Fenrir Ransomware 관련 이슈

2017. 7. 12. 11:59

최근 Fenrir Ransomware에 대한 이슈가 있었습니다.
Fenrir Ransomware는 컴퓨터에 몰래 들어가는 악명 높은 악성코드입니다.
대부분 무료 번들 프로그램, 스팸 이메일, 의심스러운 웹 사이트, Shareware기타 트릭을 통해

전달됩니다.

 

Fenrir Ransomware포르노 웹사이트를 방문하거나, 가짜 소프트웨어 업데이트를 다운로드하거나,
안전하지 않은 네트워크에서 파일을 공유할 때
컴퓨터를 변경할 수 있습니다.
또한 Fenrir RansomwareAdobe Reader 파일로 취급되며 피해 대상 컴퓨터의 HWID를 사용하여

암호화된 파일에 확장자를 추가하는 Ransomware입니다.

 

오늘은 Fenrir Ransomware에 대해 포스팅 하겠습니다.

 

감염경로는 다음과 같습니다.
Ransomware는 다음의 아이콘 및 파일 정보를 사용합니다.

 


 

실행시 다음의 DNS 쿼리를 작성합니다.

 

 

그런다음 피해자의 파일을 암호화합니다.
컴퓨터의 HWID를 이용하여 암호화된 모든 파일에 새로운 확장자를 추가합니다.

 

 

또한 다음의 파일을 삭제합니다.
• %Desktop%\Ransom.rtf

 

Ransom.rtf”파일에는 파일을 다시 여는 방법에 대한 지침이 들어 있습니다.
그런 다음 72시간 카운트 다운으로 동일한 몸값 메시지와 지시 사항이 적혀 있는

스플레시 화면을 표시합니다.

 

빨간색 “I WILL NOT PAT. DELETE MY FILES”버튼을 클릭하게 되면 이 메시지가 나타나지만

어떠한 파일도 삭제되지 않았습니다.

 

 

만약 “I SENT THE PAYMENT, RETRIEVE MY FILES” 라는 파란색 문구를 클릭하게 되면

암호를 물어봅니다.
아마도 이 cybrecriminals와 대화를 한 경우에는 암호가 필요합니다.

 

가짜 암호를 입력해도 실제로 아무것도 하지 않으므로 실제 지불을 하게 될 경우 파일을 불러올지

여부가 불분명 합니다.
최근에는 Fenrir Ransomware와 비슷한 유형의 Ransomware를 제거하는 툴이 무료로 배포되고 있지만,

완벽하게 Ransomware를 제거한다고 장담하기는 어렵습니다.

 

따라서, 이러한 Ransomware에 대한 피해를 최소화 할 수 있는 방안으로는 다음과 같습니다.

 

- 윈도우 보안 업데이트를 최신버전으로 유지합니다.
- 중요한 파일과 데이터는 따로 정기적으로 백업합니다.
- 이메일 등에 포함된 출처를 알 수 없는 첨부파일을 실행하지 않습니다.
- 백신 프로그램의 경우 항상 최신 버전으로 유지합니다.

 

오늘은 Fenrir Ransomware에 대한 포스팅을 하였습니다.
다음에도 유익한 자료 올릴 수 있도록 하겠습니다.
감사합니다.




Posted by 로버무트
,