CryptoShield Ransomware 관련 이슈

랜섬웨어의 특징 중 하나는 몸값이라 말하는 비용을 지불하면 복호화키를 준다는 점 입니다.
(모든 랜섬웨어가 몸값을 지불하면 복호화키를 주는것은 아니고 일반적으로 그렇습니다.)
하지만, 몸값을 지불하고 복구하는 과정에서 버그로 인해 파일을 삭제하는 Ransomware가 있습니다.

오늘 소개해드릴 Ransomware는 바로 CryptoSheild Ransomware입니다.
이 랜섬웨어는 Rig Exploit Kit를 사용하여 손상된 웹 사이트를 통해 배포되는 Ransomware입니다.
몸값을 지불한 후 파일을 암호화하고 복구하는 대신 실수로 버그로 인해 파일을 삭제하는 Ransomware 입니다.

이 트로이 목마는 C&C 서버에 대해 다음과 같은 하드 코딩된 IP 주소를 가지고 있습니다.
'45.76.81.110'
트로이 목마는 고유한 사용자ID의 감염을 C&C 서버에 보고하려고 시도합니다.

그리고 재부팅 후 시작을 가능하게 하기 위해 Windows 레지스트리에 다음 키를 추가합니다 :
• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Windows SmartScreen % APPDATA % \ MicroSoftWare \ SmartScreen \ SmartScreen.exe

트로이 목마는 다음의 시스템 파일들을 추가합니다.
• %APPDATA%\MicroSoftWare\SmartScreen\SmartScreen.exe
• {shared drives}\Stop Ransomware Decrypts Tools.exe
그런 다음 미리 정의된 파일 유형의 파일을 찾아 모든 디렉토리를 탐색하여 암호화합니다.
C&C 서버에서 통신 할 수 없기 때문에 "암호화"프로세스로 파일이 삭제됩니다.
다음의 두 파일은 "암호화 된"파일이 들어있는 디렉토리에 삭제됩니다.

"# RESTORING FILES #.HTML"
"# RESTORING FILES #.TXT"

파일에는 트로이의 화면상에 나타나는 다음 데이터가 포함되어 있습니다.
여기에는 삭제 된 파일에 대해 작동하지 않는 파일 검색 지침이 들어있습니다.

이 Ransomware는 윈도우 스타트업 복구를 비활성화하고, 윈도우 shadow 볼륨 복사본들을 삭제합니다.
그렇기 때문에 백업파일을 복구하는 것이 불가능합니다.

이러한 Ransomware의 위협에 대처하기 위한 방안으로는
모든 프로그램과 OS를 최신 버전으로 유지하는 것이 매우 중요합니다.
Exploit Kit가 사용자 컴퓨터를 감염시키기 위해 이러한 취약점을 이용하기 때문입니다.

이상으로 CryptoShield Ransomware의 포스팅을 마치겠습니다.
다음에도 유용한 자료를 올릴 수 있도록 노력하겠습니다.
감사합니다.