BLACK EYE RANSOMWARE 이슈

다양한 종류의 랜섬웨어가 사용자에게 지속적인 공격을 통해 위협을 하고 있습니다.

그중 최근에 발견된 BLACK EYE RANSOMWARE에 대해 공유해 드리고자 합니다.

 

랜섬웨어 공격자는 대체로 피해자에게 돈을 요구하지만, 최근 발견된 BLACK EYE RANSOMWARE는 피해자에게 돈을 요구하는 대신 YouTube 채널의 구독과 댓글을 요청하는 것으로 확인되었습니다.

 

해당 랜섬웨어는 실행과 동시에 아래와 같은 디렉터리에 자신의 사본을 생성합니다.

 

 

그리고 복사본을 생성하여 피해자 시스템의 파일을 암호화하고 모든 파일에 4개의 임의 문자를 추가 후 “README_it.txt” 파일을 생성하며, 감염 완료 시 해당 파일이 메모장으로 열리게 됩니다.

 

 

새로 생성된 “README_it.txt” 파일은 다음과 같은 내용으로 확인되었습니다.

 

 

공격자들은 피해자들에게 파일을 되찾기 위해 특정 YouTube 채널에 구독하도록 요구하고, 피해자 PC의 바탕화면을 아래와 같은 사진으로 변경하였습니다.

 

또한, 사용자가 재부팅 시에도 실행되도록, 시스템 재부팅 시 실행되는 “BLACK EYE RANSOMWARE”실행파일이 %Startup% 디렉터리에 추가 됩니다.

 

해당 악성코드 작성자가 자신의 YouTube 채널 구독에 동의한 피해자들을 실제로 감염시켰는지는 확실치 않지만, 처음 이 악성프로그램을 분석할 때보다 구독자 수가 늘어 있는 것으로 확인되였습니다.

 

랜섬웨어 감염 방지를 위해 사용자는 의심스러운 사이트 방문을 지양하고, 사용자 PC에 보안 프로그램 설치 및 최신 업데이트를 통해 데이터를 보호해야 합니다.