토르 랜섬웨어

Dharma Ransomware 제품군은 새로운 랜섬웨어 위협을 개발할 때 사이버 범죄자들 사이에서 최고의 선택 중 하나로 그 위치를 유지하고 있는 것으로 보입니다. Dharma를 기반으로 한 최신 변종 중 하나는 TOR 랜섬웨어입니다. 위협은 사용자의 컴퓨터에 몰래 침투한 다음 거기에 저장된 대부분의 데이터를 잠그는 암호화 프로세스를 시작하는 것을 목표로 합니다. 영향을 받는 사용자가 거의 모든 개인 또는 비즈니스 관련 파일에 액세스할 수 없게 되어 결과가 치명적일 수 있습니다.

TOR 랜섬웨어는 대부분의 Dharma 변종에서 관찰되는 확립된 명명 패턴을 따릅니다. 암호화된 각 파일에는 피해자에게 할당된 고유 ID를 나타내는 문자열이 원래 이름에 추가됩니다. 다음으로 위협 요소는 운영자의 제어 하에 이메일을 추가한 후 마지막으로 새 파일 확장자로 '.TOR'를 추가합니다. 피해자에게는 두 개의 몸값 메모가 제공됩니다. 기본 메모는 팝업 창에 표시되고 보조 메시지는 'FILES ENCRYPTED.txt'라는 텍스트 파일에 포함됩니다.

몸값 메시지의 세부 정보

TOR 랜섬웨어에 의해 생성된 팝업 창에는 피해자가 파일을 복원할 수 있지만 해커의 요구를 충족해야 한다고 명시되어 있습니다. 몸값과 같은 중요한 세부 사항은 메모에 언급되어 있지 않습니다. 자세한 내용은 사용자가 두 개의 이메일 주소(todecrypt@disroot.org 또는 todecrypt@onionmail.org)에 문의하도록 안내되어 있습니다. 팝업 창의 나머지 부분은 몇 가지 경고를 나열하는 섹션으로 표시됩니다. 반면에 텍스트 파일에는 피해자가 해커의 두 이메일을 통해 연락을 시작해야 한다는 것을 반복하는 짧은 문장이 몇 개 포함되어 있습니다.

팝업 창에 있는 메시지의 전체 텍스트는 다음과 같습니다.

' 파일이 암호화되었습니다

걱정하지 마세요. 모든 파일을 반환할 수 있습니다!
복원하려면 다음 링크를 따르십시오. 이메일 todecrypt@disroot.org 귀하의 ID -
12시간 이내에 링크를 통해 응답을 받지 못한 경우 이메일:todecrypt@onionmail.org로 저희에게 편지를 보내주십시오.

주목!
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터를 해독하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
제3자의 도움을 받아 파일 암호를 해독하면 가격이 인상되거나(당사에 수수료가 추가됨) 사기의 피해자가 될 수 있습니다.

텍스트 파일에는 다음 지침이 포함되어 있습니다.

당신의 모든 데이터는 우리를 잠갔습니다
돌아가시겠습니까?
이메일 todecrypt@disroot.org 또는 todecrypt@onionmail.org를 작성하십시오 .'