○ 특징
- 공격자는 중앙관리서버(AD Server)에 침투한 후 관리서버에 연결된 시스템에 랜섬웨어를 삽입 및 감염
- 랜섬웨어는 사용자의 파일을 암호화 한 후 복호화를 위해 공격자의 이메일로 연락을 취할 것을 요구
○증상 및 동작
- 파일 암호화를 위해 특정 프로세스 종료
- 피해 시스템의 주요파일 암호화 및 확장자 변경 (.Clop)
- 암호화된 폴더에 복호화 방법이 기술된 랜섬노트 생성 (ClopReadMe.txt)
- 정상 프로그램으로 위장하기위해 디지털 서명을 포함해 악성코드 유포
- 감염 시스템의 키보드레이아웃 정보를 확인하고 일부 국가 및
러시아 문자셋을 사용하는 시스템 감염 대상에서 제외 (암호화 하지 않고 자가삭제)
- 파일을 생성하고 시스템 복구할 수 없도록 볼륨쉐도우 파일 삭제
'Tech(테크)' 카테고리의 다른 글
| 메모앱, 구글 keep (0) | 2019.03.29 |
|---|---|
| 랜섬웨어 대응방법, 가이드 (0) | 2019.03.29 |
| 신규 인터넷은행 관련 기사, 토스 ---키움증권 (3/29 업데이트) (0) | 2019.03.19 |
| O2O Online to Offline (0) | 2019.01.02 |
| LAN, WAN 비교 (0) | 2018.11.20 |