REvil 랜섬웨어
사이버 보안 전문가들은 최근 웹을 유포하는 새로운 랜섬웨어 위협을 발견했습니다. 이 데이터 암호화 트로이 목마는 레빌 랜섬이라고하며 또한으로 알려져있다 Sodinokibi 랜섬 .
침입 및 암호화
악성 코드 전문가들은 REvil 랜섬웨어의 전파에 어떤 방법이 사용되는지에 대해 합의에 도달하지 못했습니다. REvil 랜섬웨어의 작성자는 가장 일반적인 기술 중 일부를 사용하여이 파일 잠금 트로이 목마 (가짜 응용 프로그램 업데이트, 비공식 소스에서 다운로드 한 감염된 불법 복제 소프트웨어, 손상된 첨부 파일이 포함 된 스팸 이메일)를 전파 할 수 있습니다. REvil 랜섬웨어가 시스템에 침투하면 컴퓨터에있는 파일을 빠르게 검사하여 공격을 시작합니다. 목표는 REvil Ransomware가 추적하도록 프로그래밍 된 파일을 찾아 찾는 것입니다. 그런 다음 암호화 프로세스가 트리거되고 모든 대상 파일이 암호화 알고리즘을 사용하여 잠 깁니다. 파일을 잠그면 REvil 랜섬웨어는 파일 이름에 확장자를 추가합니다.이 확장자는 각 피해자에 대해 고유하게 생성 된 임의의 문자열로 구성됩니다 (예 : '.294l0jaf59'). 즉, 원래 이름이 'kitty-litter.jpg'인 파일이 REvil 랜섬웨어의 암호화 과정을 거치면 이름이 'kitty-litter.jpg.294l0jaf59'로 변경됩니다.
이번 주 Malware Ep7 : Revil Ransomware, 유명 고객 법률 사무소 공격
랜섬 노트
다음 단계는 몸값 메모를 삭제하는 것입니다. REvil Ransomware의 메모는 이전에 고유하게 생성 된 확장의 예를 계속 사용하면 '294l0jaf59-HOW-TO-DECRYPT.txt'로 이름이 지정됩니다. 몸값 메시지는 다음과 같습니다.
'-=== 환영합니다. 다시. === ---
[+] 무슨 일입니까? [+]
파일이 암호화되어 현재 사용할 수 없습니다. 확인할 수 있습니다. 컴퓨터의 모든 파일에는 확장 686l0tek69가 있습니다.
그건 그렇고, 모든 것을 복구 (복원) 할 수 있지만 지침을 따라야합니다. 그렇지 않으면 데이터를 반환 할 수 없습니다 (절대).
[+] 무엇을 보장합니까? [+]
그것은 단지 사업입니다. 우리는 혜택을받는 것을 제외하고는 귀하와 귀하의 거래에 절대적으로 관심이 없습니다. 우리가 우리의 일과 책임을 다하지 않으면 아무도 우리와 협력하지 않을 것입니다. 그것은 우리의 이익이 아닙니다.
파일 반환 기능을 확인하려면 당사 웹 사이트로 이동해야합니다. 여기에서 하나의 파일을 무료로 해독 할 수 있습니다. 그것이 우리의 보증입니다.
귀하가 당사 서비스에 협력하지 않을 경우-당사에게는 중요하지 않습니다. 그러나 우리는 개인 키를 가지고 있기 때문에 시간과 데이터를 잃을 것입니다. 실제로 시간은 돈보다 훨씬 더 가치가 있습니다.
[+] 웹 사이트에 액세스하려면 어떻게해야합니까? [+]
두 가지 방법이 있습니다.
1) [권장] TOR 브라우저 사용!
a)이 사이트에서 TOR 브라우저를 다운로드하고 설치합니다 : hxxps : //torproject.org/
b) 웹 사이트를 엽니 다 : hxxp : //aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D
2) 해당 국가에서 TOR가 차단 된 경우 VPN을 사용해보십시오! 그러나 보조 웹 사이트를 사용할 수 있습니다. 이를 위해 :
a) 모든 브라우저 (Chrome, Firefox, Opera, IE, Edge)를 엽니 다.
b) 보조 웹 사이트를 엽니 다 : http://decryptor.top/913AED0B5FE1497D
경고 : 보조 웹 사이트를 차단할 수 있으므로 첫 번째 변형이 훨씬 더 좋고 더 많이 사용 가능합니다.
당사 웹 사이트를 열 때 입력 양식에 다음 데이터를 입력하십시오.
키:
-
확장명 :
294l0jaf59
-------------------------------------------------- ---------------------------------------
!!! 위험 !!!
DONT는 스스로 파일을 변경하려고합니다. DONT는 데이터 또는 바이러스 백신 솔루션을 복원하기 위해 타사 소프트웨어를 사용합니다. 개인 키가 손상 될 수 있으며 결과적으로 모든 데이터가 손실 될 수 있습니다.
!!! !!! !!!
한 번 더 : 파일을 되 찾는 것이 관심사입니다. 우리 쪽에서 우리 (최고의 전문가)는 복원을 위해 모든 것을 만들지 만 방해해서는 안됩니다.
!!! !!! !!! '
공격자들은 몸값으로 $ 2500의 비트 코인을 요구합니다. 그러나 72 시간 이내에 금액을 지불하지 않으면 두 배가되어 $ 5000이됩니다.
REvil Ransomware 작성자가 요구하는 금액은 상당히 많으며,이 데이터 잠금 트로이 목마의 책임이있는 사이버 범죄자와 같은 사이버 범죄자의 요구에 대해 비용을 지불하고 포기하지 않는 것이 좋습니다. 현명한 옵션은 REvil Ransomware와 같은 위협으로부터 시스템을 보호하는 평판이 좋은 바이러스 백신 소프트웨어 제품군을 다운로드하여 설치하는 것입니다.
Grubman Shire Meiselas & Sacks 해킹 및 4,200 만 달러의 몸값 요구
2020 년 5 월 초, REvil 해킹 그룹은 뉴욕에 본사를 둔 로펌 Grubman Shire Meiselas & Sacks (GSMS) 의 시스템을 침해하여 무려 756GB의 민감한 데이터를 암호화하고 훔쳤습니다.
도난당한 파일에는 Elton John, Madonna, Bruce Springsteen, Nicky Minaj, Mariah Carey, Lady Gaga 및 U2를 포함한 수많은 A-list 유명인의 개인 서신, 음악 권리, 비공개 계약, 전화 번호 및 이메일 주소가 포함되었습니다.
뿐만 아니라 해커들은 도널드 트럼프 미국 대통령에 대한 민감한 데이터를 손에 넣었다고 주장했습니다. 이 주장은 REvil 그룹이 인상적인 몸값 요구를 한 이유였습니다. 처음에 공격자들은 2,100 만 달러를 요구했지만 GSMS는 단 365,000 달러의 제안으로 대응했습니다.
이로 인해 사이버 범죄자들의 몸값 요구가 두 배로 늘어 났고, 콘서트, TV 출연 및 판매 계약을 포함한 레이디 가가 법률 문서가 포함 된 2.4GB 아카이브가 게시되었습니다.
레이디 가가 유출의 내용. 출처 : zdnet.com [/ caption]
유출은 또한 트럼프 대통령의``더러운 세탁물 '' 의 석방에 대한 위협을 포함했습니다.
``다음으로 출판 할 사람은 도널드 트럼프입니다. 선거 경주가 진행 중이며 제 시간에 더러운 세탁물을 발견했습니다. 트럼프 씨, 당신이 대통령으로 남아 있길 원한다면 남자들에게 날카로운 막대기를 찌르십시오. 그렇지 않으면 당신은이 야망을 영원히 잊을 수 있습니다. 그리고 유권자들에게 우리는 그러한 출판 이후에 그를 대통령으로보고 싶지 않다는 것을 알려 드릴 수 있습니다. 자, 세부 사항은 생략하겠습니다. 마감일은 일주일입니다. Grubman, 우리가 돈을 보지 못하면 당신의 회사를 무너 뜨릴 것입니다. Travelex의 이야기를 읽어보세요. 매우 유익합니다. 당신은 그들의 시나리오를 일대일로 반복합니다. "
GSMS는 트럼프가 회사의 고객이 아니었다 고 말하면서 위협에 대응했습니다. 해커들은 트럼프에 대해 ``가장 무해한 정보 ''가 포함 된 것으로 알려진 160 개의 이메일 아카이브를 게시했습니다. 그럼에도 불구하고 그들은 미국 대통령을 지나갈 때만 언급했으며 그에게 실제 먼지를 포함하지 않았습니다. 분명히, 위협 행위자들은 '트럼프'에 대한 언급을 방금 검색했으며 유출 된 이메일 중 상당수가 단순히 동사로만 포함했습니다.
한편 GSMS는 FBI가 위반 행위를 테러 행위로 분류했다고 제안하면서 다음과 같이 답변했습니다.
``우리는 전문가들과 FBI로부터 테러리스트들과 협상하거나 몸값을 지불하는 것은 연방법 위반이라는 사실을 알게되었습니다. ''
이것은 가격을 지불 할 용의가있는 사람에게 가치있는 정보를 경매 할 것이라고 말하는 REvil 갱의 태도에 영향을 미치지 않은 것 같습니다.
