랜섬웨어 조심하세요~ (89f9)

랜섬웨어가 없어질 기미가 보이지 않네요.
다양한 랜섬웨어가 끊임없이 발생하고 있다는 소식을 계속 접하고 있지만…
사내 직접적인 피해는 오래 간만이라…
수집한 몇가지 정보를 공유하고자 올려 드려요~
직원 한명 컴퓨터에 파일명을 임의로 변경시키고 확장자에 89f9를 붙이는 랜섬웨어에 걸렸네요.
인터넷으로 검색해봐도 확장자 89f9 관련 정보를 찾기 어려운 걸로 봐선… 최신 신종일거란 생각이 듭니다.
README 파일 내용을 참고해 보면, CERBER 변종으로 추정되네요.
불행중 다행히 HWP 문서는 암호화 대상에서 제외 되었지만, Excel, 사진 등등의 file들은 암호화 시켜 버렸네요.
이 직원이 몰래 파일들을 많이 다운 받아 온 것으로 보이고, 에스원 VP(V3)가 설치되어 있었지만 감지하지 못했고요.

전에 걸려본 CERBER로 확장자를 변경하는 랜섬웨어는 네트워크 공유 폴더까지 암호화 시킨 후 메시지를 표시했는데, 이번 건 로컬 드라이브만 암호화 시킨 후 메시지를 보여주고, 암호화를 마친 것 같고…

참고 하시라는 의미에서,
README 파일 내용중에 한글 문구 부분을 아래에 첨부해 드려요~

=====================================================
?필요한 파일들을 찾을 수 없습니까?
파일들의 내용을 읽을 수 없습니까?
파일들의 이름과 안에 있는 데이터가 “Cerber Ransomware”(으)로 암호화되어 있으니 이 문제는 정상인 셈입니다.
즉 파일들이 훼손되지 않았다는 뜻입니다! 파일들은 수정만 되었을 뿐입니다. 그리고 수정 사항은 원래대로 되돌릴 수 있습니다. 지금부터는 암호를 해독할 때까지 해당 파일들은 사용하실 수 없습니다.
파일들을 안전하게 해독할 수 있는 유일한 방법은 특별 암호 해독 소프트웨어인 “Cerber Decryptor”을(를) 구매하시는 것입니다.
타사 소프트웨어로 파일들을 복원하려는 시도는 해당 파일들에 치명적인 문제를 초래할 뿐입니다!


귀하의 개인 페이지에서 암호 해독 소프트웨어를 구매하실 수 있습니다:

잠시 기다려주십시오 …(!!다음 URL 페이지 업데이트, 안전상 이유로 다음 URL의 숫자0을 알파벳O로 변경했음)
http://ffoqr3ug7m726zou.piv6tv.top/D59F-6164-8833-O5O2-3O42
이 페이지가 열리지 않으면 이곳을(!!스크립트제거) 클릭해서 귀하의 개인 페이지에 대한 새로운 주소를 생성하시기 바랍니다.
이 페이지에 모든 파일을 복구할 수 있는 암호 해독 소프트웨어의 구매 방법이 자세히 설명되어 있습니다.
그리고 이 페이지에서 “Cerber Decryptor”이(가) 확실히 귀하를 도와드릴 수 있음을 보여주기 위해서 한 개의 파일을 무료로 복원하실 수 있습니다.


귀하의 개인 페이지가 오랫동안 열리지 않는다면 다른 방법으로 여실 수도 있습니다. 바로 Tor Browser를 설치해서 사용하는 것입니다:
인터넷 브라우저를 실행합니다(어떤 것인지 모르실 경우 Internet Explorer를 실행하십시오)
(!!안전상 이유로 다음 URL의 소문자 o를 숫자 0으로 변경) https://www.t0rpr0ject.0rg/d0wnl0ad/d0wnl0ad-easy.html.en을 브라우저의 주소 창에 입력하거나 복사해 넣은 후 ENTER 키를 누릅니다
사이트가 로드될 때까지 기다립니다
사이트에서 Tor Browser를 다운로드하라는 요청이 있으면 다운로드 및 실행한 후 설치 안내에 따르고 설치가 완료될 때까지 기다립니다
Tor Browser를 실행합니다
(영어 버전을 이용하는 경우) “Connect” 버튼을 눌러 연결합니다
초기화가 수행된 후 일반적인 인터넷 브라우저 창이 열립니다
이 브라우저의 주소 창에 (!!안전상의 이유로 다음 URL의 숫자 0을 알파벳 O로 변경)http://ffoqr3ug7m726zou.onion/D59F-6164-8833-O5O2-3O42을 입력하거나 복사해 넣습니다
ENTER 키를 누릅니다
사이트가 로드됩니다. 어떤 이유에서든 사이트가 로드되지 않으면 잠시 기다린 후 다시 시도하십시오.
Tor Browser의 설치 또는 사용 중 문제가 있으면 https://www.youtube.com을 방문해서 검색 창에 “install tor browser windows”라고 입력하시면 Tor Browser의 설치 및 사용에 관한 동영상을 많이 확인하실 수 있습니다.


추가 정보:
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (“.hta”) 를 보실 수 있습니다.
암호화된 파일들이 속한 폴더 안의 설명 문서 (“
.hta”) 는 바이러스가 아닙니다. 설명 문서 (“*.hta”) 가 파일들의 암호 해독을 도와드릴 것입니다.
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달려있음을 명심하시기 바랍니다.

이미지 첨부

강제로 고객화 시키네요 ㅋㅋㅋㅋㅋㅋ

  • wansoo
    고객하고 싶지 않은데… ㅎㅎㅎ

최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달려있음을 명심하시기 바랍니다.————–ㄷㄷㄷㄷ 나쁜놈들

  • wansoo
    피해자를 고객으로 생각하는 나쁜놈들이죠~ ㅠ

v3에서 감지하지 못했다면 정말 위험하네요

  • wansoo
    V3는 있으나 마나 한 상황이었네요…ㅠ

랜섬웨어…잠깐 유행인줄알았는데 벌써 3년쯤 된것 같네요

  • wansoo
    그렇네요. 돈벌이가 되니깐 계속 신종이 나오는 것 같네요..ㅠ

총 4개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요