다중 라이센스 할인 견적
위협 데이터베이스 랜섬웨어 RDAT 랜섬웨어

RDAT 랜섬웨어

랜섬웨어년에 Mezo 년까지
번역 :

랜섬웨어는 개인 사용자와 조직이 직면한 가장 파괴적인 위협 중 하나입니다. 단 한 번의 침입으로 문서, 사진, 비즈니스 데이터가 몇 분 만에 암호화되고, 피해자는 접근 권한을 갈취당할 수 있습니다. Dharma 계열의 변종인 RDAT 랜섬웨어는 다층적인 방어 체계와 체계적인 복구 계획이 왜 필수적인지 보여줍니다.

위협 프로필: RDAT 개요

정보보안 연구원들은 신종 악성코드에 대한 광범위한 검토 과정에서 RDAT를 발견했습니다. 이는 데이터 탈취를 목적으로 제작된 Dharma 변종으로, 파일을 암호화하고 피해자에게 복호화 비용을 지불하도록 강요합니다. RDAT는 로컬 드라이브와 네트워크 공유 모두를 공격하며, 중요 시스템 파일은 의도적으로 피하여 기기 부팅을 유지하고 피해자가 랜섬웨어 메시지를 읽을 수 있도록 합니다.

피해자들이 보는 것

RDAT가 실행되면 다양한 파일 형식이 암호화됩니다. 파일 이름은 고유 피해자 ID, 공격자의 이메일 주소, 그리고 '.RDAT' 확장자를 포함하도록 변경됩니다. 예:
1.png는 1.png.id-9ECFA84E.[dat@mailum.com].RDAT가 됩니다.

두 개의 몸값 요구 메시지가 이어집니다. 파일이 암호화되었다는 팝업 창과 연락 방법이 적힌 'DAT_INFO.txt'라는 텍스트 파일입니다. 운영자는 증거로 최대 3개의 파일(크기/형식 제한 있음)을 복호화해 주겠다고 제안하지만, 타사 도구를 사용하거나 암호화된 데이터를 수정하면 영구적인 손실이 발생할 수 있다고 경고합니다. 이러한 전략은 신뢰를 구축하고 긴급성을 높이기 위한 것이지, 피해자를 돕기 위한 것이 아닙니다.

RDAT가 어떻게 유지되고 확산되는지

RDAT는 Dharma의 지속성 및 복구 방지 플레이북을 계승합니다. 이 맬웨어는 %LOCALAPPDATA%에 자기 자신을 복사하고, 특정 실행 키를 통해 자동 실행 항목을 등록한 후 재부팅 후 다시 실행됩니다. 빠른 복구를 차단하기 위해 볼륨 섀도 복사본을 삭제합니다. 암호화하기 전에 파일을 열어둘 수 있는 프로세스(데이터베이스, 문서 판독기 등)를 종료하여 최대한의 보호 범위를 확보합니다. 또한 알려진 목록과 비교하여 다른 랜섬웨어에 의해 이미 감염된 데이터의 '이중 암호화'를 방지하는데, 이는 불완전한 안전 검사입니다.

타겟 선택 및 지오펜싱

이 악성코드는 피해자가 몸값을 지불할 가능성이 있는지 판단하기 위해 위치 정보를 수집합니다. 해당 지역이 경제적 또는 지정학적 이유로 불리한 것으로 판단되면 암호화를 완전히 생략할 수 있습니다. 이러한 행위는 순전히 몸값 획득을 극대화하기 위한 것입니다.

왜 지불하는 것이 손해를 보는 도박인가

랜섬웨어 공격 후, 공격자의 키 없이는 복호화가 거의 불가능합니다. 단, 공격에 심각한 결함이 있는 경우는 예외입니다. 설사 그렇다 하더라도, 돈을 지불하는 것은 위험합니다. 많은 피해자들이 제대로 작동하는 복호화 도구를 받지 못하기 때문입니다. 또한, 돈을 지불하면 추가 공격 자금으로 활용됩니다. 가장 중요한 것은 악성코드를 제거하고, 신뢰할 수 있는 백업을 통해 시스템을 재구축하고, 재발 방지를 위해 시스템을 강화하는 것입니다.

확인된 배송 채널

다르마 계열 침입은 노출되었거나 보호 수준이 낮은 원격 데스크톱 프로토콜(RDP)에서 시작되는 경우가 많습니다. 공격자는 무차별 대입 공격과 사전 공격에 의존하며, 일단 침투하면 호스트 방화벽을 무력화시킬 수 있습니다. RDP 외에도 이 생태계는 피싱 및 소셜 엔지니어링, 멀버타이징, 신뢰할 수 없는 소프트웨어 소스, 스팸 첨부 파일, 로더/백도어 트로이 목마를 활용합니다. 악성 페이로드는 일반적으로 아카이브(RAR/ZIP), 실행 파일, 스크립트(JavaScript 포함), 문서(PDF, Office, OneNote) 형태로 배포됩니다. 특정 계열은 로컬 네트워크와 이동식 미디어를 통해서도 전파됩니다.

격리 및 복구

랜섬웨어를 제거하여 추가적인 암호화를 차단하되, 제거하더라도 잠긴 파일은 복원되지 않는다는 점을 명심하십시오. 복구에는 버전이 지정된 깨끗한 백업이 필요합니다. 가장 좋은 방법은 맬웨어가 접근할 수 없는 오프라인 저장소를 포함하여 여러 위치와 미디어 유형에 복사본을 보관하는 것입니다.

랜섬웨어 위협에 대한 일반적인 접근 및 배포 벡터는 다음과 같습니다.

  • 노출/취약한 RDP 서비스, 자격 증명 채우기 및 무차별 대입 공격 로그인
  • 피싱 이메일, 소셜 엔지니어링 유인물, 스팸 첨부 파일 및 링크, 악성 광고, 트로이 목마 다운로드, 드라이브바이 다운로드, 불법 복제 소프트웨어 및 '크랙', 가짜 업데이터, 로더/백도어 감염; LAN 및 이동식 USB/저장 장치를 통한 측면 확산

결론

RDAT 랜섬웨어는 엄격하고 이익 지향적인 다르마(Dharma) 변종입니다. 재부팅 후에도 계속 활동하고, 복구 지점을 삭제하며, 로컬 및 공유 데이터를 모두 공격하고, 대가를 요구하기 위한 압박 전술을 무기화합니다. 회복력을 확보하는 가장 확실한 방법은 사전 예방적 강화, 강력하고 오프라인에서도 사용 가능한 백업, 그리고 철저한 복구 연습입니다. 대가를 지불하지 마십시오. 근절하고, 복구하고, 다음 시도를 막기 위해 방어 체계를 강화하십시오.

메시지

RDAT 랜섬웨어와 관련된 다음 메시지가 발견되었습니다.

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: datret@tuta.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:dat@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

TELEGRAM

write to us by telegram:
@returndat

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note presented as a text file:
all your data has been locked us

You want to return?

write email dat@mailum.com or datret@tuta.com or @returndat

트렌드

Marmose.app

맥 맬웨어, 애드웨어, 잠재적으로 원하지 않는 프로그램
끊임없이 변화하는 사이버 보안 환경에서 Mac 사용자들도 디지털 침입자의 수법에서 자유롭지 않습니다. 잠재적으로 원치 않는 프로그램(PUP)은 기기의 무결성을 손상시키고, 사용자 개인 정보를 침해하며, 더 심각한 감염 가능성을 만들어 심각한 위협을 초래할 수 있습니다. 이러한 사례 중 하나는 macOS 시스템을 표적으로 삼는 사기성 애플리케이션인...

Germantopsuper.pw

불량 웹사이트, 애드웨어
Germantopsuper.pw는 기만적인 내용을 담고 있는 신뢰할 수 없는 웹사이트입니다. 주요 목적은 전술을 홍보하고 스팸 브라우저 알림을 생성하는 것입니다. 또한 방문자를 다른 웹사이트로 리디렉션하는 기능도 있는데, 그 중 다수는 유사하게 신뢰할 수 없거나 심지어 위험할 수도 있습니다. 이 악성 웹 페이지는 일반적으로 악성 광고 네트워크를...

SparkKitty 모바일 맬웨어

모바일 맬웨어, 도둑들
전 세계 TikTok Shop 사용자를 표적으로 삼는 광범위한 사이버 범죄 활동이 진행되고 있습니다. 피싱 전술과 악성코드가 포함된 애플리케이션을 강력하게 조합하여 사용하고 있습니다. 이 계획의 핵심은 가짜 TikTok 앱에 내장된 은밀하고 강력한 악성코드인 SparkKitty입니다. 이 캠페인은 전자상거래를 장려하는 것처럼 보이지만, 실제로는 사용자...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
58,286
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
44,263
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
44,074
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...