2019년에는 개별 컴퓨터와 전체 조직을 손상시킨 수많은 랜섬웨어 위협이 있었습니다. 헤드라인을 장식한 랜섬웨어 중 하나는 PureLocker 랜섬웨어입니다. Windows 및 Linux 기반 프로덕션 서버와 기업을 모두 공격할 수 있는 악성 코드입니다.
PureLocker 랜섬웨어는 코드가 PureBasic 프로그래밍 언어로 작성되었기 때문에 그렇게 불립니다. 이는 다른 랜섬웨어 제품군에 비해 몇 가지 이점을 제공합니다. 첫째, PureBasic은 그다지 일반적이지 않습니다. 즉, 많은 맬웨어 방지 솔루션이 위협을 처리할 때 제대로 작동하지 않습니다. 즉, 많은 바이러스 백신 프로그램은 PureBasic 바이너리에서 서명을 감지하는 데 한계가 있습니다.
여러 면에서 참신하지만 PureLocker 랜섬웨어는 여전히 "more_eggs" 랜섬웨어 제품군과 같은 알려진 랜섬웨어 제품군의 일부 코드를 사용합니다. More_eggs는 다크 웹에서 MaaS(Malware-as-a-Service)로 판매됩니다. 즉, PureLocker의 공격은 Cobalt Group 및 FIN6 갱과 같은 지하 범죄 그룹과 연결되어 있습니다.
PureLocker 멀웨어의 기능
우리는 이미 PureLocker 랜섬웨어가 다른 멀웨어와 약간 다르다는 것을 확인했지만 정확히 어떻게 작동합니까? 랜섬웨어는 "ntdll.dll" 사본을 로드하고 거기에서 API 주소를 확인하여 NTDLL 기능의 사용자 모드 API 후킹을 회피하는 것으로 알려져 있습니다. API 후킹은 바이러스 백신 프로그램이 해당 문제에 대해 맬웨어 또는 기타 소프트웨어에서 호출하는 정확한 기능을 확인하는 데 사용하기 때문에 이 회피 트릭은 바이러스 백신 프로그램이 맬웨어에 대응하기 어렵게 만듭니다.
멀웨어는 또한 regrsrv32.exe라는 Windows의 명령줄 유틸리티에 PureLocker 구성 요소를 설치하라는 지침을 발행합니다. 대화를 발생시키지 않고 이 작업을 수행합니다. regrsrv32.exe가 실행되면 악성코드는 연도를 확인하고 파일 확장자가 .DLL 또는 .OCX인지 확인합니다. 또한 컴퓨터 사용자에게 관리자 권한이 있는지 확인합니다. 이러한 확인 중 하나라도 실패하면 멀웨어는 아무 일도 없었던 것처럼 감염된 컴퓨터를 조용히 종료하지만 모든 것이 정상인 것으로 판명되면 대상의 컴퓨터 파일은 표준 AES+ RSA 암호화 조합으로 암호화됩니다. 모든 암호화된 파일에 대해 .CRI 확장자가 추가됩니다. 섀도 파일이나 Windows 백업은 감염 과정에서 삭제되므로 파일을 복구할 수 없습니다.
PureLocker 랜섬웨어의 마지막 특이한 점은 사용자에게 몸값을 보낼 곳을 알려주는 readme.txt를 표시하는 대신 공격자와 피해자를 연결하는 익명의 암호화된 이메일 주소를 발행한다는 것입니다. 그들이 합의에 이르면 파일의 암호를 해독할 것을 제안합니다.
컴퓨터에서 PureLocker 랜섬웨어를 제거하는 방법
PureLocker는 여러 면에서 고유한 맬웨어이며 컴퓨터에 매우 오랫동안 탐지되지 않고 숨겨져 있을 수 있습니다. 따라서 맬웨어를 제거하는 옵션은 몇 가지로 제한됩니다. 그러나 아무리 절망적이라도 맬웨어 배후에 있는 범죄자에게 몸값을 지불하는 것을 고려해서는 안 됩니다. 첫째, 지불 의지가 사이버 범죄자에게 동기를 부여하는 유일한 방법이기 때문에 다음 번에만 표적이 될 것입니다. 또한 맬웨어 제작자가 몸값을 받는 즉시 파일 암호를 해독하겠다는 약속을 지키지 않을 가능성도 고려해야 합니다. 생각해보면 그들이 거래의 끝을 지키지 않으면 어떤 일이 일어날 수 있습니까? 안타깝게도 아무것도 없습니다.
그렇다면 몸값을 지불하는 것이 옵션이 아닌 경우 PureLocker 랜섬웨어로부터 컴퓨터를 해방시키기 위해 무엇을 할 수 있습니까? 네트워킹이 포함된 안전 모드에서 컴퓨터를 실행하는 것이 좋습니다. 이렇게 하면 Outbyte Antivirus와 같은 강력한 맬웨어 방지 솔루션을 다운로드하는 데 사용할 수 있는 네트워크 리소스에 액세스할 수 있습니다. .
바이러스 백신은 PureLocker 랜섬웨어와 모든 악성 구성 요소를 제거합니다.
Windows 7/Vista 또는 Windows XP에서 네트워킹을 사용하여 안전 모드로 부팅하려면 다음 단계를 따르십시오.
- 시작> 종료> 다시 시작> 확인으로 이동합니다.
- 컴퓨터가 다시 시작되면 F8 키를 누릅니다. 고급 부팅 옵션까지 여러 번 메뉴가 나타납니다.
- 네트워킹이 있는 안전 모드 선택 F5 키를 눌러 키.
Windows 8 및 10에서 네트워킹을 사용하는 안전 모드:
- 전원 버튼을 약 10초 동안 눌러 컴퓨터를 끕니다.
- 전원 버튼을 다시 눌러 이번에는 기기를 켭니다.
- 기기가 Windows 복구 환경에 들어갈 때까지 위의 단계를 반복적으로 수행합니다. (winRE).
- 옵션 선택 에서 화면이 나타나면 문제 해결> 고급 옵션> 시작 설정> 다시 시작을 선택합니다.
- 컴퓨터가 다시 시작되면 옵션 목록이 표시됩니다. 화살표 키를 사용하여 네트워킹이 포함된 안전 모드를 선택합니다. .
네트워킹이 포함된 안전 모드 옵션이 PureLocker 랜섬웨어를 제거하지 못하면 위의 단계를 반복할 수 있습니다. 하지만 이번에는 시작 설정 을 선택하는 대신 시스템 복원을 선택합니다.
시스템 복원은 컴퓨터의 설정 및 앱에 대한 변경 사항을 되돌릴 수 있는 Windows 복구 프로세스입니다. 문제가 있는 앱과 소프트웨어를 제거하는 데 사용할 수 있습니다.
PureLocker 맬웨어가 Mac을 공격한 경우 Time Machine을 사용하여 일부 파일, 설정 및 앱을 복구할 수 있습니다. 그러나 시스템 복원의 경우와 마찬가지로 감염 전에 Time Machine 백업을 사용할 수 있어야 합니다.
다른 모든 방법이 실패하고 이것이 Mac에도 적용되는 경우 새 버전의 OS를 설치하는 것이 좋습니다.
감염으로부터 컴퓨터를 보호하는 것은 수행하는 가장 중요한 작업이어야 합니다. 다음은 PureLocker와 같은 맬웨어가 조직을 감염시키는 것을 방지하기 위한 몇 가지 팁입니다.
모든 시스템 업데이트
일부 조직에서는 더 이상 Microsoft의 공식 보호를 받지 못하는 Windows XP와 같은 이전 Windows 버전을 계속 실행하고 있습니다. Windows XP는 한때 훌륭한 제품이었지만 그 이후로 세상이 바뀌었습니다. Windows XP를 고수하는 것은 많은 취약점 중 하나가 귀하에게 불리하게 사용될 가능성을 높일 뿐입니다.
맬웨어 방지 프로그램 설치
컴퓨터에 프리미엄 맬웨어 방지 솔루션이 있습니까? 그렇지 않은 경우 하나가 있어야 하며 그 동안 Outbyte PC 수리와 같은 PC 수리 도구 설치를 고려해야 합니다. . 이 도구는 지속적으로 PC의 상태를 검사합니다. 또한 저장 공간을 정리하고 손상되거나 손상된 레지스트리 항목을 복구하며 RAM 성능을 최적화합니다.
파일 백업 만들기
PureLocker 맬웨어와 같은 끔찍한 상황이 시스템을 공격할 경우에 대비하여 가장 중요한 파일을 저장할 물리적 디스크가 있어야 합니다. 파일 손실의 위협이 없다면 랜섬웨어 공격은 사무실에서 여느 때와 다름없을 것입니다.
이 기사가 PureLocker 악성코드를 다루는 문제에 도움이 되었기를 바랍니다. 질문, 제안 또는 추가할 사항이 있으면 아래의 의견 섹션에서 자유롭게 하십시오.