SuperAntiSpyware 안티멀웨어 프로그램으로 가장하여 설치되는 Kraken 랜섬웨어
Kraken Cryptor Ransomware 1.5가 SuperAntiSpyware로 가장하여 설치되고 있습니다.
랜섬웨어는 C:\ProgramData\Safe.exe 파일을 생성하고 실행합니다. 크라켄 랜섬웨어는 다음과 같은 국가에서는 암호화하지 않습니다.
Armenia, Azerbaijan, Belarus, Estonia, Georgia, Iran, Kyrgyzstan, Kazakhstan, Lithuania, Latvia, Moldova, Russia, Tajikistan, Turkmenistan, Ukraine, Uzbekistan, and Brazil
암호화되면 파일은 00000000-Lock.onion, 00000001-Lock.onion ... 식으로 암호화된 파일을 저장하고 모든폴더에 Files.html 이라는 0.125 bitcoin을 요구하는 파일을 생성합니다.
이 랜섬웨어는 Sysinternals 사이트에서 SDelete(https://docs.microsoft.com/en-us/sysinternals/downloads/sdelete)를 다운로드하고 release.bat라는 배치 파일을 실행합니다. SDelete는 파일을 지우고 드라이브의 모든 여유 공간을 0으로 덮어 써서 파일을 복구하기 어렵게 합니다. 또한 Windows 시작 복구를 비활성화, Windows 백업을 삭제하고 섀도우 볼륨 복사본을 삭제합니다.
현재로서는 Kraken Cryptor Ransomware 변종에 의해 암호화 된 파일의 복구할 방법이 없습니다.
'보안이슈' 카테고리의 다른 글
| Microsoft 10월 패치로 12가지 주요 취약성을 수정했습니다. (0) | 2018.10.11 |
|---|---|
| 랜섬웨어, 코인 채굴 및 봇넷 기능을 하나로 결합한 새로운 멀웨어 (0) | 2018.09.21 |
| 패치되지 않은 Safari 브라우저 해킹으로 URL 스푸핑 가능하니 조심하세요. (0) | 2018.09.18 |
| 브리스톨 공항의 비행 디스플레이 스크린을 무너뜨리는 랜섬웨어 공격 (0) | 2018.09.18 |
| CClean "CCleaner 설정 무시 및 강제 업데이트 5.46" (0) | 2018.09.18 |
