웹사이트를 Ransomware로 공격하는 해커 관련 이슈

최근 해커가 악의적인 PHP파일을 웹사이트에 업로드하고 있습니다.
이러한 PHP파일을 사용하면 공격자가 웹사이트의 파일을 암호화 한 다음 소유자로부터 돈을 빼앗을 수

있습니다.

오늘은 웹사이트를 Ransomware로 공격하는 해커 관련 이슈에 대해 포스팅 하겠습니다.

 

먼저 이 파일이 업로드 되면 공격자는 다음과 같이 웹 브라우저를 통해 Ransomware에 연결합니다.

 

 

그런 다음 공격자는 복잡한 암호화 키를 제출하여 사이트 콘텐츠를 암호화 할 수 있습니다.
결과는 다음과 같습니다.

 

멀웨어는 .htaccess 파일을 다음 내용으로 덮어씁니다.

 

#Bug7sec 팀
DirectoryIndex shor7cut.php
ErrorDocument 404 /shor7cut.php

 

이렇게 하면 웹 사이트가 shor7cut.php 파일로 리디렉션됩니다.

 

또한, Ransomware는 암호화 할 파일을 검색하는 디렉토리를 탐색합니다.
파일 내용은 PHP의 mcrypt 함수를 사용하여 암호화됩니다.
그리고 .shor7cut 확장자 이름으로 이름이 바뀝니다.
멀웨어의 암호화가 완료되면 공격자에게 사용된 암호화 키가 들어있는 전자메일을 보냅니다

사이트 소유자가 몸값을 지불하면 공격자는 Ransomware PHP로 돌아가서 “DeInfection”옵션을 선택합니다.

 

해당 키를 입력하면 Ransomware가 파일을 복원합니다.

이러한 Ransomware에 대한 피해를 최소화하기 위한 방안으로는 다음과 같습니다.
– 윈도우 보안 업데이트를 최신버전으로 유지합니다.
– 이메일 등에 포함된 출처를 알 수 없는 첨부파일을 실행하지 않습니다.
– 백신 프로그램의 경우 항상 최신 버전으로 유지합니다.
– 위의 사항은 위험을 줄이는 방식이며 완전하게 Ransomware의 위협에서 안전하다고 볼 수는 없습니다.
따라서 중요한 파일과 데이터는 따로 정기적으로 백업합니다.

 

이번시간에는 웹사이트를 Ransomware로 공격하는 해커 관련 이슈에 대해 포스팅 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.