Matrix 랜섬웨어

PC 보안 연구원들은 2018 년 4 월 3 일 암호화 랜섬웨어 트로이 목마 인 Matrix Ransomware를 관찰했습니다. 피해자는 스팸 이메일 메시지를 사용하여 Matrix Ransomware가 컴퓨터에 전달 될 수 있습니다. 여기에는 손상된 첨부 파일이 포함되어 있으며 매크로 스크립트를 사용하여 다운로드합니다. 피해자의 컴퓨터에 Matrix Ransomware를 설치하십시오. Matrix Ransomware에는 두 가지 버전이 있는데, 둘 다 피해자의 파일을 암호화하는 데 사용되며, 피해자가 몸값을 지불하여 해독 키를 받아야합니다. 이 동작은 대부분의 암호화 랜섬웨어 트로이 목마에서 관찰됩니다. Matrix Ransomware는 Matrix Ransomware가 파일 이름에 파일 확장자 '.matrix'를 추가하므로 암호화 된 파일을 쉽게 인식 할 수 있습니다.

Matrix Ransomware 공격의 결과는 무엇입니까

Matrix Ransomware와 같은 트로이 목마는 강력한 암호화 알고리즘을 사용하여 파일에 액세스 할 수 없도록 만듭니다. Matrix Ransomware는 다음 확장자를 가진 파일을 포함 할 수있는 사용자 생성 파일을 공격 대상으로 삼습니다.

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm,. pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Matrix Ransomware가 파일 암호화를 완료 한 후 Windows 운영 체제는 이러한 파일을 인식하지 못하며 PC 사용자가 파일을 열려고하면 빈 아이콘으로 나타나고 오류 메시지를 표시합니다. Matrix Ransomware는 피해자가 암호 해독 키에 대한 대가로 상당한 몸값을 지불하기 위해 이메일을 통해 운영자에게 연락하도록 요구합니다. Matrix Ransomware의 다양한 변종은 서로 다른 연락처 이메일을 사용하며 다음 이메일 주소가 Matrix Ransomware와 연결되어 있습니다.

files4463@tuta.io
files4463@protonmail.ch
files4463@gmail.com
restorfile@tutanote.com
restorfile@protonmail.com
restorfile@qq.com

Matrix Ransomware는 감염된 컴퓨터에 다음 메시지를 표시하는 HTA 파일 형식으로 랜섬 노트를 전달합니다.

'파일은 어떻게 되었나요?
문서, 데이터베이스, 백업, 네트워크 폴더 및 기타 중요한 파일은 RSA-2048 및 AES-128 암호로 암호화됩니다. RSA 및 AES에 대한 자세한 정보는 여기에서 찾을 수 있습니다.
h [tt] p : //en.wikipedia [.] org / wiki / RSA (암호화 시스템)
h [tt] p : //en.wikipedia [.] org / wiki / 고급 암호화 표준
이는 개인 암호 해독 키로 암호가 해독 될 때까지 더 이상 액세스 할 수 없음을 의미합니다! 개인 키 및 특수 소프트웨어 데이터 복구 없이는 불가능합니다! 지침을 따르시면 모든 파일을 빠르고 안전하게 해독 할 수 있습니다!
파일을 복원하려면 다음 이메일로 보내주십시오. [이메일 문자열] 메시지 제목에 개인 ID를 작성하십시오 : [편집 됨]
여러 가지 이유로 메시지가 의도 한 수신자에게 도달하지 못할 수 있으므로 3 개의 이메일 각각에 메시지를 보내는 것이 좋습니다. 영어로 작성 하시거나 전문 번역사를 이용 해주세요! 파일을 복원하려면 비트 코인으로 복호화 비용을 지불해야합니다. 가격은 귀하가 저희에게 얼마나 빨리 편지를 쓰는지에 따라 다릅니다.
라이브 메시징을 선호하는 경우 웹 페이지 h [tt] ps : // bitmsg [.] me를 통해 웹 브라우저에서 Bitmessages를 보낼 수 있습니다. '

Matrix Ransomware 처리

불행히도 Matrix Ransomware가 파일을 암호화하면 더 이상 복구 할 수 없습니다. 이 때문에 컴퓨터 사용자는 이러한 위협으로부터 데이터를 선제 적으로 보호 할 수 있도록 조치를 취해야합니다. Matrix Ransomware와 같은 위협에 대한 최상의 보호는 파일 백업을하는 것입니다. 그러면 피해자가 파일을 복구 할 수있는 기회가 주어집니다.

2018 년 11 월 14 일 업데이트 — Matrix-FASTA Ransomware

Matrix-FASTA 랜섬웨어는 2018 년 4 월에 등장한 랜섬웨어 위협 군인 Matrix 제품군의 변종으로, 최초 출시 이후 다양한 변종을 목격했습니다. Matrix-FASTA Ransomware는 다른 Matrix 변종과 마찬가지로 피해자의 파일을 암호화 한 다음 피해자에게 몸값 지불을 요구하도록 설계되었습니다. 컴퓨터 사용자는 Matrix-FASTA Ransomware 및 유사한 공격으로부터 PC를 보호하기위한 조치를 취하는 것이 중요합니다.

Matrix-FASTA Ransomware Trojan의 작동 방식

Matrix-FASTA Ransomware는 일반적으로 스팸 이메일 첨부 파일을 사용하여 피해자의 컴퓨터에 전달됩니다. Matrix-FASTA 랜섬웨어가 피해자의 컴퓨터에 설치되면 Matrix-FASTA 랜섬웨어는 피해자의 컴퓨터에서 찾은 사용자 생성 파일을 암호화합니다. 여기에는 다음 파일 확장자를 가진 파일이 포함될 수 있습니다.

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf , .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel,. prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx,. pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx , .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr, .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc,. qbp, .aif, .qba, .tlg, .qbx, .qby, .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd,. cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4,, .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt , .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw,. clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

Matrix-FASTA Ransomware 공격은 암호 해독 키 없이는 복구 할 수없는 방식으로 대상 데이터를 손상시켜 영구적으로 손실 될 수 있습니다. 범죄자들은 Matrix-FASTA Ransomware 공격에 의해 손상된 데이터에 대한 대가로 피해자에게 몸값을 지불하도록 강요하려고합니다.

Matrix-FASTA 랜섬웨어가 피해자에게 전달되는 방법

Matrix-FASTA 랜섬웨어 변종은 2018 년 11 월 14 일에 처음 발견되었습니다. 2018 년에 출시 된이 랜섬웨어 제품군에는 여러 변종이 있습니다. 다른 Matrix 변종과 마찬가지로 Matrix-FASTA 랜섬웨어가 전달되는 가장 일반적인 방법 스팸 이메일 첨부 파일을 통해 피해자의 컴퓨터는 내장 된 매크로 스크립트를 사용하여 Matrix-FASTA Ransomware를 피해자의 컴퓨터에 다운로드하고 설치합니다. 피해자에게 지불을 요구하는 Matrix-FASTA Ransomware 랜섬 노트는 피해자에게 이메일 주소 'fastbk@qq.com'을 통해 범죄자에게 연락하여 영향을받은 데이터를 복원하도록 요청합니다. Matrix-FASTA Ransomware는 공격으로 암호화 된 각 파일에 파일 확장자 '.FASTA'를 추가하여 공격으로 암호화 된 파일을 표시합니다. 또한 Matrix-FASTA Ransomware는 파일 이름을 Matrix-FASTA Ransomware 이메일 연락처 주소 및 암호화 된 문자열로 대체하여 공격으로 암호화 된 파일의 이름을 바꿉니다. 일반적인 Matrix-FASTA Ransomware 랜섬은 300 ~ 1,000 USD 범위입니다.

Matrix-FASTA 랜섬웨어와 같은 위협으로부터 데이터 보호

Matrix-FASTA Ransomware와 같은 위협에 대한 최상의 보호는 안전한 위치에 파일 백업을 저장하는 것입니다. 보안 전문가는 컴퓨터 사용자에게 클라우드 또는 외부 메모리 장치에 데이터의 백업 복사본을 저장하도록 조언합니다. 파일 백업 외에도 컴퓨터 사용자는 보안 프로그램을 사용하여 Matrix-FASTA Ransomware 감염을 가로 채거나 설치 후 제거해야합니다.

2018 년 10 월 22 일 업데이트 — Matrix-GMPF Ransomware

Matrix-GMPF Ransomware는 2018 년 4 월에 출시 된 Matrix Ransomware의 약간 수정 된 버전으로 분류됩니다. 새로운 변종은 2018 년 10 월 22 일에보고되었으며 AV 데이터베이스에 추가되었습니다. 사이버 위협의 이름은 손상된 사용자에게 표시되는 파일 표식 인 '.GMPF'의 이름을 따서 명명되었습니다. 이전 버전은 유사한 이름을 특징으로했으며 Matrix-THDA Ransomware 및 Matrix-ITLOCK Ransomware를 포함했습니다 . Matrix-GMPF Ransomware는 AES 및 RSA 암호를 사용하고 감염된 장치의 데이터를 읽을 수 없도록 제작되었습니다. 그러면 사용자에게 '# GMPF-README # .txt'라는 텍스트 파일이 표시되고 'GetMyPass@qq.com'이메일 계정으로 이메일을 보내도록 요청합니다. 위협은 TOR 네트워크를 통해 프로그래머에게 암호 해독 키를 전송하고 제 3자가 영향을받는 데이터를 해독하는 방법을 알아 내지 못하도록 프로그래밍되어 있습니다. 이름을보고 암호화 된 파일을 인식 할 수 있습니다. Matrix-GMPF 랜섬웨어 트로이 목마는 [GetMyPass@qq.com] .. GMPF 모델을 사용하여 암호화 된 개체를 표시합니다. 예를 들어 'Hanuman.pptx'는 [GetMyPass@qq.com] .Z2VuZXJp-YwdGV89t.GMPF '로 이름이 변경 될 수 있습니다. 위에서 언급했듯이 랜섬 메시지는 '# GMPF-README # .txt'로 제공되며, Microsoft의 메모장에서로드하고 다음을 읽을 수 있습니다.

'파일은 어떻게 되었나요?
문서, 데이터베이스, 백업, 네트워크 폴더 및 기타 중요한 파일은 RSA-2048 및 AES-128 암호로 암호화됩니다. RSA 및 AES에 대한 자세한 정보는 여기에서 찾을 수 있습니다.
h [tt] p : //en.wikipedia [.] org / wiki / RSA (암호화 시스템)
h [tt] p : //en.wikipedia [.] org / wiki / 고급 암호화 표준
이는 개인 암호 해독 키로 암호가 해독 될 때까지 더 이상 액세스 할 수 없음을 의미합니다! 개인 키 및 특수 소프트웨어 데이터 복구 없이는 불가능합니다! 지침을 따르시면 모든 파일을 빠르고 안전하게 해독 할 수 있습니다!
파일 복원을 원하시면 getmypass@qq.com으로 이메일을 보내주십시오.

위협 작성자는 운영을 유지하고 이메일 서비스 제공 업체에 경보가 발생하지 않도록하기 위해 종종 이메일 계정을 전환합니다. 잠재적 인 공격으로부터 복구하려면 데이터 백업을 부팅하는 것이 좋습니다. Matrix-GMPF Ransomware의 탐지 이름은 다음과 같습니다.

Generic.Ransom.Matrix.B38FC644
Ransom.Agent! 8.6B7 (CLOUD)
Ransom.Matrix.S3765495
Ransom_MATRIX.THAOOBAH
Troj / Matrix-K
W32 / 에이전트! tr
W32 / Generic.AC.41B59B! tr
맬웨어 (ai 점수 = 100)

2018 년 12 월 20 일 업데이트 — Matrix-PRCP Ransomware

보안 연구원들은 2018 년 크리스마스 전 며칠 동안 Matrix-PRCP Ransomware라는 새로운 변종 Matrix Ransomware를 찾아 냈습니다. Matrix의 새로운 파생물은 암호화 된 파일에 .PRCP 확장자를 적용합니다.

랜섬 노트는 "# README_PRCP # .rtf"라는 파일에 포함되어 있습니다. 피해자가 연락하는 데 사용할 수있는 새로운 변종 작성자가 사용한 이메일은 radrigoman @ protonmail [.] com입니다. 이 이메일은 랜섬웨어가 파일을 스크램블하는 방식에도 사용되는 것으로 보입니다. Matrix-PRCP Ransomware는 '[radrigoman@protonmail.com]. [random character string]-[random character string] .PRCP 패턴을 사용하여 암호화 한 모든 파일의 이름을 변경합니다.

2019 년 1 월 14 일 업데이트 — Matrix-GRHAN Ransomware

Matrix-GRHAN 랜섬웨어는 2018 년 4 월에 등장하기 시작한 Matrix 암호화 트로이 목마 라인에 대한 사소한 업데이트입니다. Matrix-GRHAN 랜섬웨어는 이전 반복과 비교하여 매우 약간 다르며 유일한 차이점은 새로운 이름 변경 패턴을 사용한다는 것입니다. 이 위협은 이미지, 오디오, 비디오, 텍스트 및 데이터베이스에 수정 된 AES-256 암호를 적용합니다. Matrix-GRHAN Ransomware에 의해 처리되는 파일은 '[greenelephan@qq.com] .. GRHAN'모델에 따라 일반적인 흰색 아이콘과 기능 이름으로 표시됩니다. 예를 들어, 'Jotunheim.docx'는 '[greenelephan@qq.com] .VC6NJ9-XWI88P.GRHAN'으로 이름이 변경 될 수 있으며 사용자는 Shadow Volume 스냅 샷을 사용하여 공격으로부터 복구 할 수 없습니다. 당면한 위협은 섀도우 볼륨 서비스를 사용하고 시스템 복원 지점과 최근에 생성 된 섀도우 볼륨 스냅 샷을 삭제하는 것으로 알려져 있습니다. Matrix-GRHAN 랜섬웨어는 감염된 시스템에 '! README_GRHAN! .rtf'를 드롭하고 다음 메시지를 제공하는 것으로보고되었습니다.

'파일은 어떻게 되었나요?
문서, 데이터베이스, 백업, 네트워크 폴더 및 기타 중요한 파일은 RSA-2048 및 AES-128 암호로 암호화됩니다. RSA 및 AES에 대한 자세한 정보는 여기에서 찾을 수 있습니다.
h [tt] p : //en.wikipedia [.] org / wiki / RSA (암호화 시스템)
h [tt] p : //en.wikipedia [.] org / wiki / 고급 암호화 표준
이는 개인 암호 해독 키로 암호가 해독 될 때까지 더 이상 액세스 할 수 없음을 의미합니다! 개인 키 및 특수 소프트웨어 데이터 복구 없이는 불가능합니다! 지침을 따르시면 모든 파일을 빠르고 안전하게 해독 할 수 있습니다!
파일을 복원하려면 다음 이메일로 보내주십시오 : greenelephan@qq.com '

Matrix-GRHAN Ransomware Trojan은 데이터베이스 관리자 및 일부 백업 관리자의 작업을 방해 할 수 있습니다. 사이버 위협은 회사 네트워크, 서버 팜 및 소규모 비즈니스 네트워크에 침투하여 실행되도록 설계되었습니다. 안전하지 않은 연결을 통해 인터넷에 연결된 열린 포트와 서비스가 없는지 확인하는 것이 좋습니다. 'greenelephan@qq.com'및 Matrix-GRHAN 랜섬웨어와 관련 될 수있는 기타 채널을 통해 랜섬웨어 운영자에게 연락하는 것은 권장하지 않습니다. Matrix-GRHAN 랜섬웨어에 감염된 경우 깨끗한 백업을 사용하고 전체 시스템 검사를 실행해야합니다. 이 위협의 제거는 인증 된 전문가와 신뢰할 수있는 보안 제품에 의해 촉진되어야합니다.

SpyHunter는 Matrix 랜섬웨어를 감지하고 제거합니다.