XznShirkiCry 랜섬웨어

정보 보안 전문가가 잠재적인 맬웨어 위협을 조사하는 동안 발견한 랜섬웨어 변종인 XznShirkiCry는 감염된 장치의 데이터 무결성을 손상시키도록 설계된 독특한 특성을 나타냅니다. 전문가들이 실시한 심층 분석에 따르면 XznShirkiCry는 침입 시 데이터를 성공적으로 암호화하도록 특별히 설계되었습니다. 특히, 이 위협은 영향을 받는 파일의 파일 이름에 특정 확장자를 추가하고, 감염된 시스템의 바탕 화면 배경 무늬를 변경하고, 'read_me.txt'라는 제목의 텍스트 파일로 몸값 메모를 전달하는 등의 수정을 도입합니다.

추가된 확장자는 '.locked[payransom1@gmailcom][ID_STRING]' 형식을 취하며, 그 영향을 예시로 랜섬웨어는 이 확장자를 추가하여 파일 이름을 변경합니다. 예를 들어 '1.doc'는 '1.doc.locked[payransom1@gmailcom]id18666'이 되고, '2.png'는 '2.png.locked[payransom1@gmailcom]id18666'으로 변환됩니다. 이 독특한 파일 명명 규칙은 특히 이메일 주소 'payransom1@gmailcom'과 고유 식별자를 통해 위협 행위자에게 연락처 정보를 전달하려는 랜섬웨어의 의도를 강조합니다.

XznShirkiCry 랜섬웨어는 비트코인으로 몸값을 요구합니다

XznShirkiCry 랜섬웨어와 관련된 랜섬 노트는 공격자가 피해자에게 심각한 상황을 알리는 통신 도구 역할을 합니다. 이는 피해자의 운영 체제가 XznShirkiCry 위협의 희생양이 되어 영향을 받은 장치의 모든 파일이 암호화되었음을 명시적으로 나타냅니다. 암호화된 파일에 다시 접근하려면 피해자는 지정된 비트코인 지갑에 몸값을 지불한 후 제공된 이메일 주소(payransom1@gmail.com)를 통해 가해자에게 연락하라는 지시를 받습니다.

이 메모에는 피해자에게 암호화된 파일을 삭제하거나 확장자를 변경하려고 시도하지 말라고 경고하는 내용이 포함되어 있습니다. 이러한 조치로 인해 암호 해독 프로세스가 불가능해질 수 있습니다. 또한 각 피해자에게는 암호 해독 프로세스에 중요한 식별자가 되는 고유 ID가 할당됩니다.

이러한 유형의 위협으로 인해 삭제된 몸값 메모에는 몸값 지불을 통해 파일을 복구할 수 있는 잠재적인 방법이 설명되어 있는 경우가 많지만 사이버 보안 전문가는 내재된 위험으로 인해 피해자가 몸값 거래에 참여하는 것을 강력히 권장합니다. 파일 복원을 약속하더라도 공격자가 약속을 지킬 것이라는 보장은 없습니다.

피해자는 손상된 시스템에서 랜섬웨어를 즉시 제거해야 합니다. 이 사전 조치는 파일의 추가 암호화와 랜섬웨어가 로컬 네트워크를 통해 확산될 가능성을 방지합니다. 이미 암호화된 데이터는 복원되지 않더라도 영향을 받는 시스템의 전체 무결성을 보호하려면 랜섬웨어 제거의 우선순위를 정하는 것이 필수적입니다.

랜섬웨어 위협으로부터 데이터와 장치를 보호하는 방법은 무엇입니까?

랜섬웨어 위협으로부터 데이터와 장치를 보호하려면 사전 예방적이고 다각적인 접근 방식이 필요합니다. 랜섬웨어에 대한 방어력을 강화하기 위해 사용자가 취할 수 있는 몇 가지 주요 조치는 다음과 같습니다.

• 정기적으로 백업 : 필수 데이터를 정기적으로 백업하여 강력한 백업 전략을 구현합니다. 백업 중인 장치에서 직접 액세스할 수 없는 오프라인 또는 클라우드 기반 시스템에 백업을 저장합니다. 이를 통해 랜섬웨어 공격이 발생하는 경우 피해자가 몸값 요구에 굴복하지 않고 파일을 복원할 수 있습니다.
• 소프트웨어 업데이트 유지 : 운영 체제, 보안 소프트웨어 및 기타 모든 응용 프로그램을 정기적으로 업데이트합니다. 소프트웨어 업데이트는 취약성을 해결하는 보안 패치를 제공하는 데 사용되므로 랜섬웨어가 시스템의 약점을 악용하는 것을 더 어렵게 만듭니다.
• 신뢰할 수 있는 보안 소프트웨어 사용 : 평판이 좋은 맬웨어 방지 소프트웨어를 설치합니다. 최신 상태이고 정기적인 검사를 수행하도록 설정되어 있는지 확인하세요. 보안 소프트웨어는 랜섬웨어 위협이 심각한 피해를 입히기 전에 이를 감지하고 무력화할 수 있습니다.
• 이메일 첨부 파일 및 링크에 주의하세요 . 이메일, 특히 알 수 없거나 의심스러운 출처에서 보낸 이메일을 처리할 때 주의를 기울이십시오. 예상치 못한 것으로 보이거나 특이한 내용이 포함된 이메일의 링크에 액세스하거나 첨부 파일을 열지 마십시오. 많은 랜섬웨어 공격은 피싱 이메일을 통해 시작됩니다.
• 자동 업데이트 활성화 : 운영 체제 및 소프트웨어에 대한 자동 업데이트를 강화합니다. 이를 통해 중요한 보안 패치를 즉시 받을 수 있어 잠재적인 랜섬웨어 공격에 대한 취약성이 줄어듭니다.
• 강력하고 고유한 비밀번호 사용 : 모든 계정과 장치에 강력하고 고유한 비밀번호를 사용하세요. 쉽게 추측할 수 있는 비밀번호를 사용하지 말고 비밀번호 관리자를 활용하여 복잡한 비밀번호를 안전하게 생성하고 저장하는 것을 고려해 보세요.
• 사용자 교육 및 훈련 : 랜섬웨어의 위험과 특성에 대해 자신과 조직 내 다른 사람들을 교육합니다. 교육에는 피싱 시도 인식, 안전한 검색 습관 이해, 잠재적인 위협에 대응하는 방법 등이 포함되어야 합니다.
• 네트워크 분할 구현 : 네트워크를 분할하여 랜섬웨어의 측면 이동을 제한합니다. 네트워크를 격리된 세그먼트로 나누면 한 세그먼트가 손상된 경우 랜섬웨어의 확산을 제한할 수 있습니다.
• 보안 위협에 대한 최신 정보 유지 : 최신 사이버 보안 위협 및 모범 사례에 대한 최신 정보를 받아보세요. 평판이 좋은 보안 블로그를 팔로우하고, 웹 세미나에 참석하고, 사이버 보안 포럼에 참여하면 새로운 랜섬웨어 위협과 효과적인 방어 전략에 대한 최신 정보를 얻는 데 도움이 될 수 있습니다.

이러한 조치를 구현함으로써 사용자는 랜섬웨어의 피해자가 될 위험을 크게 줄이고 데이터 및 장치의 전반적인 보안을 강화할 수 있습니다.

XznShirkiCry 랜섬웨어가 피해자에게 남긴 몸값 메모의 전체 텍스트는 다음과 같습니다.

'Внимание!
Ваша ОС заражена вирусом XznShirkiCry, а все ваши файлы были зашифрованы.
Для того чтобы расшифровать ваши файлы, необходимо заплатить выкуп 5$ на BitCoin-кошелек. После этого написать на нашу электронную почту.
BitCoin-кошелек:17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV
Электронная почта:payransom1@gmail.com
Важно! Зашифрованы файлы:
Не удалять
Не изменять расширение файлов
В случаи если вы удалите наш вирус или ваш антивирус его удалит, то расшифровка станет невозможна!!!
Ваш ID: - . Данный ID понадобится для расшифровки.'

The English version:

'Attention!

Your OS is infected with the XznShirkiCry virus, and all your files have been encrypted.

In order to decrypt your files, you need to pay a $5 ransom to a BitCoin wallet.
After that, write to our email address.

BitCoin Wallet:17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

e-mail:payransom1@gmail.com

Important! Encrypted files:

Do not delete

Do not change the file extension

If you delete our virus or your antivirus deletes it, then decryption will be impossible!!!

Your ID: - . You will need this ID for decryption.'