팬데믹 기간 동안 랜섬웨어 공격은 2020년 2월 기준에 비해 148% 급증했습니다. 보안 전문가들은 COVID-19 관련 공격의 빈도가 증가하고 있음을 알아차렸지만 다른 랜섬웨어 변종을 포함한 사례도 급증했습니다. 이는 노동력의 70%가 사무실 환경에 비해 인터넷 보안이 훨씬 더 편안한 집에서 일해야 하는 등 가능한 목표가 갑자기 증가했기 때문일 수 있습니다.
글로벌 잠금 기간 동안 대혼란을 일으킨 랜섬웨어 공격 중 하나는 Cobra Locker 랜섬웨어입니다. 파일은 AES 및 RSA 알고리즘을 사용하여 잠기고 .cobra 파일 확장자가 지정됩니다. 이 위협은 일반적으로 악성 웹사이트에서 다운로드하거나 스팸 이메일을 클릭하거나 다른 맬웨어에 의한 직접 주입을 통해 확산됩니다. 공격자는 일반적으로 파일의 잠금을 해제하기 위해 비용을 요구합니다. 그렇지 않으면 사용자가 파일에 액세스할 수 없습니다.
Cobra Locker 랜섬웨어란 무엇입니까?
Cobra_Locker라고도 알려진 Cobra Locker 랜섬웨어는 지난 2020년 6월 Twitter 사용자 @dnwls0719에 의해 처음 발견되었습니다. 이것은 전염병의 영향을 받은 사람들을 악용하기 위해 개발된 새로운 랜섬웨어 변종입니다. 이 크립토바이러스는 사용자 데이터를 암호화하고 피해자에게 암호 해독 서비스 비용을 지불하도록 요구하는 방식으로 작동합니다. Cobra Locker 랜섬웨어는 일반적으로 컴퓨터의 비디오, 사진, 문서, 아카이브, 데이터베이스 및 기타 유형의 데이터를 대상으로 합니다. 이 모든 파일은 잠기고 암호화되어 몸값이 지불될 때까지 사용자가 액세스할 수 없습니다.
컴퓨터가 Cobra Locker 랜섬웨어에 감염되면 다음과 같은 눈부신 빨간색 배경의 팝업 메시지가 표시되기 때문에 매우 분명합니다.
Cobra_Locker
앗! 암호화되었습니다!
파일의 암호를 해독하려면 암호 해독 코드가 있어야 합니다.
모든 중요한 파일이 이 PC에서 암호화되었습니다.
확장자가 .Cobra인 모든 파일은 암호화됩니다.
이 컴퓨터에 대해 생성된 고유한 개인 키를 사용하여 암호화가 생성되었습니다.
파일의 암호를 해독하려면 개인 키를 가져와야 합니다.
개인 키를 검색하려면 이메일로 문의해야 합니다.
[email protected] 저희에게 이메일을 보내고 추가 시간을 기다리세요.
지침.
연락할 이메일 주소:
파일의 암호를 해독하려면 암호 해독 코드가 있어야 합니다.
Cobra Locker 랜섬웨어 탐지:
- DrWeb:Trojan.Encoder.31957 및 Trojan.Encoder.32077
- ALYac:Trojan.Ransom.Filecoder
- Avira(클라우드 없음):TR / Ransom.avuwe
- BitDefender:Gen:Heur.Ransom.RTH.1, 트로이 목마 .GenericKD.43441079
- ESET-NOD32:MSIL/Filecoder.YQ의 변형 또는 MSIL/Filecoder.AAX의 변형
- Malwarebytes:Ransom.FileCryptor 또는 Ransom.CobraLocker
- 상승:Ransom.Encoder 8.FFD4
- 시만텍:ML.Attribute.HighConfidence
- 텐센트:Msil.Trojan.Encoder.Wtod
- TrendMicro:TROJ_GEN.R002H09FE20
한 달 후 .IT 확장자를 사용하여 파일을 암호화하는 새로운 랜섬웨어가 나왔습니다. 이는 7월 초에 탐지되었으며 Cobra Locker 랜섬웨어 알림에 언급된 것과 동일한 이메일 주소를 사용합니다. 공격자는 또한 공포 요소를 추가하기 위해 영화 IT의 Pennywise 사진을 배경으로 사용합니다. 팝업 메시지는 일반적으로 다음과 같습니다.
IT 랜섬웨어에 감염되었습니다!
모든 중요한 파일이 암호화되었습니다! 그리고 화면이 잠겨 있습니다!
규칙을 소개하겠습니다
- 화면을 잠금 해제하려면 특수 키를 입력해야 합니다.
- 파일을 해독하려면 [email protected]으로 연락해야 합니다.
IT 탐지:
- DrWeb:Trojan.Encoder.32077
- BitDefender:Trojan.GenericKD.43441079
- ESET -NOD32:MSIL/Filecoder.AAX의 변형
- Malwarebytes:Ransom.CobraLocker
- 시만텍:ML.Attribute.HighConfidence
두 이메일을 보면 공격자는 몸값을 지불할 방법이나 지불해야 할 금액에 대해 언급하지 않습니다. 파일을 해독할 수 있는 방법에 대해 자세히 알아보려면 제공된 이메일 주소를 사용하여 직접 이메일을 보내야 합니다.
그러나 희망을 갖지 마십시오. 몸값을 지불하더라도 공격자가 여전히 파일의 암호를 해독할 것이라는 보장은 없습니다. 결제가 완료되면 무시될 수 있습니다.
Cobra Locker Ransomware는 무엇을 할 수 있습니까?
Cobra Locker와 IT 랜섬웨어는 동일한 공격자 그룹에서 유래했으며 동일한 방식으로 작동한다고 안전하게 가정할 수 있습니다.
Cobra Locker 랜섬웨어는 AES + RSA 알고리즘을 사용하여 사용자 파일을 암호화하여 모든 파일에 .Cobra 확장자를 추가합니다. 반면 IT 랜섬웨어는 파일에 .IT 확장자를 추가합니다. 두 랜섬웨어 모두 시스템을 스캔하고 MS Office 문서, OpenOffice 파일, PDF, 텍스트 파일, 데이터베이스, 이미지, 음악, 비디오, 아카이브 등을 자동으로 암호화하여 작동합니다. 랜섬웨어 노트에 따르면 공격자가 요구하는 요금을 지불하지 않으면 이러한 파일에 액세스할 수 없습니다.
이 랜섬웨어는 특히 피해자가 암호화된 파일의 백업 사본을 가지고 있지 않은 경우 상당한 골칫거리가 될 수 있습니다. 그렇다면 컴퓨터가 Cobra Locker 랜섬웨어에 감염되면 어떻게 하시겠습니까?
Cobra Locker 랜섬웨어 제거 지침
Cobra Locker 또는 IT 랜섬웨어에 감염되었을 때 가장 먼저 해야 할 일은 컴퓨터에서 위협을 제거하여 더 많은 파일을 암호화하지 못하도록 하는 것입니다. 그런 다음 파일 복구를 시도할 수 있습니다.
컴퓨터에서 Cobra Locker 랜섬웨어 및 IT 랜섬웨어를 제거하는 방법은 다음과 같습니다.
1단계:네트워킹을 사용하여 안전 모드로 부팅합니다.
- Windows> 전원을 클릭합니다. 아이콘을 클릭한 다음 다시 시작 을 선택하십시오. Shift 키를 누른 상태에서
- 문제 해결> 고급 옵션을 선택합니다.
- 시작 설정> 다시 시작을 클릭합니다. 컴퓨터를 재부팅합니다.
- Windows가 부팅되면 F5 키를 누릅니다. 또는 숫자 5 키보드에서 네트워킹이 있는 안전 모드 로 부팅합니다.
2단계:랜섬웨어를 제거합니다.
다음 단계에는 컴퓨터에서 랜섬웨어를 탐지하고 제거할 수 있는 보안 소프트웨어가 필요합니다. 올바른 맬웨어 방지 프로그램이 없는 경우 이 단계를 진행하기 전에 먼저 다운로드해야 합니다. 바이러스 백신을 설치했으면 컴퓨터를 검사하고 감염된 파일을 모두 삭제하십시오. 다음은 랜섬웨어와 관련된 파일입니다.
- 랜섬웨어.exe 또는 IT.exe
- CobraLocker.dll
- _readme.txt
- readme.txt
3단계:파일 복구
마지막 단계는 파일을 복구하는 것입니다. 아직 이 랜섬웨어용으로 설계된 암호 해독기가 없으므로 여기에서 원하는 옵션을 시도해 보겠습니다.
일반 암호 해독기를 사용합니다.
Michael Gillespie, Kaspersky, Emsisoft 등과 같은 보안 전문가가 설계한 오늘날 사용할 수 있는 여러 암호 해독 소프트웨어가 있습니다. 그 중 어떤 것이 효과가 있는지 확인할 수 있습니다.
시스템 복원 지점을 사용합니다.
다른 옵션은 감염이 발생하기 전에 시스템을 복원 지점으로 롤백하는 것입니다. 특히 시스템이 감염된 시점을 모르는 경우 까다로울 수 있습니다. 안전을 위해 랜섬웨어가 발견되기 훨씬 전의 복원 지점을 선택하세요(2020년 6월).
타사 복구 소프트웨어를 사용합니다.
암호 해독기가 작동하지 않고 사용할 수 있는 시스템 복원 지점이 없는 경우 마지막 옵션은 Recuva, EaseUS Data Recover 또는 Stellar와 같은 복구 프로그램을 사용하는 것입니다. 여기에서 사용할 수 있는 다른 복구 프로그램을 확인할 수 있습니다.
요약
랜섬웨어는 특히 파일 백업이 없는 경우 처리하기 어려울 수 있습니다. 가장 중요한 것은 위에서 언급한 복구 방법을 시도하기 전에 먼저 장치에서 랜섬웨어를 삭제하는 것입니다. 데이터 손실을 방지하기 위해 잠금을 해제하기 전에 암호화된 모든 파일을 먼저 복사해야 합니다. 다른 모든 방법이 실패하면 Cobra Locker 전용 암호 해독기가 출시될 때까지 기다리기만 하면 됩니다.