필라델피아 시는 미국에서 범죄율이 가장 높은 도시 중 하나입니다. 이 악명 높은 도시는 이제 사이버 범죄의 세계로 진출했습니다. 말 그대로.
Philadelphia는 Stampado Ransomware의 변종입니다. Stampado Ransomware는 올해 7월에 처음 발견되었으며 필라델피아와 똑같이 작동했습니다. 그러나 필라델피아에는 2개의 타이머가 있으며 Stampado에는 러시안 룰렛 타이머만 있습니다. 필라델피아의 선명한 그림을 보여드리겠습니다!
대부분의 다른 랜섬웨어와 마찬가지로 필라델피아도 사용자 데이터를 암호화하고 이를 반환하기 위해 몸값을 요구하고 있습니다. 그러나 필라델피아는 한 발 앞서 있으며 잠재적인 해커에게 악의를 제공함으로써 양방향으로 돈을 벌고 있습니다. Rainmaker라는 포털을 통해 Dark Web에서 소스 코드를 $400에 판매하고 있습니다. 돈을 쉽게 벌고 싶은 사람이라면 누구나 프로그램을 구입할 수 있습니다. 이 외에도 멀웨어 개발자는 구매자가 랜섬의 원활한 처리를 위해 비트코인 지갑 구성과 함께 피싱 캠페인을 설정할 수 있도록 도와줍니다. 한편, 기업체, 개인 사용자 등을 대상으로 본격적인 위협 캠페인을 펼치고 있습니다.
필라델피아 랜섬웨어는 어떻게 감염되나요?
피싱 이메일을 통해 유포되는 필라델피아는 일반적으로 위조 연체 결제 메시지로 몸을 숨깁니다. 이 메시지에는 감염의 관문 역할을 하는 필라델피아 웹페이지로 연결되는 링크가 포함되어 있습니다. 웹사이트에는 사용자가 포털에 방문하면 자동으로 다운로드되는 Java 애플리케이션이 있습니다. 침입에 성공하면 멀웨어는 여러 파일을 암호화하고 파일 이름과 확장자를 '잠김'으로 변경한 다음 수많은 임의의 문자를 사용합니다. 악성코드가 스캔들 활동을 수행하면 요구되는 몸값과 함께 암호화에 대해 사용자에게 알립니다.
추가 읽기: 랜섬웨어 조심:정보, 유형, 예방 및 보호 – 인포그래픽
참고:필라델피아는 다음 형식으로 파일을 암호화합니다.
.7z, .asp, .avi, .bmp, .cad, .cdr, .doc, .docm, .docx, .gif, .html, . jpeg, .jpg, .mdb, .mov, .mp3, .mp4, .pdf, .php, .ppt, .pptx, .rar, .rtf, .sql, .str, .tiff, .txt, .wallet, .wma, .wmv, .xls, .xlsx, .zip.
필라델피아는 암호화가 공개되고 암호 해독이 비공개인 비대칭 암호화 알고리즘으로 프로그래밍되었습니다. 필라델피아 랜섬웨어 제작자는 사용자 데이터를 제어할 수 있도록 하면서도 몸값을 지불하는 것 외에 다른 대안이 없습니다. 하이재킹된 파일을 반환하려면 일반적으로 0.3 비트코인(현재 $187에 해당)이 필요합니다.
창에는 마감일과 러시안 룰렛의 두 가지 타이머도 표시됩니다. 전자는 개인키 획득까지 남은 시간, 후자는 파일 영구 삭제까지 남은 시간을 의미한다. 이 타이머는 연속적으로 작동하며 시간이 0에 도달하면 개인 키와 임의의 암호화된 파일을 삭제합니다.
이미지 출처:pcrisk
필라델피아 제거
시스템에서 몇 가지 수동 단계를 통해 필라델피아 랜섬웨어를 제거할 수 있습니다. 필라델피아 랜섬웨어에 감염된 경우 다음 단계를 따르세요.
자세히 알아보기 : 2016년 랜섬웨어의 성장
1단계:
Windows XP 및 Windows 7 사용자의 경우: 안전 모드에서 컴퓨터를 다시 시작해야 합니다. 화면에 아무 것도 표시되지 않을 때 F8 키를 여러 번 누르고 Windows 고급 옵션 메뉴가 화면에 표시될 때까지 계속해서 이 작업을 수행할 수 있습니다. 이제 목록에서 '네트워킹이 있는 안전 모드' 옵션을 선택하십시오.
Windows 8 사용자의 경우: Windows 8 시작 화면으로 이동하여 검색 창에 고급을 입력합니다. 이제 일반 PC 설정을 클릭한 다음 고급 시작 옵션을 클릭합니다. 고급 시작 옵션에서 PC를 다시 시작하려면 "지금 다시 시작"을 클릭하십시오. 이제 "고급 옵션"버튼을 클릭하고 "문제 해결"버튼을 클릭하십시오. 고급 옵션 창이 화면에 나타나면 "시작 설정"을 클릭해야 합니다. 이제 "다시 시작" 버튼을 클릭하면 PC가 시작 설정 화면으로 다시 시작됩니다. 이 단계를 구현하는 즉시 F5 키를 눌러 네트워킹이 포함된 안전 모드에서 PC를 부팅하십시오.
참조: 시스템이 이미 랜섬웨어에 감염된 경우 어떻게 해야 합니까?
2단계:
필라델피아의 공격을 받은 계정으로 시스템에 로그온합니다. 이제 정품 맬웨어 방지 소프트웨어를 다운로드하거나 구입하십시오. 시스템을 설치 및 검사하고 탐지된 모든 악성 코드 변종을 제거하십시오.
3단계:
시스템에서 트로이 목마를 제거한 후에는 'Windows 이전 버전' 기능을 사용하여 암호화된 파일을 복원해야 합니다.
- 파일을 선택하고 마우스 오른쪽 버튼으로 클릭합니다.
- 이제 '속성'을 선택합니다.
- '이전 버전' 옵션이 표시됩니다.
- 버전을 선택하고 복원합니다.
이 단계를 수행하여 시스템을 공격한 랜섬웨어 변종을 제거할 수도 있습니다. 그러나 Windows 이전 버전 기능은 Ransomware가 파일의 섀도 복사본을 암호화하거나 삭제하지 않은 경우에만 작동합니다.
참고:이 단계는 PC 위험 관리팀에서 권장합니다!