Computer >> 컴퓨터 >  >> 문제 해결 >> 컴퓨터 유지 보수

Ragnar Locker 랜섬웨어에 대처하는 방법

랜섬웨어는 공격자가 피해자에게 중요한 데이터를 인질로 삼는 데 필요한 비용을 지불하도록 요구하기 때문에 매우 불쾌한 맬웨어입니다. 랜섬웨어는 피해자의 기기를 은밀하게 감염시키고 중요한 데이터(백업 파일 포함)를 암호화한 다음 지불해야 하는 몸값과 지불 방법에 대한 지침을 남깁니다. 이러한 모든 번거로움 후에 피해자는 공격자가 실제로 암호 해독 키를 해제하여 파일의 잠금을 해제할 것이라는 보장이 없습니다. 그리고 그런 경우 일부 파일이 손상되어 결국 쓸모 없게 될 수 있습니다.

랜섬웨어는 해커가 돈을 벌 수 있는 가장 직접적인 방법이기 때문에 수년에 걸쳐 인기가 높아졌습니다. 멀웨어를 제거한 다음 사용자가 비트코인을 통해 돈을 보낼 때까지 기다리기만 하면 됩니다. Emsisoft의 데이터에 따르면 2019년 랜섬웨어 공격 건수는 전년 대비 41% 증가하여 약 1,000개의 미국 조직에 영향을 미쳤습니다. Cybersecurity Ventures는 랜섬웨어가 11초마다 기업을 공격할 것이라고 예측했습니다.

올해 초 새로운 멀웨어 변종인 Ragnar Locker가 리스본에 본사를 둔 포르투갈 전력 회사인 EDP(Energias de Portugal)를 공격했습니다. 공격자들은 몸값으로 약 1,100만 달러에 해당하는 1,580비트코인을 요구했습니다.

Ragnar Locker 랜섬웨어란 무엇입니까?

Ragnar Locker는 데이터를 암호화할 뿐만 아니라 ConnectWise 및 Kaseya와 같이 일반적으로 관리 서비스 제공업체 및 여러 Windows 서비스에서 사용하는 설치된 응용 프로그램을 죽이기 위해 생성된 랜섬웨어 유형의 맬웨어입니다. Ragnar Locker는 ragnar라는 단어로 구성된 고유한 확장자를 추가하여 암호화된 파일의 이름을 바꿉니다. 그 뒤에 임의의 숫자와 문자가 옵니다. 예를 들어, 이름이 A.jpg인 파일 이름이 A.jpg.ragnar_0DE48AAB로 변경됩니다.

파일을 암호화한 후 위의 예와 동일한 이름 형식으로 텍스트 파일을 사용하여 몸값 메시지를 생성합니다. 몸값 메시지의 이름은 RGNR_0DE48AAB.txt일 수 있습니다.

이 랜섬웨어는 Windows 컴퓨터에서만 실행되지만 이 맬웨어의 작성자가 Mac 버전의 Ragnar Locker도 설계했는지 여부는 아직 확실하지 않습니다. 일반적으로 공격이 탐지 및 중지되지 않도록 관리 서비스 공급자가 일반적으로 사용하는 프로세스 및 응용 프로그램을 대상으로 합니다. Ragnar Locker는 영어 사용자만을 대상으로 합니다.

Ragnar Locker 랜섬웨어는 손상된 네트워크에 대한 공격의 일부로 사용된 2019년 12월 말경에 처음 탐지되었습니다. 보안 전문가들에 따르면 유럽의 거대 에너지 기업에 대한 Ragnar Locker 공격은 신중하고 철저하게 계획된 공격이었습니다.

다음은 Ragnar Locker 몸값 메시지의 예입니다.

안녕하세요 * !

********************

이 메시지를 읽고 있다면 네트워크가 침투되고 모든 파일과 데이터가 암호화된 것입니다.

RAGNAR_LOCKER로 !

********************

************시스템은 어떻게 되나요?************

네트워크에 침투했고 모든 파일과 백업이 잠겼습니다! 따라서 지금부터는 미국을 제외하고는 파일을 복구하는 데 도움을 줄 수 있는 사람이 없습니다.

Google에서 검색할 수 있습니다. SECRET KEY 없이 데이터를 해독할 기회가 없습니다.

하지만 걱정하지 마세요! 귀하의 파일은 손상되거나 손실된 것이 아니라 수정된 것일 뿐입니다. 지불하는 즉시 환불받을 수 있습니다.

우리는 돈만 찾고 있으므로 귀하의 정보를 삭제하거나 삭제하는 데 관심이 없습니다. 단지 BUSINESS $-)

그러나 당사의 특정 암호화 키 없이 다른 소프트웨어로 해독을 시도하면 스스로 데이터를 손상시킬 수 있습니다!!!

또한 귀하의 민감한 개인 정보가 모두 수집되었으며 지불하지 않기로 결정한 경우

공개적으로 볼 수 있도록 업로드하겠습니다!

****

**************파일을 복구하는 방법?********

모든 파일과 데이터를 해독하려면 암호화 키에 대해 비용을 지불해야 합니다.

지불용 BTC 지갑:*

지불 금액(비트코인):25

****

**************얼마나 많은 시간을 지불해야 하나요?************

* 더 나은 가격을 얻으려면 암호화를 확인한 후 2일 이내에 저희에게 연락하셔야 합니다.

* 연락이 없으면 14일 후에 가격이 100%(2배 가격) 인상됩니다.

* 연락이 없거나 거래가 없으면 21일 이내에 키가 완전히 삭제됩니다.

파일 서버에서 도난당한 일부 민감한 정보는 공개적으로 업로드되거나 재판매인에게 업로드됩니다.

****

**************파일을 복원할 수 없다면?********

데이터를 실제로 해독할 수 있음을 증명하기 위해 잠긴 파일 중 하나를 해독합니다!

저희에게 보내주시면 무료로 돌려드립니다.

암호 해독기의 가격은 네트워크 크기, 직원 수, 연간 수익을 기준으로 합니다.

지불해야 하는 BTC 금액은 언제든지 문의해 주세요.

****

! 비트코인을 받는 방법을 모르신다면 환전 방법을 알려드리겠습니다.

!!!!!!!!!!!!!

! 다음은 저희와 연락하는 방법에 대한 간단한 설명서입니다!

!!!!!!!!!!!!!

1) TOX 메신저 공식 홈페이지( hxxps://tox.chat/download.html )로 이동

2) qTOX를 PC에 다운로드 및 설치하고 플랫폼(Windows, OS X, Linux 등)을 선택합니다.

3) 메신저를 열고 "새 프로필"을 클릭하고 프로필을 만듭니다.

4) "친구 추가" 버튼을 클릭하고 연락처 검색 *

5) 식별을 위해 —RAGNAR SECRET—에서 지원 데이터를 보내주십시오.

중요 ! 어떤 이유로 qTOX에서 저희에게 연락할 수 없는 경우, 여기 예약 사서함( * )이 있습니다. —RAGNAR SECRET—의 데이터가 포함된 메시지를 보내십시오.

경고!

-타사 소프트웨어로 파일을 해독하지 마십시오(영구적으로 손상됨)

-OS를 다시 설치하지 마십시오. 데이터가 완전히 손실되고 파일을 해독할 수 없습니다. 절대!

-복호화를 위한 귀하의 비밀 키는 당사 서버에 있지만 영원히 저장되지는 ​​않습니다. 시간을 낭비하지 마세요!

********************

—라그나 비밀—

*

—라그나 비밀—

********************

라그나 로커의 기능은 무엇입니까?

Ragnar Locker는 일반적으로 ConnectWise와 같은 MSP 도구를 통해 제공되며, 사이버 범죄자는 표적이 높은 랜섬웨어 실행 파일을 드롭합니다. 이 전파 기술은 Sodinokibi와 같은 이전의 악성 랜섬웨어에서 사용되었습니다. 이러한 유형의 공격이 발생하면 랜섬웨어 작성자는 보안되지 않거나 보안이 취약한 RDP 연결을 통해 조직이나 시설에 침투합니다. 그런 다음 도구를 사용하여 액세스 가능한 모든 끝점에 Powershell 스크립트를 보냅니다. 그런 다음 스크립트는 랜섬웨어를 실행하고 엔드포인트를 암호화하도록 설계된 Pastebin을 통해 페이로드를 다운로드합니다. 어떤 경우에는 페이로드가 파일 기반 공격의 일부로 실행되는 실행 파일 형태로 제공됩니다. 완전히 파일이 없는 공격의 일부로 추가 스크립트가 다운로드되는 경우도 있습니다.

Ragnar Locker는 특히 다음 문자열을 포함하여 관리 서비스 공급자가 일반적으로 실행하는 소프트웨어를 대상으로 합니다.

  • SQL
  • 메모리
  • 메폭스
  • 소포스
  • 백업
  • 펄스웨이
  • 로그미
  • 로그인
  • 연결 방식
  • 스플래시탑
  • 카세야

랜섬웨어는 먼저 대상의 파일을 훔쳐 서버에 업로드합니다. Ragnar Locker의 독특한 점은 단순히 파일을 암호화하는 것이 아니라 EDP의 경우처럼 몸값이 지불되지 않으면 데이터가 공개적으로 공개될 것이라고 피해자를 위협한다는 것입니다. EDP를 통해 공격자는 10TB로 추정되는 도난 데이터를 공개하겠다고 위협했으며 이는 역사상 가장 큰 데이터 유출 중 하나가 될 수 있습니다. 공격자는 모든 파트너, 고객 및 경쟁업체에 위반 사실을 알리고 유출된 데이터를 대중이 사용할 수 있도록 뉴스 및 미디어 소스로 보낼 것이라고 주장했습니다. EDP의 대변인은 공격이 전력 서비스 및 인프라에 영향을 미치지 않았다고 발표했지만 다가오는 데이터 유출에 대해 우려하고 있습니다.

서비스를 비활성화하고 프로세스를 종료하는 것은 맬웨어가 보안 프로그램, 백업 시스템, 데이터베이스 및 메일 서버를 비활성화하는 데 사용하는 일반적인 전술입니다. 이러한 프로그램이 종료되면 해당 데이터를 암호화할 수 있습니다.

Ragnar Locker를 처음 실행하면 구성된 Windows 언어 기본 설정을 스캔합니다. 언어 기본 설정이 영어인 경우 멀웨어는 다음 단계를 계속합니다. 그러나 Ragnar Locker가 언어가 구 소련 국가 중 하나로 설정되어 있음을 감지하면 멀웨어가 프로세스를 종료하고 컴퓨터를 암호화하지 않습니다.

Ragnar Locker는 랜섬웨어가 실행되는 것을 차단하기 전에 MSP의 보안 도구를 손상시킵니다. 내부에 들어가면 맬웨어가 암호화 프로세스를 시작합니다. 내장된 RSA-2048 키를 사용하여 중요한 파일을 암호화합니다.

Ragnar Locker는 모든 파일을 암호화하지 않습니다. 다음과 같은 일부 폴더, 파일 이름 및 확장자를 건너뜁니다.

  • kernel32.dll
  • 창문
  • Windows.old
  • 토르 브라우저
  • 인터넷 익스플로러
  • 구글
  • 오페라
  • 오페라 소프트웨어
  • 모질라
  • 모질라 파이어폭스
  • $Recycle.Bin
  • 프로그램 데이터
  • 모든 사용자
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • 부트 관리자
  • bootmgr.efi
  • bootmgfw.efi
  • 데스크탑.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

암호화된 파일에 새 파일 확장자를 추가하는 것 외에도 Ragnar Locker는 모든 암호화된 파일 끝에 'RAGNAR' 파일 마커를 추가합니다.

그런 다음 Ragnar Locker는 몸값, 비트코인 ​​지불 주소, 공격자와 통신하는 데 사용할 TOX 채팅 ID 및 백업 이메일 주소(있는 경우)에 대한 세부 정보가 포함된 '.RGNR_[extension].txt'라는 이름의 몸값 메시지를 삭제합니다. TOX 문제. Ragnar Locker는 다른 랜섬웨어와 달리 고정된 랜섬액이 없습니다. 대상에 따라 다르며 개별적으로 계산됩니다. 일부 보고서에서는 몸값이 $200,000에서 $600,000까지 다양할 수 있습니다. EDP의 경우 요구된 몸값은 1,580비트코인 또는 1,100만 달러였습니다.

라그나 로커를 제거하는 방법

컴퓨터가 Ragnar Locker에 감염되어 운이 좋지 않은 경우 가장 먼저 해야 할 일은 모든 파일이 암호화되었는지 확인하는 것입니다. 또한 백업 파일도 암호화되었는지 확인해야 합니다. 이와 같은 공격은 최소한 파일에 대한 액세스 권한을 잃을 염려가 없기 때문에 중요한 데이터를 백업하는 것의 중요성을 강조합니다.

몸값은 쓸모가 없으므로 지불하려고 하지 마십시오. 공격자가 올바른 암호 해독 키를 보내고 파일이 절대 공개되지 않는다는 보장은 없습니다. 실제로 공격자가 귀하가 지불할 용의가 있다는 것을 알고 있기 때문에 계속해서 귀하로부터 돈을 갈취할 가능성이 매우 높습니다.

당신이 할 수 있는 일은 해독을 시도하기 전에 먼저 컴퓨터에서 랜섬웨어를 삭제하는 것입니다. 바이러스 백신 또는 맬웨어 방지 앱을 사용하여 컴퓨터에서 맬웨어를 검사하고 지침에 따라 탐지된 모든 위협을 삭제할 수 있습니다. 그런 다음 멀웨어와 관련이 있을 수 있는 의심스러운 앱이나 확장 프로그램을 제거합니다.

마지막으로 Ragnar Locker와 일치하는 암호 해독 도구를 찾으십시오. 랜섬웨어로 암호화된 파일용으로 설계된 암호 해독기가 여러 개 있지만 사용 가능한 보안 소프트웨어 제조업체가 있는지 먼저 확인해야 합니다. 예를 들어 Avast와 Kaspersky에는 사용자가 사용할 수 있는 자체 암호 해독 도구가 있습니다. 다음은 시도할 수 있는 다른 암호 해독 도구 목록입니다.

라그나 로커로부터 자신을 보호하는 방법

랜섬웨어는 특히 맬웨어가 수행한 암호화를 취소할 수 있는 기존 암호 해독 도구가 없는 경우 매우 문제가 될 수 있습니다. 랜섬웨어, 특히 Ragnar Locker로부터 기기를 보호하기 위해 염두에 두어야 할 몇 가지 팁은 다음과 같습니다.

  • 가능한 경우 이중 요소 또는 다중 요소 인증(MFA)을 사용하여 강력한 암호 정책을 사용합니다. 가능하지 않은 경우 추측하기 어려운 임의의 고유한 비밀번호를 생성하십시오.
  • 책상을 떠날 때 컴퓨터를 잠그십시오. 점심을 먹으러 가거나, 잠시 휴식을 취하거나, 그냥 화장실에 갈 때 무단 액세스를 방지하기 위해 컴퓨터를 잠급니다.
  • 특히 컴퓨터의 중요한 정보에 대한 데이터 백업 및 복구 계획을 세웁니다. 가장 중요한 정보는 네트워크 외부에 저장하거나 가능한 경우 외부 장치에 저장합니다. 이러한 백업을 정기적으로 테스트하여 실제 위기 상황에서 올바르게 작동하는지 확인하십시오.
  • 최신 보안 패치로 시스템을 업데이트하고 설치합니다. 랜섬웨어는 일반적으로 시스템의 취약점을 악용하므로 기기의 보안이 철저해야 합니다.
  • 랜섬웨어의 가장 흔한 유포 방법인 피싱의 일반적인 벡터에 주의하십시오. 임의의 링크를 클릭하지 말고 항상 이메일 첨부 파일을 컴퓨터에 다운로드하기 전에 스캔하십시오.
  • 기기에 강력한 보안 소프트웨어를 설치하고 최신 위협으로 데이터베이스를 최신 상태로 유지하십시오.