미러 랜섬웨어

연구원들은 잠재적인 맬웨어 위협을 철저히 분석한 결과 MIRROR가 랜섬웨어 변종이라는 결론을 내렸습니다. MIRROR 위협의 주요 목적은 손상된 장치에 있는 파일을 암호화하는 것입니다. 또한 파일 이름을 변경하고 두 개의 랜섬 노트를 발행합니다. 하나는 팝업 창 형태이고 다른 하나는 'info-MIRROR.txt'라는 이름의 텍스트 파일입니다.

MIRROR 랜섬웨어는 암호화하는 파일에 피해자의 ID, 'tpyrcedrorrim@tuta.io' 이메일 주소, '.Mr' 확장자를 추가하는 특정 명명 규칙을 사용합니다. 예를 들어 '1.pdf'는 '1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr'로 변환되고, '2.png'는 '2.png.id-9ECFA74E.[tpyrcedrorrim@ tuta.io].Mr' 등이 있습니다. 이 특정 위협은 Dharma 랜섬웨어 제품군 내의 변종으로 분류되었습니다.

MIRROR 랜섬웨어는 파일 암호화를 뛰어넘습니다.

파일을 암호화하는 것 외에도 MIRROR는 대상 시스템의 보안을 더욱 손상시키기 위한 전략적 조치를 사용합니다. 그러한 전술 중 하나는 방화벽을 비활성화하여 랜섬웨어가 조율하는 악의적인 활동에 대한 시스템의 취약성을 높이는 것입니다. 또한 MIRROR는 쉐도우 볼륨 복사본을 지우기 위해 의도적인 조치를 취하여 잠재적인 복원 지점을 효과적으로 제거하고 복구 노력을 방해합니다.

MIRROR는 RDP(원격 데스크톱 프로토콜) 서비스 내의 취약점을 감염의 주요 벡터로 활용합니다. 여기에는 일반적으로 무차별 대입 및 사전 공격과 같은 방법을 통해 취약한 계정 자격 증명을 이용하는 것이 포함됩니다. 랜섬웨어는 이러한 기술을 활용하여 시스템, 특히 계정 보안이 부적절하게 관리되는 시스템에 대한 무단 액세스 권한을 얻습니다.

또한 MIRROR는 위치 데이터를 추출하는 기능을 제공하여 감염된 시스템의 지리적 맥락을 식별할 수 있습니다. 특히, 데이터 추출 범위에서 미리 결정된 위치를 제외하는 기능을 보유하고 있습니다. 또한 MIRROR는 지속성 메커니즘을 통합하여 장기간 동안 손상된 시스템 내에서 발판을 유지할 수 있도록 보장합니다.

MIRROR 랜섬웨어 피해자들은 돈을 갈취당했습니다

MIRROR 랜섬웨어의 몸값 메모는 공격자가 피해자에게 전달하는 통신 역할을 하며 피해자의 모든 파일이 암호화되었음을 명시적으로 명시합니다. 이는 피해자에게 지정된 이메일 주소(tpyrcedrorrim@tuta.io)를 통해 연락을 시작하도록 지시하고 고유 식별자를 제공하여 파일 복원을 위한 잠재적인 방법을 간략하게 설명합니다.

대체 의사소통 수단으로 이 메모에는 또 다른 이메일 주소(mirrorrorrim@cock.li)도 제공됩니다. 특히 이 메모에서는 과다 청구, 부당한 청구, 거래 거부 등의 잠재적인 위험을 언급하면서 의사소통을 위해 중개자를 사용하는 것을 강력히 금지했습니다. 공격자는 암호화된 데이터 복구 서비스를 제공하고 자신의 숙련도를 입증하기 위해 최대 3개의 파일이 포함된 복구 데모를 포함하여 보증을 제공할 수 있는 능력을 주장합니다.

더욱이 랜섬노트는 피해자에게 암호화된 파일의 이름을 바꾸지 말라고 명시적으로 권고하는 경고문을 발행합니다. 또한 제3자 소프트웨어를 통한 암호 해독 시도에 대해 경고하고 영구적인 데이터 손실이나 사기에 대한 취약성의 잠재적인 결과를 강조합니다. 그 목적은 잠재적인 위험을 최소화하면서 성공적인 파일 복구 가능성을 최대화하기 위해 피해자에게 가장 안전한 조치를 취하도록 안내하는 것입니다.

랜섬웨어 감염으로부터 장치를 강화하기 위한 조치를 취하세요

랜섬웨어는 데이터 손실부터 금전적 갈취에 이르기까지 잠재적인 결과를 초래하여 디지털 장치의 보안에 심각한 위협을 가합니다. 이러한 감염으로부터 장치를 강화하려면 사전 조치를 취하는 것이 중요합니다. 사용자가 취할 수 있는 효과적인 5가지 단계는 다음과 같습니다.

• 정기적으로 운영 체제 및 소프트웨어 업데이트 : 업데이트에는 취약성을 해결하는 보안 패치가 포함되는 경우가 많으므로 운영 체제 및 소프트웨어를 최신 상태로 유지하는 것이 중요합니다. 알려진 약점을 악용하는 랜섬웨어의 위험을 줄이기 위해 정기적으로 업데이트를 확인하고 적용하십시오.
• 보안 소프트웨어 설치 및 유지 관리 : 신뢰할 수 있는 보안 소프트웨어를 활용하면 랜섬웨어에 대한 추가 방어 계층이 제공됩니다. 맬웨어 방지 프로그램이 정기적으로 업데이트되는지 확인하고 예약된 검사를 수행하여 잠재적인 위협이 장치를 손상시키기 전에 이를 탐지하고 제거하세요.
• 이메일 첨부 파일 및 링크에 주의하세요 . 랜섬웨어는 악성 첨부 파일이나 링크가 포함된 피싱 이메일을 통해 시스템에 침투하는 경우가 많습니다. 알 수 없는 발신자가 보낸 이메일을 열 때는 각별히 주의하고, 의심스러운 링크를 클릭하지 말고, 적법성이 확인되지 않은 첨부 파일을 다운로드하지 마세요.
• 정기적으로 데이터 백업 : 필수 데이터를 정기적으로 백업하는 것은 중요한 예방 조치입니다. 랜섬웨어 공격에서 최근 백업을 통해 사용자는 강탈에 굴하지 않고 파일을 복원할 수 있습니다. 외부 장치나 보안 클라우드 서비스에 백업을 저장하세요.
• 네트워크 보안 조치 구현 : 네트워크 보안을 강화하면 랜섬웨어 공격을 막을 수 있습니다. 방화벽과 침입 탐지/방지 시스템을 활용하고, 모든 장치와 계정에 고유하고 강력한 비밀번호를 사용하고, 네트워크 분할을 고려하여 감염이 전체 시스템에 미치는 잠재적 영향을 제한하세요.

이러한 조치를 채택함으로써 사용자는 랜섬웨어에 대한 장치의 복원력을 크게 향상하고 귀중한 데이터를 보호하며 디지털 환경의 무결성을 유지할 수 있습니다.

MIRROR 랜섬웨어가 남긴 주요 랜섬노트의 전문은 다음과 같습니다.

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

MIRROR 랜섬웨어가 삭제한 텍스트 파일에는 다음 메시지가 포함되어 있습니다.

'귀하의 모든 데이터가 잠겨 있습니다.

돌아가고 싶나요?

tpyrcedrorrim@tuta.io 또는 mirrorrorrim@cock.li로 이메일을 보내주세요.'