel 랜섬웨어는 피해자가 자신의 데이터에 액세스하는 것을 방지합니다.

Intel 랜섬웨어는 로컬 및 네트워크 공유 파일을 모두 암호화하는 동시에 중요한 시스템 파일은 영향을 받지 않고 유지하여 시스템이 작동하지 않게 되는 것을 방지하는 포괄적인 접근 방식을 보여줍니다. 특히, 다른 랜섬웨어에 의해 잠긴 파일을 제외해 이중 암호화를 피하는 전략을 구사한다. 그러나 이 방법은 알려진 모든 랜섬웨어 변종을 포함하지 않을 수 있는 사전 정의된 목록에 의존하기 때문에 완벽하지는 않습니다.

또한 인텔 악성코드는 텍스트 파일 판독기, 데이터베이스 프로그램 등 열려 있을 수 있는 파일과 관련된 프로세스를 닫는 방식으로 정교한 작업을 수행합니다. 이 사전 조치는 "사용 중"으로 간주되는 파일의 충돌을 방지하여 해당 파일이 암호화에서 면제되지 않도록 하는 것을 목표로 합니다.

Intel 악성코드가 속한 Dharma 랜섬웨어 계열은 침투 및 지속성을 위해 전략적 전술을 사용합니다. 여기에는 침입을 촉진하고 탐지를 회피하기 위해 방화벽을 끄는 것이 포함됩니다. 또한 지속성 보장 기술에는 다음이 포함됩니다.

• • 악성코드를 %LOCALAPPDATA% 경로에 복사합니다.

• • 특정 실행 키로 등록합니다.

• • 각 시스템 재부팅 후 랜섬웨어 자동 시작을 구성합니다.

Dharma 공격의 주목할만한 측면은 표적화된 행동이 가능하다는 점입니다. 이 계열과 관련된 프로그램은 지리적 위치 데이터를 수집하여 공격에서 예외를 허용할 수 있습니다. 이러한 적응성은 감염이 정치적 또는 지정학적 동기를 가질 수 있거나, 특히 경제 여건이 취약한 지역에서 몸값 요구를 충족할 가능성이 없는 피해자를 의도적으로 피할 수 있음을 의미합니다.

복구 노력을 더욱 방해하기 위해 인텔 랜섬웨어는 쉐도우 볼륨 복사본을 삭제하여 이전 버전의 파일 복원을 방해할 수 있습니다. 랜섬웨어 감염에 대한 광범위한 연구에 따르면 공격자의 개입 없이 암호를 해독하는 것은 일반적으로 극복할 수 없는 과제임이 분명합니다.

Intel 랜섬웨어는 이중 강탈 전술을 사용합니다.

텍스트 파일의 내용은 피해자에게 데이터가 암호화되어 수집되었음을 알리는 간단한 알림 역할을 합니다. 이는 피해자가 공격자에게 이메일을 보내 통신을 설정하도록 유도합니다.

반면, 팝업 메시지는 랜섬웨어 감염에 대한 자세한 정보를 제공합니다. 상황의 긴급성을 강조하면서 암호화 및 데이터 도난 측면을 반복합니다. 랜섬노트에는 24시간 이내에 사이버범죄자들에게 연락하지 않거나 랜섬머니 요구에 응하지 않을 경우 훔친 콘텐츠가 다크웹에 노출되거나 피해자 회사의 경쟁업체에 판매될 수 있다는 엄격한 경고가 적혀 있다.

복구 가능성을 보여주기 위해 메시지는 단일 파일에 대해 수행되는 무료 암호 해독 테스트를 제공합니다. 또한 피해자는 복구 회사에 도움을 요청하면 추가 금전적 손실이 발생할 수 있다는 점을 명시적으로 알립니다. 이러한 중개인은 일반적으로 몸값에 추가되는 수수료를 부과하기 때문입니다.

그러나 피해자가 몸값 요구를 준수한 후에도 약속된 암호 해독 키나 소프트웨어를 받지 못하는 경우가 자주 관찰됩니다. 몸값 요구 사항을 충족했음에도 불구하고 파일 복구가 보장되지 않습니다. 따라서 연구원들은 몸값 지불을 강력히 권장하지 않습니다. 몸값 지불은 파일 검색을 보장하지 못할 뿐만 아니라 범죄 활동을 지속시키고 지원하기 때문입니다. 또한, 랜섬웨어를 제거하면 추가 데이터 암호화가 중단될 수 있지만 제거 프로세스가 이전에 손상된 파일을 자동으로 복원하지는 않는다는 점을 이해하는 것이 중요합니다.

Intel 랜섬웨어는 다음과 같은 랜섬 노트를 팝업 창으로 표시합니다.

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

귀하가 24시간 이내에 당사에 편지를 보내지 않으면 당사는 귀하의 데이터를 해커 사이트의 다크넷에 게시 및 판매하기 시작하고 해당 정보를 귀하의 경쟁업체에 제공할 것입니다.
이메일: intellent.ai@onionmail.org 귀하의 ID -
24시간 이내에 답변을 받지 못한 경우 intellent.ai@onionmail.org로 이메일을 보내주세요.

중요한 정보!
귀하의 데이터가 유출 사이트에 나타나면 언제든지 경쟁업체가 해당 데이터를 구매할 수 있으므로 오랫동안 주저하지 마십시오. 랜섬머니를 빨리 지불할수록 회사는 더 빨리 안전해질 것입니다.
귀하의 모든 보고서와 귀하 회사의 수익을 살펴보았습니다.
보증: 귀하가 지불한 후 암호 해독기를 제공하지 않거나 데이터를 삭제하지 않으면 앞으로는 누구도 우리에게 비용을 지불하지 않습니다. 우리는 우리의 평판을 소중히 여깁니다.
보증 키:복호화 키가 존재하는지 증명하기 위해 파일(데이터베이스 및 백업이 아님)을 무료로 테스트할 수 있습니다.
타사 소프트웨어를 사용하여 데이터의 암호를 해독하려고 시도하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
복구 회사에 가지 마십시오. 그들은 본질적으로 중개자일 뿐입니다. 제3자의 도움으로 파일을 해독하면 가격이 상승할 수 있습니다(그들은 수수료를 우리에게 추가합니다). 우리만이 해독 키를 가지고 있습니다.

인텔 랜섬웨어로 생성된 텍스트 파일에는 다음 메시지가 포함되어 있습니다.

귀하의 데이터가 도난당하고 암호화되었습니다!

이메일을 보내주세요

intellent.ai@onionmail.org'