RADAR 랜섬웨어

오늘날의 디지털 시대에는 맬웨어 위협으로부터 장치를 보호하는 것이 중요합니다. 특히 유해한 유형의 맬웨어 중 하나인 랜섬웨어는 파일을 암호화하고 해독에 대한 비용을 요구함으로써 심각한 위험을 초래합니다. 이러한 위협을 이해하고 보호하는 것은 개인과 조직 모두에게 필수적입니다.

RADAR 랜섬웨어: 개요

연구원들은 RADAR라는 새로운 랜섬웨어 위협을 확인했습니다. 이 위협적인 소프트웨어는 감염된 장치의 파일을 암호화한 다음 암호 해독에 대한 대가를 요구하도록 특별히 설계되었습니다. RADAR 랜섬웨어의 작업 방식에는 파일을 암호화하고 파일 이름에 임의의 문자열을 추가하여 예를 들어 '1.png'를 '1.png.W8M8ePNp'로 변환하는 것이 포함됩니다.

실행 후 동작

랜섬웨어가 손상된 장치에서 실행되면 일련의 유해한 작업을 수행합니다.

• 파일 암호화 : RADAR는 피해자의 파일을 암호화하고 임의의 문자열을 추가하여 파일 이름을 변경합니다.
• 데스크탑 변경 : 랜섬웨어는 감염을 알리기 위해 데스크탑 배경화면을 수정합니다.
• 랜섬노트 생성 : 'README_FOR_DECRYPT.txt'라는 제목의 랜섬노트가 생성되어 피해자에게 암호화 및 데이터 도난 사실을 알립니다.

랜섬노트 세부정보

몸값 메모에는 요구 사항과 위협이 명시되어 있습니다. 먼저 피해자에게 파일이 암호화되었음을 알리고 몸값을 지불하지 않으면 수집된 데이터가 유출될 것이라고 경고합니다. 주장의 심각성을 강조하기 위해 이 메모에는 사이버 범죄자의 이전 공격 및 데이터 유출에 대한 세부 정보가 포함되어 있습니다. 피해자는 몸값을 지불하기 전에 5~10개의 파일에 대한 암호 해독을 테스트할 수 있습니다. 또한 이 메모는 피해자에게 잠긴 파일의 이름을 바꾸거나 수정하거나 삭제하지 말라고 경고합니다. 이러한 행위로 인해 암호 해독이 불가능해질 수 있습니다. 또한 당국에 연락하면 유출된 데이터가 자동으로 공개될 것이라고 위협합니다. 마지막으로, 이 메모에서는 제3자 복구 회사에 도움을 요청하지 말라고 조언하며 이로 인해 재정적 손실이 증가할 것이라고 주장했습니다.

암호 해독의 과제

연구원들은 사이버 범죄자의 도움 없이 파일을 해독하는 것이 어렵다는 점을 강조합니다. RADAR를 포함한 대부분의 랜섬웨어는 공격자가 필요한 키를 제공하지 않는 한 암호 해독 시도에 대한 저항력이 뛰어나도록 설계되었습니다. 몸값을 지불하는 것조차 위험합니다. 공격자가 암호 해독 도구를 보내겠다는 약속을 거의 지키지 않기 때문입니다.

추가 데이터 암호화를 방지하려면 운영 체제에서 RADAR 랜섬웨어를 제거하는 것이 중요합니다. 그러나 제거해도 이미 암호화된 파일은 복원되지 않습니다.

랜섬웨어로부터 보호하기 위한 보안 조치

RADAR와 같은 랜섬웨어로부터 장치를 보호하려면 다음 보안 조치를 구현하는 것이 필수적입니다.

• 정기 백업 : 모든 중요한 데이터를 정기적으로 외부 드라이브나 클라우드 서비스에 백업하여 몸값을 지불하지 않고도 파일을 복원할 수 있습니다.
• 소프트웨어 업데이트 : 최신 보안 패치로 업그레이드된 운영 체제와 애플리케이션을 유지합니다.
• 맬웨어 방지 도구 : 평판이 좋은 맬웨어 방지 프로그램을 사용하여 랜섬웨어가 피해를 입히기 전에 이를 찾아내고 동결시킵니다.
• 이메일 경계 : 특히 알 수 없는 발신자가 보낸 이메일 첨부 파일 및 링크는 랜섬웨어 배포의 일반적인 벡터이므로 주의하십시오.
• 네트워크 보안 : 무단 액세스를 방지하기 위해 방화벽을 포함한 강력한 네트워크 보안 조치를 구현합니다.
• 사용자 교육 : 랜섬웨어 및 기타 유형의 맬웨어의 위험과 안전한 온라인 관행의 중요성에 대해 직원과 사용자를 교육합니다.
• 액세스 제어 : 중요한 시스템 및 데이터에 대한 사용자 액세스를 규제하여 랜섬웨어 공격의 잠재적 영향을 최소화합니다.

이러한 예방 조치를 취함으로써 사용자는 랜섬웨어 감염 가능성을 크게 줄이고 사이버 범죄자로부터 귀중한 데이터를 보호할 수 있습니다.

RADAR 랜섬웨어 피해자에게 남겨진 랜섬노트 전문은 다음과 같습니다.

'RADAR

Your network has been breached and all major data were encrypted.
Important files have been downloaded from your servers and are ready to be published on TOR blogs.

To decrypt all the data and prevent exfiltrated files to be disclosed on TOR blogs, dataleak forums, dataleak databases, telegram channels etc with lot of tags/videos on twitter/facebook you should purchase our decryption tool. We will provide you a proof video how our Decryption Tool works.

Please contact our sales department at Skype: [redacted]
We appreciate and respect everyone, that's why in Skype you will get a proof, we will record a video of 5-10 files of your choice.

Follow the guidelines below to avoid losing your data:

Do not modify, rename or delete encrypted files. In result your data will be undecryptable.

Do not modify or rename encrypted files. You will lose them.

Do not report to the Police, FBI, etc. They don't care about your business. They simply won't allow you to pay. As a result you will lose everything and your data, recorded data on videos etc will be published.

Do not hire a recovery company. They can't decrypt files without our Decryption Tool. They also don't care about your business. They believe that they are good negotiators, but it is not. They usually fail. You should contact with us yourself and we'll guarantee you 10077BCB65CA365CF885446C7CB6B4ABA99uccessful decryption without any loss + exfiltrated data erasing from our servers.

Do not reject to purchase RADAR Decryptor from us, otherwise exfiltrated files will be publicly disclosed with video of files.

P.S. Do not repeat the same mistakes as other companies did with us, for example our old case with a small Spain Company: [redacted] Their Website - [redacted]
Our media team published files and videos, because they didn't pay as in time. Small part of proofs:
[redacted]
[redacted]
[redacted]
[redacted]
Lot of telegram channels like [redacted] , [redacted] , all darkweb resources list from here - [redacted]

We have a direct contact with a list of ransomware owners in jabber and tox, you can see all the companies that refused to cooperate with us, TOR/onion URLs: hxxp://xb6q2aggycmlcrjtbj[redacted]sqb4nx6cmod3emy7sad.onion
hxxp://mbrlkbtq5jonaqkurj[redacted]4rgjbkkknndqwae6byd.onion
hxxp://bianlianlbc5an4kgn[redacted]gczopmm3dnbz3uaunad.onion/
hxxp://alphvmmm27o3abo3r2[redacted]5xsj7j7ejksbpsa36ad.onion
htxxp://knight3xppu263m7g4[redacted]h7vjdc3zrscqlfu3pqd.onion/

For [redacted] we hired 3rd party team of data analysts with OSINT-specialists. Because of adding such 3rd parties, the price for Decryption Tool and exfiltrated data erasing has been increased. In result they suffered significant problems due disastrous consequences, leading to loss of valuable intellectual property and other sensitive information, GDPR issues, costly incident response efforts, information misuse/abuse, loss of customer trust, brand and reputational damage, legal and regulatory issues. And it will never end for them, as their files are constantly downloaded and videos are viewed by people from all over the World.
That's why we don't recommend to ignore us.

Let's respect each others time.
With best Regards, RADAR'