Lizard (Phobos) Ransomware

사이버 보안 전문가들이 악명 높은 Phobos Ransomware 제품군을 기반으로 한 또 다른 악성 맬웨어 위협을 발견했습니다. 위협의 이름은 Lizard Ransomware이며 침해된 장치에 저장된 데이터를 잠그는 데 사용할 수 있습니다. 충분히 강력한 암호화 알고리즘은 올바른 암호 해독 키 없이는 영향을 받는 파일을 복원하는 것이 현실적으로 불가능함을 보장합니다.

Lizard Ransomware가 파일을 암호화할 때 파일의 원래 이름도 크게 변경됩니다. 영향을 받는 사용자는 이제 파일에 ID 문자열, 이메일 주소 및 새 파일 확장자가 이름에 추가되었음을 알 수 있습니다. ID 문자열은 피해자마다 생성되며 위협에 사용되는 이메일 주소는 'r3wuq@tuta.io'입니다. 파일 확장자는 '.LIZARD'입니다. 위협에 대한 랜섬 노트는 Lizard Ransomware가 두 가지 다른 메시지를 삭제합니다. 하나는 'info.hta' 파일에서 생성된 팝업 창에 표시되고 다른 하나는 'info.txt'라는 텍스트 파일에 포함됩니다.

랜섬노트 개요

텍스트 파일에는 몇 개의 문장만 포함되어 있습니다. 주로 협박 피해자에게 'r3wuq@tuta.io' 메시지로 연락을 취하거나 24시간 후에도 응답이 없을 경우 텔레그램 계정 '@Online7_365'를 이용하도록 지시한다. 몸값을 요구하는 주요 메시지는 팝업 창으로 표시되는 메시지입니다. 공격자는 Bitcoin 암호 화폐를 사용하여 이루어진 지불만 수락한다는 것을 보여줍니다. 또한 위협 행위자가 최대 5개의 파일을 무료로 해독할 의향이 있다고 명시되어 있습니다. 그러나 선택한 파일은 중요한 정보를 포함하지 않아야 하며 전체 크기가 4MB를 초과해서는 안 됩니다.

텍스트 파일에서 찾은 메시지는 다음과 같습니다.

' !!!당신의 모든 파일은 암호화되어 있습니다!!!
암호를 해독하려면 r3wuq@tuta.io로 이메일을 보내십시오.
24시간 이내에 응답하지 않으면 텔레그램으로 메시지를 보내주십시오: @Online7_365 '

팝업 창에 Lizard Ransomware가 표시하는 랜섬 노트는 다음과 같습니다.

' 모든 파일이 암호화되었습니다!
PC의 보안 문제로 인해 모든 파일이 암호화되었습니다. 복원하려면 r3wuq@tuta.io로 이메일을 보내주십시오.
메시지 제목에 이 ID를 입력하세요.
24시간 이내에 응답을 받지 못하면 Telegram.org 계정(@Online7_365)으로 문의해 주십시오.
비트코인으로 복호화 비용을 지불해야 합니다. 가격은 얼마나 빨리 우리에게 편지를 쓰느냐에 달려 있습니다. 지불 후 모든 파일의 암호를 해독하는 도구를 보내드립니다.
보증으로 무료 복호화
지불하기 전에 무료 암호 해독을 위해 최대 5개의 파일을 보낼 수 있습니다. 파일의 총 크기는 4Mb(아카이브되지 않음) 미만이어야 하며 파일에는 중요한 정보가 포함되어서는 안 됩니다. (데이터베이스, 백업, 대용량 엑셀 시트 등)
비트코인을 얻는 방법
비트코인을 구매하는 가장 쉬운 방법은 LocalBitcoins 사이트입니다. 회원가입을 하고 '비트코인 구매'를 클릭하고 결제수단과 가격으로 판매자를 선택해야 합니다.
hxxps://localbitcoins.com/buy_bitcoins
또한 여기에서 Bitcoins 및 초보자 가이드를 구입할 수 있는 다른 장소를 찾을 수 있습니다.
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
주목!
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터를 해독하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
제3자의 도움을 받아 파일 암호를 해독하면 가격이 인상되거나(당사에 수수료가 추가됨) 사기의 피해자가 될 수 있습니다. '