본문바로가기

홈 > 커뮤니티 > 랜섬웨어 종류

랜섬웨어 종류

CERBER6 (CRBR) 케르베르6 랜섬웨어

2016-12-21 09:57:26

       

 

 

[ 해커가 생성한 결제 홈페이지 화면 ]
 

 

 

 

Q 어떻게 감염되나요?


A 모르는 사람으로부터 온 메일의 첨부파일은 실행하지 않는것이 좋습니다.

   P2P를 이용한 다운로드도 조심해야합니다.

   보안이 취약한 인터넷 홈페이지는 접속만 해도 감염될 수 있습니다.

   TV 드라마/영화 스트리밍 사이트나 광고 팝업이 많이 발생하는 뉴스나 블로그 등

   취약점이 많은 홈페이지는 해커들의 좋은 사냥터가 됩니다.

 

   바이러스가 PC에 침투하면 해커의 서버로 접속해 파일을 암호화하는 프로그램을 받아옵니다.

   이 프로그램은 PC의 파일들을 암호화 시키고 추적하지 못하도록 스스로 사라집니다.

   그러나, PC 어디에 숨어 남아있을지 모르기 때문에 가능하다면 PC를 포맷하는게 좋습니다.

 

 

Q 걸리면 어떻게 되나요?


말하는 랜섬웨어로 유명한 이 랜섬웨어는 감염되면 PC에서 목소리로 암호화 사실을 전달합니다.

   (Attention! Attention! Attention!​ Your documents, photos, databases and other important files have been encrypted!)

   바탕화면 이미지가 바뀌어버리고, PC에서 접근할 수 있는 모든 저장소의 파일들이 암호화되어 파일을 열어볼 수 없습니다.

   이 때, 외장하드가 연결돼있었다면 외장하드도, 공유폴더가 있다면 공유폴더도 모두 변조됩니다.

   *(Cloud Drive, Local Disk, USB Drive, NetWork Drive)

  

   파일의 이름은 랜덤한 영문과 숫자 조합으로 변경하고, 확장자명은 4자리의 랜덤값으로 변경됩니다.

   (컴퓨터 운영체제의 고유한 한 파일에서 이름을 가져오기 때문에 PC마다 확장자명이 다릅니다,)

   해커는 감염 사실을 피해자에게 알리고 금전을 요구하는 랜섬노트를 생성해둡니다.

   바탕화면을 포함한 모든 폴더에 랜섬노트를 생성합니다.

​(_HELP_HELP_HELP_​[영문+숫자].hta) / (_HELP_HELP_HELP_​[영문+숫자]​.txt) /​ (_HELP_HELP_HELP_​[영문+숫자]​.png)

​(_R_E_A_D___T_H_I_S___[영문+숫자].hta) / (_R_E_A_D___T_H_I_S___[영문+숫자]​.txt) /​ (_R_E_A_D___T_H_I_S___[영문+숫자]​.png)

​(_READ_THIS_FILE_​[영문+숫자].hta) / (_READ_THIS_FILE_​[영문+숫자]​.txt) /​ (_READ_THIS_FILE_[영문+숫자]​.png)

​(_READ_THI$_FILE_​[영문+숫자].hta) / (_READ_THI$_FILE_​[영문+숫자]​.txt) /​ (_READ_THI$_FILE_[영문+숫자]​.png)

​(_HOW_TO_DECRYPT_MY_FILES_[영문+숫자].hta) / (_HOW_TO_DECRYPT_MY_FILES_[영문+숫자]​.txt) /​ (_HOW_TO_DECRYPT_MY_FILES_[영문+숫자]​.png)​​

 

   공격의 대상이 되는 파일들은 업무에 많이 사용되는 파일들로 xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4, mpg, avi, wmv 등

   300 ~ 400가지의 확장자가 포함됩니다.

 

 

Q 어떻게 복원해요?


A 지금은 기술적으로 복원할 수 있는 방법이 없습니다.

   정말 급하고, 귀중하고, 그만한 가치가 있는 파일이라면 해커에게 비용을 지불하여 복원을 시도해볼 수는 있지만

   돈을 지불한다고해서 100%복원이 보장되는것이 아니기에 권장해드리지 않습니다.

   현재 cerber랜섬웨어는 평균적으로 0.25비트코인을 요구하고 있습니다.   

 

   나중에라도 복호화 프로그램이 개발될 수도 있습니다.

   감염된 파일과 해커가 남겨둔 랜섬노트를 보관하고 계시다가 복호화 프로그램이 개발되면 복호화를 시도하세요.

   파일을 외부에 보관한 뒤에는 PC를 포맷하신 후 사용하는게 좋습니다!

 

 

CERBER의 변형 과정

• 2016년 3월 CERBER

• 2016년 8월 CERBER​2

• 2016년 9월 CERBER​3

• 2016년 9월 CERBER4

• 2016년 11월 CERBER5

• 2016년 12월 CERBER6

목록바로가기