Solara Ransomware

Solara는 최근 발견된 랜섬웨어 변종으로, 연구원들은 공개적으로 유포된 Chaos 계열 코드를 기반으로 구축되었다고 말합니다. Solara와 같은 랜섬웨어는 사용자 파일을 암호화하고, 금전을 요구하며, 중요 데이터에 대한 접근을 영구적으로 차단할 수 있으므로 기기와 백업을 보호하는 것이 필수적입니다.

SOLARA가 하는 일

분석 과정에서 Solara는 파일을 암호화하고 파일 이름에 '.solara'라는 문자열을 추가하는 것으로 관찰되었습니다(예: '1.png' → '1.png.solara'). 또한 이 맬웨어는 'read_it.txt'라는 이름의 랜섬웨어 메시지를 유포하는데, 이 메시지에는 피해자가 '크랙 방지' 기능을 활성화했다고 주장하며 온라인 공격자로부터 복호화 도구를 구하도록 유도하는 내용이 포함되어 있습니다. 여러 보고서와 샘플 분석에서 Solara를 Chaos 랜섬웨어 계열과 연관 짓고 있으며, 유사한 동작(암호화, 확장자 대체, 평문 랜섬웨어 메시지)을 보이는 것으로 나타났습니다.

몸값 요구서 및 지불 청구

분석가들이 분석한 랜섬웨어 메시지는 공격자의 복호화 도구 없이는 파일 복구가 '거의 불가능하다'고 주장합니다. 메시지에는 피해자에게 Discord 사용자(xenqxd)에게 연락하라는 내용과 함께 Paysafecard(폴란드) 또는 소액의 비트코인 결제 수단 등을 제안합니다. 특히 일부 샘플에는 의미 있는 연락 채널이 누락되어 있는데, 이는 미숙하거나 장난스러운 공격이거나, 협상할 생각이 없는 공격자임을 시사할 수 있습니다. 이러한 모든 요구는 극도로 의심스러운 태도를 취해야 합니다.

비용을 지불하지 않고도 파일을 복구할 수 있나요?

일반적으로 Chaos 계열 위협으로 암호화된 파일은 적절한 복호화 키 없이는 복구할 수 없습니다. 감염 전의 깨끗한 오프라인 백업이 있다면 복원하는 것이 가장 안전한 방법입니다. 돈을 지불하는 것은 권장하지 않습니다. 범죄자들은 종종 사용 가능한 복호화 도구를 제공하지 않으며, 돈을 지불하면 범죄 행위가 더욱 심화될 수 있습니다.

일반적인 감염 매개체

• 불법 복제 소프트웨어, 키젠, 맬웨어로 위장한 '크랙된' 유틸리티.
• 악성 이메일 첨부 파일 및 링크(Office 매크로, 스크립트, EXE).
• 감염된 광고, 손상되었거나 비공식적인 다운로드 사이트, P2P/토런트 네트워크, USB 드라이브 및 타사 다운로더.

감염이 의심되는 경우 즉각적인 조치

즉시 장비를 격리하세요 . 네트워크(유선/Wi-Fi)에서 연결을 끊고 공유/네트워크 드라이브의 마운트를 해제하여 측면 확산을 막으세요.

증거 보존 : 메모리나 법의학적 유물을 수집하는 경우 전원을 껐다가 켜지 말고, 대신 메모리와 디스크 이미지를 캡처할 수 있는 능력이 있다면 캡처하거나 사고 대응에 전화하세요.

백업을 사용하세요 . 맬웨어가 제거되고 시스템이 재구축되면 신뢰할 수 있는 백업에서 복원하세요. 감염 당시 연결되었을 수 있는 백업은 복원하지 마세요.

사고 대응팀이 모든 옵션과 결과를 평가하기 전까지는 비용을 지불하지 마십시오. 비용을 지불해도 효과가 보장되지 않으며 향후 공격을 부추길 수 있습니다.

최상의 보안 관행

다음 관행을 일상 업무에 포함하여 최신의 다층적 방어 체계를 유지하세요.

패치 관리 : OS 및 애플리케이션 보안 업데이트를 신속하게 적용합니다. 많은 랜섬웨어 변종은 알려지고 패치된 취약점을 악용합니다.

최소 권한 및 계정 위생 : 관리자가 아닌 계정으로 사용자를 실행하고, 원격 액세스 및 권한이 있는 계정에 대해 강력한 다중 요소 인증을 시행하고, 비정상적인 로그인 동작을 모니터링합니다.

백업 전략 : 정기적으로 백업을 생성하고 네트워크와 분리하여 보관하십시오. 백업은 암호화 공격에 대한 가장 효과적인 복구 수단입니다.

엔드포인트 보호 및 EDR : 실행 이상 징후를 탐지하고, 악성 페이로드를 차단하며, 신속한 봉쇄를 지원하는 신뢰할 수 있는 엔드포인트 탐지 및 대응 솔루션을 구축하세요. 시그니처 및 원격 분석 기능을 활성화하세요.

사용자 교육 및 피싱 방지 : 크랙/키젠 실행을 피하고, 이메일 발신자와 링크를 확인하고, 예상치 못한 첨부 파일을 의심스럽게 처리하도록 사용자를 교육합니다. 모의 피싱 및 인식 캠페인을 통해 인적 위험 요소를 줄입니다.

응용 프로그램 제어 및 매크로 제한 : 기본적으로 Office 매크로를 비활성화하고, 일반적인 남용 위치(예: %AppData%, 임시 폴더)에서 실행을 차단하고, 가능한 경우 응용 프로그램 허용 목록을 사용합니다.

마무리 노트

Solara는 공개적으로 이용 가능한 랜섬웨어 빌더와 관련된 일반적인 위험을 보여줍니다. 포크와 변종이 급증하고, 공격자는 특정 커뮤니티를 표적으로 삼기 위해 배포 방식을 지속적으로 변경합니다(보고서에서는 게임 포럼과 불법 복제 소프트웨어 채널을 유력한 미끼로 지적합니다). 최선의 방어책은 예방, 강력한 백업, 신속한 격리, 그리고 훈련된 대응팀과의 협력, 그리고 몸값을 지불하지 않는 것입니다. 침해가 의심되고 단계별 복구 지원이 필요한 경우, 샘플 지표(파일 이름, 해시, 몸값 메모 텍스트)를 수집하고 신뢰할 수 있는 사고 대응 기관이나 보안 공급업체에 격리 및 복구 지침을 문의하십시오.