REVRAC(Makop) 랜섬웨어
랜섬웨어의 위협은 그 어느 때보다 심각합니다. 데이터 유출과 악성코드 공격이 끊임없이 뉴스 헤드라인을 장식하는 가운데, 사용자들은 경계를 늦추지 않고 강력한 사이버 보안 조치를 취하는 것이 매우 중요합니다. 최근 유포되고 있는 위협 중 하나는 새롭게 발견된 REVRAC 랜섬웨어 변종입니다. 이 변종은 Makop 랜섬웨어 계열에 속하는 정교하고 파괴력이 매우 강한 변종입니다. 본 분석에서는 이 위협의 작동 방식, 감염 방법, 그리고 가장 효과적인 방어 방법을 심층적으로 살펴봅니다.
목차
위험한 반전이 있는 친숙한 이름
REVRAC이라는 랜섬웨어가 과거에도 발견되었지만, 현재 변종은 완전히 새롭고 위험한 진화형입니다. 이 버전은 공격적인 암호화와 파괴적인 기능으로 유명한 Makop 랜섬웨어 계열과 확실히 연관되어 있습니다. REVRAC은 대상 시스템에서 실행되면 문서, 이미지, 데이터베이스 및 기타 중요한 데이터를 포함한 사용자 파일을 즉시 암호화하기 시작합니다.
감염된 파일의 이름은 특정한 패턴에 따라 변경됩니다. 원래 파일 이름은 피해자의 고유 ID, 공격자의 이메일 주소, 그리고 '.REVRAC 확장자'를 포함하도록 수정됩니다. 예를 들어, '1.png'와 같은 파일은 '1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC'로 이름이 변경됩니다.
랜섬웨어는 파일을 잠그는 것 외에도 시스템 바탕 화면을 변경하고 '+README-WARNING+.txt'라는 이름의 몸값 요구 메모를 생성합니다. 이 메모에는 공격자의 요구 사항이 간략하게 설명되어 있으며, 타사 도구를 사용하거나 파일 이름을 변경하면 영구적인 손상이나 몸값 요구가 증가할 수 있다는 내용의 경고가 포함되어 있습니다.
몸값 요구서: 고의적 강탈
REVRAC이 남긴 랜섬웨어 메시지는 공포와 긴박감을 통해 피해자들에게 강제로 랜섬웨어를 실행하도록 유도하는 것을 목표로 합니다. 랜섬웨어는 공격자만 보유한 고유 복호화 키 없이는 파일을 복구할 수 없다고 경고합니다. 피해자는 파일 이름에 표시된 개인 ID를 'onlybuy@cyberfear.com'으로 보내주시기 바랍니다. 랜섬웨어 메시지는 암호화된 데이터를 무단으로 복호화하거나 수정하려는 시도는 돌이킬 수 없는 데이터 손실로 이어질 수 있다고 강조합니다.
이러한 주장에도 불구하고, 사이버 보안 전문가들은 몸값을 지불하지 말 것을 강력히 권고합니다. 몸값을 지불한다고 해서 파일이 복구된다는 보장은 없으며, 몸값을 지불하는 것은 더 큰 범죄 활동을 부추길 뿐입니다.
REVRAC이 시스템을 감염시키는 방법
REVRAC 랜섬웨어는 다양한 사기성 및 악의적인 수법을 통해 확산됩니다. 일반적인 감염 경로는 다음과 같습니다.
가짜 소프트웨어 설치 프로그램 : 크랙된 프로그램, 키 생성기 또는 승인되지 않은 활성화 도구로 위장한 맬웨어입니다.
피싱 이메일 : 사용자를 속여 악성 첨부 파일을 다운로드하거나 위험한 링크를 클릭하게 만드는 메시지입니다.
침해된 웹사이트 및 광고 : 합법적으로 보이는 웹사이트나 광고이지만 비밀리에 악성 소프트웨어를 설치합니다.
이동식 미디어와 네트워크 전파 : USB 드라이브를 통해 확산되거나 연결된 시스템을 통해 측면적으로 확산되는 감염입니다.
소프트웨어 취약점 악용 : 합법적인 소프트웨어의 패치되지 않은 버그를 이용해 랜섬웨어 페이로드에 접근하고 실행합니다.
맬웨어는 실행 파일(.exe), 문서 파일(.docx, .xls), 스크립트 파일(.js, .vbs) 또는 아카이브 파일(.zip, .rar) 등의 파일 형식에 내장되는 경우가 많습니다.
랜섬웨어 감염을 예방하기 위한 모범 사례
REVRAC과 같은 위협으로부터 방어하려면 사용자는 다층적이고 선제적인 사이버 보안 접근 방식을 채택해야 합니다. 가장 효과적인 보안 관행은 다음과 같습니다.
- 모든 운영체제, 애플리케이션, 보안 도구를 항상 최신 상태로 유지하세요.
- 실시간 보호 기능을 갖춘 평판 좋은 바이러스 백신이나 맬웨어 방지 솔루션을 사용하세요.
- 알 수 없는 출처의 Microsoft Office 파일에서 매크로를 비활성화합니다.
결론: 경계하고 보호받으세요
REVRAC 랜섬웨어는 랜섬웨어가 어떻게 끊임없이 진화하여 더욱 표적화되고 파괴적인 양상을 보이는지를 보여주는 강력한 사례입니다. Makop 계열과의 연관성은 심각한 피해를 초래할 가능성을 보여줍니다. 하지만 소프트웨어 위생 관리부터 사용자 교육 및 백업 루틴에 이르기까지 적절한 예방 조치를 취한다면 개인과 조직 모두 사이버 범죄자의 손아귀에 넘어가는 데이터와 시스템을 보호할 수 있습니다. 랜섬웨어에 맞서는 가장 강력한 도구는 예방입니다.
메시지
REVRAC(Makop) 랜섬웨어와 관련된 다음 메시지가 발견되었습니다.
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
