Lucky Ransomware

사이버 보안 연구원들이 Lucky라는 랜섬웨어 위협을 발견했습니다. Lucky 랜섬웨어는 파일을 암호화하고 고유 ID, 사이버 범죄자의 이메일 주소 및 '.Lucky' 확장자를 추가하여 원래 파일 이름을 수정합니다. 예를 들어 원래 이름이 '1.doc'인 파일은 '1.doc.id[9ECFA74E-3451].[dopingen@rambler.ru].Lucky' 등으로 나타납니다.

암호화 과정이 완료되면 이 랜섬웨어는 팝업 창('info.hta')과 텍스트 파일('info.txt')에 랜섬 노트를 생성합니다. 이 위협적인 프로그램은 Phobos Ransomware 계열에 속하는 변종으로 확인되었습니다.

Lucky 랜섬웨어의 피해자는 돈을 갈취합니다

텍스트 파일에서 발견된 랜섬웨어 노트는 단순히 피해자에게 파일이 암호화되었음을 알리고 공격자에게 연락할 수 있는 지침을 제공합니다.

반면 팝업 창에 표시되는 메모는 감염에 대한 자세한 내용을 제공합니다. 피해자가 데이터의 암호 해독 키를 얻으려면 비트코인 암호화폐로 몸값을 지불해야 한다고 명시적으로 명시되어 있습니다. 암호 해독 프로세스를 검증하기 위해 피해자는 특정 지침에 따라 최대 5개의 암호화된 파일을 사이버 범죄자에게 보낼 수 있습니다.

또한 메시지에는 영향을 받는 파일의 파일 이름을 변경하거나 타사 복구 소프트웨어를 사용하면 데이터가 영구적으로 손실될 수 있다는 경고가 포함되어 있습니다.

유감스럽게도 공격자의 개입 없이 암호를 해독하는 것은 일반적으로 불가능합니다. 게다가 몸값을 지불하더라도 랜섬웨어의 피해자는 약속된 복호화 키나 소프트웨어를 받지 못하는 경우가 많습니다. 따라서 데이터 복구를 보장하지 못할 뿐만 아니라 불법 활동을 지원하므로 몸값 요구를 준수하지 않는 것이 좋습니다.

사용자는 랜섬웨어 위협에 대해 효과적인 방어 조치를 취해야 합니다.

사용자는 랜섬웨어 위협으로부터 장치와 데이터를 보호하기 위해 몇 가지 방어 조치를 취할 수 있습니다. 다음은 몇 가지 필수 단계입니다.

• • 맬웨어 방지 소프트웨어 설치 및 업데이트 : 평판이 좋은 보안 소프트웨어를 사용하고 최신 상태로 유지하십시오. 맬웨어 방지 프로그램은 알려진 랜섬웨어 위협을 탐지하고 차단할 수 있습니다.

• • 자동 소프트웨어 업데이트 활성화 : 운영 체제, 애플리케이션 및 보안 패치를 정기적으로 업데이트합니다. 소프트웨어 업데이트에는 종종 랜섬웨어에 의해 악용되는 알려진 취약성으로부터 보호하는 보안 향상 기능이 포함됩니다.

• • 이메일 첨부 파일 및 링크에 주의하십시오 . 링크를 클릭하거나 이메일 첨부 파일에 액세스할 때 특히 익숙하지 않거나 의심스러운 출처에서 온 경우 주의하십시오. 랜섬웨어는 종종 악성 이메일 첨부 파일과 피싱 링크를 통해 확산됩니다.

• • Backup Data Regularly : 중요한 파일과 데이터를 정기적으로 백업합니다. 오프라인 또는 클라우드 기반 플랫폼에 백업을 저장합니다. 이렇게 하면 파일이 랜섬웨어에 의해 암호화되더라도 몸값을 지불하지 않고 백업에서 파일을 복원할 수 있습니다.

• • 강력하고 고유한 암호 사용 : 계정에 대해 강력하고 복잡한 암호를 만들고 여러 플랫폼에서 재사용하지 않도록 합니다. 암호 관리자를 사용하여 고유한 암호를 안전하게 저장하고 생성하는 것을 고려하십시오.

• • 다운로드 주의 : 신뢰할 수 있는 출처에서만 파일과 소프트웨어를 다운로드하십시오. 익숙하지 않거나 의심스러운 웹사이트에서 파일을 다운로드하지 마십시오. 랜섬웨어 또는 기타 맬웨어가 포함될 수 있습니다.

• • 자신을 교육하십시오 : 최신 랜섬웨어 위협 및 기술에 대한 정보를 얻으십시오. 피싱 시도 및 의심스러운 온라인 행동 인식을 포함하여 안전한 컴퓨팅 관행에 대해 자신과 직원을 교육하십시오.

이러한 방어 조치를 구현함으로써 사용자는 랜섬웨어 공격의 피해자가 될 가능성을 크게 줄이고 장치와 귀중한 데이터를 보호할 수 있습니다.

Lucky 랜섬웨어에 의해 생성된 팝업창에는 다음과 같은 메시지가 포함되어 있습니다.

'모든 파일이 암호화되었습니다!

PC의 보안 문제로 인해 모든 파일이 암호화되었습니다. 복원하려면 dopingen@rambler.ru로 이메일을 보내주십시오.
메시지 제목에 이 ID를 작성하세요.
24시간 이내에 답변이 없을 경우 dopingen@rambler.ua로 이메일을 보내주십시오.
Bitcoins에서 암호 해독 비용을 지불해야 합니다. 가격은 당신이 우리에게 얼마나 빨리 편지를 쓰는지에 달려 있습니다. 결제 후 모든 파일을 해독하는 도구를 보내드립니다.

보증으로 무료 암호 해독
지불하기 전에 무료 암호 해독을 위해 최대 5개의 파일을 보낼 수 있습니다. 파일의 총 크기는 4Mb 미만(아카이브되지 않음)이어야 하며 파일에 중요한 정보가 포함되어서는 안 됩니다. (데이터베이스, 백업, 대형 엑셀 시트 등)

비트코인을 얻는 방법
비트코인을 구매하는 가장 쉬운 방법은 LocalBitcoins 사이트입니다. 등록하고 '비트코인 구매'를 클릭한 다음 결제 수단과 가격으로 판매자를 선택해야 합니다.
hxxps://localbitcoins.com/buy_bitcoins
또한 여기에서 Bitcoins 및 초보자 가이드를 구입할 수 있는 다른 장소를 찾을 수 있습니다.
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

주목!
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터를 해독하려고 시도하지 마십시오. 데이터가 영구적으로 손실될 수 있습니다.
제3자의 도움을 받아 파일을 해독하면 가격이 상승하거나(그들은 당사에 수수료를 추가함) 사기의 피해자가 될 수 있습니다.

Lucky Ransomware가 드롭한 텍스트 파일에는 다음과 같은 내용이 있습니다.

!!!모든 파일이 암호화됩니다!!!
암호를 해독하려면 다음 주소로 이메일을 보내십시오: dopingen@rambler.ru.
24시간 내에 응답하지 않으면 다음 주소로 이메일을 보내십시오: dopingen@rambler.ua'