Ior 랜섬웨어

랜섬웨어 공격이 더욱 정교하고 파괴적으로 성장함에 따라 기기를 유해한 위협으로부터 보호하는 것이 그 어느 때보다 중요해졌습니다. 이러한 공격은 데이터를 암호화하고, 사업 운영을 방해하고, 피해자에게서 돈을 갈취할 수 있으며, 종종 데이터 복구 보장이 없습니다. 최근 Ior 랜섬웨어가 발견되면서 현대 랜섬웨어 패밀리가 지속적으로 위협을 가하고 있다는 사실이 드러났습니다. Ior 랜섬웨어의 작동 방식을 이해하고 강력한 보안 조치를 취하면 이러한 공격의 희생자가 될 위험을 크게 줄일 수 있습니다.

Ior 랜섬웨어: Dharma 패밀리의 새로운 위협

Ior 랜섬웨어는 기업과 개인을 모두 표적으로 삼는 것으로 유명한 악명 높은 Dharma 랜섬웨어 계열에 속합니다. Ior가 시스템을 감염시키면 파일을 빠르게 암호화하고 filename.id-[ID STRING].[공격자의 이메일].ior 형식으로 이름을 바꿉니다. 예를 들어, 'document.pdf'는 'document.pdf.id-9ECFA74E.[jasalivan@420blaze.it].ior'로 이름이 바뀌어 파일이 잠기고 사용자가 액세스할 수 없게 됩니다.

Ior 랜섬웨어는 두 가지 유형의 몸값 메모를 남깁니다.

• 피해자에게 공격 사실을 즉시 알리는 팝업 창입니다.
• 암호화된 데이터를 복원하는 방법에 대한 자세한 지침을 제공하는 'manual.txt'라는 파일입니다.

이 랜섬 노트는 피해자에게 제공된 이메일 주소(jasalivan@420blaze.it 또는 ja.salivan@keemail.me)를 통해 12시간 이내에 공격자에게 연락하도록 지시합니다. 이 노트는 또한 최대 3개의 파일(3MB 미만)을 암호 해독할 수 있다는 증거로 제공합니다. 그러나 공격자는 암호화된 파일의 이름을 바꾸거나 타사 암호 해독 도구를 사용하지 말라고 경고하며, 이러한 조치를 취하면 영구적인 데이터 손실이나 암호 해독 비용이 증가할 것이라고 위협합니다.

공격 방법: Ior 랜섬웨어가 시스템을 감염시키는 방법

Ior 랜섬웨어는 파일 암호화 기능뿐만 아니라 보안 기능을 비활성화하고 지속성을 보장하려는 공격적인 접근 방식으로 인해 매우 위협적입니다. 이 맬웨어는 다음과 같습니다.

• 로컬 파일과 네트워크 공유 파일을 모두 암호화하여 감염된 컴퓨터뿐만 아니라 연결된 모든 저장 장치나 시스템에도 영향을 미칩니다.
• 시스템 방화벽을 비활성화하면 장치가 추가 공격에 더 취약해집니다.
• 기본 제공 Windows 복원 지점을 사용하여 파일을 복구하지 못하도록 하는 섀도 볼륨 복사본을 삭제합니다.

또한 Ior 랜섬웨어는 위치 데이터를 수집하고 특정 디렉토리를 암호화에서 제외할 수 있으므로 공격자의 전략에 따라 일정 수준의 사용자 정의가 가능합니다.

감염 벡터: Ior 랜섬웨어가 전달되는 방식

Dharma 계열의 많은 랜섬웨어 변종과 마찬가지로 Ior 랜섬웨어는 종종 취약한 원격 데스크톱 프로토콜(RDP) 서비스를 통해 제공됩니다. 사이버 범죄자는 취약한 RDP 구성을 악용하여 무차별 대입 공격이나 사전 공격을 사용하여 제대로 관리되지 않는 자격 증명을 해독합니다. 그러나 이것이 Ior가 시스템을 감염시키는 유일한 방법은 아닙니다.

• 손상된 이메일 첨부 파일이나 링크 : 유해한 첨부 파일이나 포함된 링크가 있는 피싱 이메일은 랜섬웨어의 일반적인 전달 방법입니다.
• 악용된 소프트웨어 취약점 : 패치되지 않은 시스템은 랜섬웨어의 주요 타깃이 됩니다. 공격자는 오래된 소프트웨어나 운영 체제의 알려진 취약점을 악용할 수 있기 때문입니다.
• 불법 복제 소프트웨어 : 불법으로 다운로드한 소프트웨어에는 사용자가 모르게 실행하는 랜섬웨어 등의 멀웨어가 숨겨져 있는 경우가 많습니다.
• 침해된 웹사이트 : 사용자는 사기성 광고, 가짜 다운로드 또는 침해된 웹사이트 등을 통해 맬웨어를 다운로드하도록 속을 수 있습니다.
• P2P(Peer-to-Peer) 네트워크 및 타사 다운로더 : 안전하지 않은 파일은 보안 제어 기능이 부족한 토렌트 플랫폼이나 타사 다운로드 관리자를 통해 쉽게 퍼질 수 있습니다.

랜섬웨어에 대항하기 위한 최상의 보안 관행

Ior 랜섬웨어 및 기타 사이버 위협으로부터 자신을 보호하려면 최상의 보안 관행을 따르는 것이 필수적입니다. 사전 예방 조치를 취하고 올바른 예방 조치를 취하면 이러한 공격의 희생자가 될 위험을 크게 줄일 수 있습니다. 랜섬웨어에 대한 방어를 강화하기 위한 핵심 단계는 다음과 같습니다.

1. 정기적으로 데이터를 백업하세요: 빈번한 백업은 랜섬웨어에 대한 가장 강력한 방어 수단입니다. 모든 기본 파일이 주 시스템과 분리된 독립형 저장 장치나 클라우드 서비스에 백업되었는지 확인하세요. 이렇게 하면 데이터가 암호화되어 있어도 몸값을 지불하지 않고도 복원할 수 있습니다.
2. 보안 원격 액세스: RDP 또는 기타 원격 액세스 서비스를 사용하는 경우 해당 서비스가 안전하게 구성되어 있는지 확인하세요.

사용하지 않을 경우 RDP를 비활성화하세요.

원격으로 접근할 수 있는 계정에는 강력하고 고유한 비밀번호를 사용하세요.

보안을 강화하려면 다중 인증(MFA)을 활성화하세요.

방화벽이나 VPN을 통해 특정 IP 주소에 대한 RDP 액세스를 제한합니다.

1. 시스템과 소프트웨어를 최신 상태로 유지하세요: 오래된 소프트웨어는 랜섬웨어 공격의 빈번한 표적입니다. 운영 체제, 애플리케이션 및 맬웨어 방지 소프트웨어가 최신 보안 패치로 업그레이드되었는지 확인하세요. 가능한 경우 업데이트를 자동화하여 취약성 기간을 최소화하세요.
2. 랜섬웨어 방지 솔루션 배포: 랜섬웨어 방지 보호 기능이 포함된 평판 좋은 맬웨어 방지 소프트웨어에 투자하세요. 많은 최신 보안 제품군은 파일 암호화나 시스템 설정에 대한 무단 변경과 같은 의심스러운 동작을 감지하고 랜섬웨어가 피해를 입히기 전에 중단할 수 있습니다.
3. 이메일에 주의하세요: 피싱 이메일은 공격자가 랜섬웨어를 전달하는 가장 효과적인 방법 중 하나입니다. 원치 않는 이메일 첨부 파일이나 링크를 클릭하지 마세요. 신뢰할 수 있는 출처에서 온 것처럼 보이더라도 예상치 못한 이메일의 적법성을 확인하세요.
4. 강력하고 고유한 비밀번호 사용: 약한 비밀번호는 랜섬웨어 공격의 주요 취약점이며, 특히 RDP에서 무차별 대입 공격을 포함하는 경우 더욱 그렇습니다. 강력하고 복잡한 비밀번호를 사용하고 정기적으로 변경하세요. 비밀번호 관리자를 사용하여 다양한 계정에 대한 고유한 비밀번호를 저장하고 생성하는 것을 고려하세요.
5. 매크로 비활성화 및 스크립트 실행 제한: 많은 랜섬웨어 감염은 문서의 악성 매크로를 통해 시작되거나 PowerShell과 같은 스크립팅 엔진을 악용하여 시작됩니다. 기본적으로 매크로를 비활성화하고 스크립트 실행을 제한하여 감염 위험을 최소화합니다.
6. 방화벽과 네트워크 세분화를 사용하세요. 방화벽은 시스템에 대한 무단 액세스를 차단할 수 있으며, 네트워크 세분화는 조직 내에서 랜섬웨어의 확산을 줄일 수 있습니다. 중요한 시스템을 격리하고 네트워크 액세스를 제한함으로써 공격으로 인한 피해를 억제할 수 있습니다.

결론: 정보를 얻고 준비하세요

Ior 랜섬웨어는 Dharma 계열의 다른 구성원과 마찬가지로 개인과 조직 모두에게 심각한 위협을 가합니다. 데이터를 암호화하고, 보안 기능을 비활성화하고, 손상된 네트워크를 통해 전파할 수 있는 능력으로 인해 강력한 적이 됩니다. 그러나 위에 설명된 모범 사례(정기적인 백업, 소프트웨어 업데이트, 강력한 원격 액세스 제어 및 강력한 암호)를 채택하면 방어를 강화하고 랜섬웨어 공격의 영향을 최소화할 수 있습니다. 안전을 유지하는 핵심은 사전 예방적 경계와 사이버 보안 모범 사례에 대한 헌신입니다.

Ior 랜섬웨어가 팝업 창으로 표시하는 몸값 요구 사항:

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

공격자가 텍스트 파일로 전달한 메시지:

'You want to return?

write email jasalivan@420blaze.it or ja.salivan@keemail.me'