NewShell Ransomware관련하여 새로운 변종군이 활발하게 활동 중에 있습니다.
NewShell Ransomware는 피해자가 파일을 다시 가져올 때까지 파일을 강력한 암호화 알고리즘으로
암호화
하는데, 오늘은 NewShell Ransomware에 대해 포스팅 하도록 하겠습니다.

 

 

감염경로는 다음과 같습니다.

 

트로이 목마는 Windows 레지스트리 시작에 다음의 키를 추가합니다.

 

 

컴퓨터가 손상이 되면 멀웨어는 자체 실행 파일을 C:\tmp 폴더에 복사하고 다음 명령을 실행합니다.


 

 

 

멀웨어는 자체 서버에서 이미지를 따라 다운로드하고 배경 화면으로 설정합니다.

 


 

멀웨어는 모든 개인 문서 및 파일을 암호화하여 다음 웹페이지를 표시합니다.

 

 

피해자가 Bitcoin을 사용하여 파일을 복구 할 수 있는 암호 해독키를 받도록 요구합니다.
악성코드는 모든 대상파일에 '.enc'확장자를 추가합니다.

 

 

명령 및 제어(C&C)트래픽

 

NewShellHTTP 프로토콜을 통해 C&C통신을 수행합니다.
멀웨어는 다음과 같은 파일 형식으로 C&C서버에 HTTP 요청을 보냅니다.
예를들면 다음과 같습니다.

 

 

이러한 Ransomware에 대한 피해를 최소화하기 위한 방안으로는 다음과 같습니다.
– 윈도우 보안 업데이트를 최신버전으로 유지합니다.
– 중요한 파일과 데이터는 따로 정기적으로 백업합니다.
– 이메일 등에 포함된 출처를 알 수 없는 첨부파일을 실행하지 않습니다.
– 백신 프로그램의 경우 항상 최신 버전으로 유지합니다.

 

이번시간에는 NewShell Ransomware 관련 이슈에 대해 포스팅 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.

 

 

 

 


Posted by 로버무트