SHTORM 랜섬웨어
SHTORM은 감염된 컴퓨터의 파일을 암호화하고 암호 해독 키를 대가로 금전을 요구하는 일종의 랜섬웨어입니다. SHTORM의 첫 번째 인스턴스는 2019년에 탐지되었으며 이후 전 세계적으로 수많은 공격을 일으켰습니다. SHTORM 랜섬웨어는 Phobos Ransomware 위협군에 속합니다.
목차
SHTORM 랜섬웨어가 컴퓨터에 침투하는 방법
SHTORM 랜섬웨어는 일반적으로 토렌트 웹사이트, 손상된 이메일, 안전하지 않은 광고 또는 피해자 컴퓨터의 소프트웨어 취약성을 통해 전달됩니다. 일단 설치되면 문서, 이미지 및 아카이브와 같이 암호화할 특정 파일 유형에 대해 컴퓨터를 스캔합니다. 암호화된 파일은 고유한 확장자 '.SHTORM'으로 이름이 바뀌며, 암호화된 파일이 포함된 각 폴더에는 info.hta와 info.txt라는 두 개의 랜섬노트가 남습니다.
SHTORM 랜섬웨어가 전달한 랜섬노트
몸값 메모에는 일반적으로 비트코인 또는 다른 암호화폐에서 요구되는 몸값 지불 방법에 대한 지침이 포함되어 있습니다. 또한 몸값을 협상하기 위해 공격자와 연락할 수 있는 수단을 제공합니다. 이 경우 주소는 mjk20@tutanota.com(이메일), @Stop_24(텔레그램), Tox 메신저입니다.
다른 유형의 랜섬웨어와 마찬가지로 SHTORM은 기업과 개인에게 상당한 혼란과 재정적 손실을 초래할 수 있습니다. 따라서 소프트웨어를 최신 상태로 유지하고 강력한 암호를 사용하며 알 수 없는 발신자가 보낸 이메일과 첨부 파일을 열 때 주의하는 등 감염 예방 조치를 취하는 것이 필수적입니다. 또한 랜섬웨어 공격에 대비하여 중요한 파일을 정기적으로 백업하고 안전한 위치에 보관하는 것이 좋습니다.
SHTORM 랜섬웨어 감염 시 대응 방법
컴퓨터가 SHTORM 랜섬웨어에 감염되면 첫 번째 단계는 즉시 인터넷 연결을 끊는 것입니다. 이렇게 하면 감염이 더 이상 확산되지 않고 추가 데이터가 암호화되지 않습니다. 또한 시스템에서 맬웨어 방지 검사를 실행하여 공격에 사용되었을 수 있는 모든 악성 파일을 탐지해야 합니다.
시스템이 더 이상 인터넷에 연결되어 있지 않다고 확신하면 어떤 파일이 SHTORM에 의해 암호화되었는지 확인하십시오. 가능하면 이러한 암호화된 파일을 외부 저장 장치 또는 클라우드 스토리지 서비스에 백업하여 몸값 요구를 지불하지 않기로 결정한 경우 완전히 손실되지 않도록 하십시오.
몸값을 지불한 후 암호 해독 키를 받거나 모든 암호화된 파일의 잠금을 해제한다는 보장이 없으므로 절대 몸값을 지불하려고 시도해서는 안 됩니다. 대신 상황을 평가하고 최선의 진행 방법에 대한 조언을 제공할 수 있는 보안 전문가에게 문의하십시오. 그들은 몸값을 지불하지 않고 파일을 복구할 수 있습니다.
다음은 SHTORM 랜섬웨어가 피해자에게 제공한 info.txt 랜섬 노트입니다.
'모든 파일이 암호화되었습니다!
PC의 보안 문제로 인해 모든 파일이 암호화되었습니다. 복원을 원하시면 mjk20@tutanota.com으로 이메일을 보내주세요.
메시지 9ECFA84E-3351의 제목에 이 ID를 쓰십시오.
24시간 이내에 응답을 받지 못한 경우 Telegram.org 계정(@Stop_24)으로 문의하십시오.
또는 TOX 메신저: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD
여기 hxxps://tox.chat/에서 TOX 메신저를 다운로드할 수 있습니다.
Bitcoins에서 암호 해독 비용을 지불해야 합니다. 가격은 당신이 우리에게 얼마나 빨리 편지를 쓰는지에 달려 있습니다. 결제 후 모든 파일을 해독하는 도구를 보내드립니다.
보증으로 무료 암호 해독
지불하기 전에 무료 암호 해독을 위해 최대 3개의 파일을 보낼 수 있습니다. 파일의 총 크기는 4Mb 미만(아카이브되지 않음)이어야 하며 파일에 중요한 정보가 포함되어서는 안 됩니다. (데이터베이스, 백업, 대형 엑셀 시트 등)
비트코인을 얻는 방법
비트코인을 구매하는 가장 쉬운 방법은 LocalBitcoins 사이트입니다. 등록하고 '비트코인 구매'를 클릭한 다음 결제 수단과 가격으로 판매자를 선택해야 합니다.
hxxps://localbitcoins.com/buy_bitcoins
또한 여기에서 Bitcoins 및 초보자 가이드를 구입할 수 있는 다른 장소를 찾을 수 있습니다.
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
주목!
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터를 해독하려고 시도하지 마십시오. 데이터가 영구적으로 손실될 수 있습니다.
제3자의 도움으로 파일을 해독하면 가격이 올라가거나(그들은 우리에게 수수료를 추가합니다) 사기의 피해자가 될 수 있습니다.'
info.hta 랜섬 메시지는 다음과 같습니다.
'!!!모든 파일이 암호화됩니다!!!
암호를 해독하려면 다음 주소로 이메일을 보내십시오: mjk20@tutanota.com.
24시간 내에 응답하지 않으면 텔레그램으로 메시지를 보내주세요: @Stop_24
또는 TOX 메신저로 저희를 보내주세요: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD'
