[ 2.0버전 결제화면 접속 페이지 ] [ 3.0버전 결제화면 접속 페이지 ]
[ 2.0버전 결제화면 ] [ 3.0버전 결제화면 ]
침투 방식
• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등
• 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문
(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)
• 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함
(방화벽 장비 무용지물)
피해 범위
• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,
mpg, avi, wmv 외 확장자)
• Cloud Drive, Local Disk, USB Drive, NetWork Drive
특징
• 파일의 확장자를 crypt로 변경
• 파일을 암호화한 폴더내에 2~3개의 파일을 생성 (!Recovery_[ID].*, [ID].*)
• 바탕화면을 랜섬웨어 결제 안내 화면으로 변경
• 실행파일(.exe)이 아닌 dll 파일 형식으로 유포
• 사용자 정보를 탈취(브라우저, 메일 클라이언트, 쿠키 데이터, FTP계정 등)
2.0버전/3.0버전의 차이점
• 결제 화면 UI 변경 및 개선(500KB 이하 파일 1개 복원 테스트 가능)
• 다국어 지원(기존 11개 → 변경 후 25개, 한국 포함)
• 업데이트 이후 Kaspersky lab 복호화프로그램으로 복원 불가능
• 업데이트 이후 해커에게 비용을 지불하여도 복원 불가능
연혁
• 2016년 4월 CryptXXX
• 2016년 5월 CryptXXX2.0
• 2016년 5월 CryptXXX3.0
복원방법
• 해커에게 비용 지불 복원 불가능(권장사항 아님)
• Kaspersky lab 보안회사가 개발한 복호화 프로그램으로 복원 불가능(5/20)
비트코인 구매관련해서 업체를 대행하게되면 수수료가 20~30만원선이 넘습니다.
필자의경우 수수료 5만원 정도로 진행해드리니 도움이 필요하시면 연락주시기 바랍니다.
긴급연락처 : 010-9911-1008
'랜섬웨어 > 랜섬웨어종류' 카테고리의 다른 글
| CERBER(.random) 랜섬웨어 (0) | 2016.11.05 |
|---|---|
| Locky(.shit /.thor) 랜섬웨어 (0) | 2016.11.05 |
| CryptXXX (0) | 2016.05.11 |
| 7ev3n-HONE$T (0) | 2016.05.11 |
| [긴급] 한국인터넷진흥원(KISA) 사칭 이메일 유포 주의 안내 (0) | 2016.04.21 |