Elmer's Glue Locker Ransomware 관련 이슈

최근 Elmer’s Glue Locker라는 새로운 Ransomware가 발견되었습니다.
아직 개발 초기단계에 있어서 모든 파일을 암호화하지는 못하고 있는데,
오늘은 Elmer’s Glue Locker라는 Ransomware에 대해 포스팅 하도록 하겠습니다.

 

Elmer’s Glue Locker의 감염경로는 다음과 같습니다.
다음의 아이콘과 메타 데이터를 이용합니다.

 

 

트로이 목마는 네트워크 통신을 수행하지 않습니다.
그리고 파일 시스템에 다음의 파일들을 추가합니다.

• %APPDATA%\Local\Packages\Microsoft.BingFoodAndDrink_8wekyb3d8bbwe\
RoamingState\HOW_CAN_I_DECRYPT_MY_FILES.txt
• %APPDATA%\Local\Packages\Microsoft.BingHealthAndFitness_8wekyb3d8bbwe\
RoamingState\HOW_CAN_I_DECRYPT_MY_FILES.txt
• %APPDATA%\Local\Packages\Microsoft.MoCamera_cw5n1h2txyewy\RoamingState\
HOW_CAN_I_DECRYPT_MY_FILES.txt
• %APPDATA%\Local\Packages\Microsoft.WindowsReadingList_8wekyb3d8bbwe\
RoamingState\HOW_CAN_I_DECRYPT_MY_FILES.txt

HOW_CAN_I_DECRYPT_MY_FILES.txt 에는 다음의 텍스트가 들어있습니다.

 

컴퓨터의 배경에 다음의 정보를 표시합니다.

 

 

사용자가 파일 복구를 위해 16 Bitcoins라는 어마어마한 액수를 14Vbyx3SCUvLKj3FWWefEVWAs4jJ9R2qqi (작성 당시 35,000 달러 이상)로 보내야 합니다.
이 메시지는 사용자가 네트워크에서 호스팅되는 서버에 대한 링크를 열도록 지시합니다.

 

Http://torbox3uiot6wchz.onion
이것은 다음 사이트로 연결됩니다.

 

 

예상대로 작동하지 않는 Ransomware에서 제공된 Bitcoin 주소에는 트랜잭션 활동이 없었습니다.

 

 

그러나 이 Ransomware 제작자가 가까운 미래에 이 기능을 추가 할 것으로 보이므로 주의해야 합니다.

 

이러한 Ransomware에 대한 피해를 최소화하기 위한 방안으로는 다음과 같습니다.

 

첫째, 주기적으로 Backup을 하는 것 입니다.
둘째, Ransomware 관련 백신 프로그램을 설치하고 항상 최신버전으로 유지합니다.
셋째, 의심되는 파일이나 메일은 열어보지 않습니다.

 

오늘은 Elmer’s Glue Locker Ransomware에 대해 포스팅을 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.