TXTME 랜섬웨어
사이버 위협이 더욱 정교해짐에 따라 랜섬웨어는 전 세계 개인 사용자, 기업, 기관에 심각한 위험을 초래하고 있습니다. 가장 최신이자 가장 위험한 변종 중 하나인 TXTME 랜섬웨어는 공격자가 시스템 취약점과 소셜 엔지니어링을 악용하여 데이터를 암호화하고 금품을 갈취하는 방식을 잘 보여줍니다. 다음 희생자가 되지 않으려면 이러한 위협의 작동 방식과 방어 방법을 이해하는 것이 필수적입니다.
목차
TXTME 내부: 랜섬웨어의 동작 살펴보기
TXTME 랜섬웨어는 데이터 암호화 공격과 고압적인 갈취 전술로 악명 높은 Dharma 계열에 속합니다. TXTME는 시스템 침투 후 사용자 파일을 잠그고 고유 식별자, 공격자의 이메일 주소, 그리고 '.TXTME' 확장자로 이름을 변경합니다. 예를 들면 다음과 같습니다.
1.png는 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME로 변경됩니다.
2.pdf는 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME가 됩니다.
피해자는 데스크톱 팝업과 'TXTME.txt' 파일, 두 개의 랜섬웨어 메시지를 받게 됩니다. 이 메시지는 피해자에게 파일이 암호화되었음을 경고하고 이메일('ownercall@tuta.io' 또는 'ownercall@mailum.com')을 통해 공격자에게 연락하도록 안내합니다. 공격자는 복호화 도구를 제공하는 대가로 비트코인을 요구하며, 파일 이름을 변경하거나 타사 복구 소프트웨어를 사용하면 영구적인 데이터 손실이 발생할 수 있다는 경고를 합니다.
감염 방법 및 시스템 조작
TXTME는 배치되면 복구를 방지하고 존재감을 유지하기 위해 적극적인 조치를 취합니다.
- 시스템 방화벽을 비활성화하여 추가 공격에 대한 방어력을 약화시킵니다.
- 손실된 파일을 복구하는 데 사용할 수 있는 내장 백업 데이터를 제거하여 섀도 볼륨 복사본을 삭제합니다.
- %LOCALAPPDATA% 디렉터리에 자체를 복사하고 레지스트리 항목을 추가하여 시작 시 자동으로 실행되도록 합니다.
- 특정 국가(일반적으로 공격자와 관련된 국가)의 시스템을 감염시키지 않기 위해 기본 위치 데이터를 수집합니다.
피싱 이메일, 사기성 광고, 해킹된 소프트웨어, 감염된 USB 드라이브, 노출된 원격 데스크톱 프로토콜(RDP) 서비스(특히 비밀번호가 약하거나 재사용된 서비스) 등 일반적인 공격 벡터를 통해 확산됩니다.
방어 강화: 랜섬웨어 방지를 위한 모범 사례
TXTME와 같은 정교한 위협으로부터 방어하려면 선제적이고 다층적인 전략이 필요합니다. 탄탄한 기반은 시스템과 네트워크 보안에서 시작됩니다. 알려진 취약점을 해결하려면 운영 체제와 모든 소프트웨어를 최신 패치로 업데이트하는 것이 필수적입니다. 또한 실시간 보호 기능이 활성화된 신뢰할 수 있는 맬웨어 방지 소프트웨어를 사용하는 것도 중요합니다. 실시간 보호 기능은 안전하지 않은 활동이 피해를 입히기 전에 탐지하고 차단하는 데 도움이 됩니다.
시스템 접근은 관리자 권한을 절대적으로 필요한 사람에게만 부여하여 엄격하게 통제해야 합니다. 또한, Office 문서에서 매크로를 비활성화하면 많은 표준 악성코드 페이로드 실행을 차단할 수 있습니다. 원격 데스크톱 프로토콜(RDP)을 사용하지 않는 경우 완전히 비활성화해야 합니다. 하지만 원격 접근이 필요한 경우, 강력하고 고유한 비밀번호와 다단계 인증을 통해 보안을 강화하고, 이상적으로는 가상 사설망(VPN)을 통해 라우팅해야 합니다.
또한, 지속적인 인식과 안정적인 백업 전략을 유지하는 것도 중요합니다. 필수 파일은 정기적으로 백업하여 오프라인 또는 메인 시스템에서 직접 접근할 수 없는 안전한 클라우드 환경에 저장해야 합니다.
불법 복제 소프트웨어와 비공식 도구를 사용하지 않고, 의심스러운 웹사이트도 피하는 것이 랜섬웨어 감염 위험을 최소화하는 데 도움이 됩니다. 마지막으로, 네트워크 활동을 지속적으로 모니터링하면 무차별 대입 공격이나 비정상적인 파일 접근 패턴과 같은 침입 시도의 조기 경고 신호를 얻을 수 있습니다.
결론: 경계하고 보호받으세요
TXTME 랜섬웨어 캠페인은 현대 사이버 위협의 점점 더 정교해지고 파괴력이 높아지는 모습을 보여줍니다. 복구 도구를 무력화하고, 귀중한 파일을 암호화하며, 암호화폐를 몸값으로 요구하는 동시에, 감염된 시스템에서도 계속 활동합니다. 하지만 철저한 보안 관리와 사용자 인식 제고 노력을 통해 이러한 감염을 예방하고 발생 시 효과적으로 대응할 수 있습니다. 사이버 보안은 더 이상 선택 사항이 아니라 디지털 안전을 위한 필수적인 투자입니다.
메시지
TXTME 랜섬웨어와 관련된 다음 메시지가 발견되었습니다.
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
