Tianrui Ransomware
랜섬웨어 공격은 가장 파괴적인 사이버 위협 중 하나가 되어 개인과 조직에 상당한 재정적, 운영적 피해를 입혔습니다. 이러한 손상 프로그램은 파일을 암호화하여 액세스할 수 없게 만들고 암호 해독에 대한 비용을 요구합니다. 사이버 범죄자는 종종 민감한 데이터를 훔쳐 강탈에 활용하여 위협을 확대합니다. Tianrui와 같은 랜섬웨어가 점점 더 정교해지고 있으므로 장치와 데이터를 보호하기 위한 사전 조치를 취하는 것이 중요합니다.
목차
Tianrui 랜섬웨어: 새롭고 위협적인 변종
Tianrui 랜섬웨어는 Hush , MoneyIsTime , Boramae 와 같은 다른 알려진 랜섬웨어 패밀리와 유사한 점을 공유하는 새롭게 발견된 맬웨어 변종입니다. Tianrui는 다른 랜섬웨어와 마찬가지로 피해자의 파일을 암호화하고 복호화에 대한 몸값을 요구하도록 설계되었습니다.
Tianrui의 운영 방식
Tianrui는 장치를 감염시키면 암호화된 파일에 고유 ID와 '.tianrui' 확장자를 추가합니다. 예를 들어 '1.png'라는 이름의 파일은 다음과 같은 이름으로 변경됩니다.
'1.png.{9D2E69B0-DE01-B101-914B-5F2CBAAA094E}.tianrui'
암호화 후 랜섬웨어는 'README.TXT'라는 텍스트 파일에 랜섬 노트를 생성합니다. 이 파일에는 피해자가 일반적으로 몸값을 지불하여 데이터에 다시 액세스하는 방법에 대한 지침이 포함되어 있습니다.
몸값 편지와 협박 전술
몸값 메모는 피해자에게 파일이 잠겼다고 경고하고 몸값을 지불하지 않으면 데이터가 유출될 것이라고 위협합니다. 피해자는 12시간 이내에 공격자에게 연락하여 몸값의 50% 할인을 받도록 촉구받습니다. 그러나 전문가들은 공격자가 작동하는 복호화 키를 제공할 것이라는 보장이 없으므로 지불하지 말라고 경고합니다.
또한 Tianrui의 운영자는 외부 간섭으로 인해 암호 해독이 불가능해질 수 있다고 주장하며 제3자 복구 시도에 대해 경고합니다. 이러한 두려움 전략은 피해자에게 요구 사항을 따르도록 압력을 가하기 위한 것입니다.
몸값을 지불하는 것이 나쁜 생각인 이유
- 파일 복구 보장 없음 : 몸값을 지불하더라도 피해자가 작동하는 복호화 도구를 받을 것이라는 확신은 없습니다. 많은 랜섬웨어 그룹은 복호화 키를 제공하지 않고 돈을 가져갑니다.
- 범죄 활동 장려 : 몸값을 지불하면 범죄 활동에 자금이 지원되어 사이버 범죄자들이 공격을 계속할 수 있습니다. 또한 미래의 피해자들이 기꺼이 돈을 지불할 것이라는 신호로, 더욱 집중적인 랜섬웨어 캠페인으로 이어집니다.
- 이중 강탈의 가능성 : 많은 랜섬웨어 운영자는 이중 강탈을 저지르며, 복호화에 대한 비용을 요구하고 도난당한 데이터를 유출하겠다고 위협합니다. 비용을 지불한 후에도 피해자는 여전히 데이터가 노출되거나 다시 강탈당할 수 있습니다.
천루이가 퍼지는 방법
사이버 범죄자들은 랜섬웨어를 배포하기 위해 다음을 포함한 다양한 전술을 사용합니다.
- 피싱 이메일: 사기성 이메일 첨부 파일이나 링크를 통해 사용자를 속여 랜섬웨어를 다운로드하게 합니다.
- 트로이 목마 소프트웨어 : 가짜 또는 해킹된 소프트웨어에는 숨겨진 맬웨어가 포함되어 있을 수 있습니다.
- 드라이브바이 다운로드: 침해된 웹사이트를 방문하면 은밀한 랜섬웨어 다운로드가 발생할 수 있습니다.
- 이동식 저장 장치: USB 드라이브와 외장 하드 디스크는 시스템 간에 맬웨어를 퍼뜨릴 수 있습니다.
- 가짜 업데이트 및 사기성 웹사이트: 사기성 브라우저 팝업과 업데이트 메시지는 보안 픽스라는 명목으로 맬웨어를 설치합니다.
Tianrui 및 기타 랜섬웨어로부터 보호하기 위한 최상의 보안 관행
- 정기적으로 데이터 백업 : 기본 시스템에 연결되지 않은 오프라인 백업을 사용합니다. 백업은 버전 기록이 활성화된 외부 드라이브나 클라우드 스토리지 서비스에 저장해 둡니다. 백업이 제대로 작동하는지 주기적으로 확인합니다.
- 강력한 엔드포인트 보호 활성화 : 위협을 탐지하고 차단할 수 있는 안정적인 랜섬웨어 방지 소프트웨어를 설치합니다. 모든 보안 소프트웨어를 최신 상태로 유지하여 새로운 위협으로부터 방어합니다.
- 피싱 이메일에 주의하세요 : 알 수 없거나 의심스러운 발신자의 첨부 파일이나 링크에 절대 접근하지 마세요. 문법 오류, 긴급 요청, 비정상적인 이메일 주소와 같은 위험 신호를 확인하세요. 이메일 필터링 도구를 사용하여 안전하지 않은 이메일을 차단하세요.
- 소프트웨어와 시스템을 최신 상태로 유지하세요: 운영 체제와 애플리케이션에 대한 보안 솔루션을 정기적으로 적용하세요. 취약성에 대한 노출을 최소화하기 위해 자동 업데이트를 활성화하세요.
- 문서에서 매크로 비활성화 : 사이버 범죄자들은 종종 Microsoft Office 및 OneNote 문서에서 악성 매크로를 사용하여 랜섬웨어를 퍼뜨립니다. Office 애플리케이션을 구성하여 기본적으로 매크로를 불구로 만듭니다.
- 크랙된 소프트웨어 다운로드를 피하세요 : 불법 복제 프로그램에는 종종 숨겨진 맬웨어가 포함되어 있습니다. 공식 또는 검증된 출처에서만 소프트웨어를 다운로드하세요.
- 강력한 인증 방법 사용 : 무단 액세스를 방지하려면 가능한 한 다중 요소 인증(MFA)을 활성화하세요. 배타적이고 복잡한 비밀번호와 비밀번호 관리자를 사용하세요.
- 사용자 권한 제한 : 잠재적인 랜섬웨어 감염의 영향을 줄이기 위해 관리자 권한을 제한합니다. 네트워크를 분할하여 맬웨어가 전체 조직에 퍼지는 것을 방지합니다.
- 네트워크 트래픽 모니터링 : 침입 탐지 및 방지 시스템(IDS/IPS)을 사용하여 의심스러운 활동을 탐지합니다. 네트워크 로그를 정기적으로 검토하여 이상 징후를 파악합니다.
- 직원 및 사용자 교육 : 사용자가 랜섬웨어 위협을 인식하도록 돕기 위해 사이버 보안 인식 교육을 실시합니다. 피싱 공격을 시뮬레이션하여 보안 인식을 테스트하고 개선합니다.
Tianrui 랜섬웨어는 심각하고 증가하는 사이버 보안 위협입니다. 데이터를 보호하는 가장 좋은 방법은 감염을 예방하는 것이지만, 강력한 백업 전략과 적절한 보안 조치를 취하면 상당한 피해 위험을 줄일 수 있습니다. 조직과 개인은 경계를 유지하고, 사이버 보안 모범 사례를 따르고, 진화하는 위협에 대해 스스로 교육하여 사이버 범죄자보다 앞서 나가야 합니다.
메시지
Tianrui Ransomware와 관련된 다음 메시지가 발견되었습니다.
|
I'll try to be brief: 1. It is beneficial for us that your files are decrypted no less than you, we don't want to harm you, we just want to get a ransom for our work. 2. Its only takes for us at list 20 minutes after payment to completely decrypt you, to its original state, it's very simple for us! 3.If you contact decryption companies, you are automatically exposed to publicity,also, these companies do not care about your files at all, they only think about their own benefit! 4.They also contact the police. Again, only you suffer from this treatment! 5. We have developed a scheme for your secure decryption without any problems, unlike the above companies, who just as definitely come to us to decipher you and simply make a profit from you as intermediaries, preventing a quick resolution of this issue! 6. In case of refusal to pay, we transfer all your personal data such as (emails, link to panel, payment documents , certificates , personal information of you staff, SQL,ERP,financial information for other hacker groups) and they will come to you again for sure! We will also publicize this attack using social networks and other media, which will significantly affect your reputation! 7. If you contact us no more than 12 hours after the attack, the price is only 50% of the price afterwards! 8. Do not under any circumstances try to decrypt the files yourself; you will simply break them! YOU MUST UNDERSTAND THAT THIS IS BIG MARKET AND DATA RECOVERY NEED MONEY ONLY !!! 9.IF YOU CHOOSE TO USE DATA RECOVERY COMPANY ASK THEM FOR DECRYPT TEST FILE FOR YOU IF THEY CANT DO IT DO NOT BELIEVE THEM ! 10.Do not give data recovery companies acces to your network they make your data cant be decrypted by us - for make more money from you !!!!! DO NOT TELL THEM YOUR COMPANY NAME BEFORE THEY GIVE YOU TEST FILE !!!!!! Contacts : Download the (Session) messenger (hxxps://getsession.org) You fined me "0585ae8a3c3a688c78cf2e2b2b7df760630377f29c0b36d999862861bdbf93380d" MAIL:tianrui@mailum.com |
