Ragnar Locker 랜섬웨어를 처리하는 방법 (05.20.24)

랜섬웨어는 공격자가 인질에서 벗어나기 위해 피해자의 중요한 데이터에 대한 비용을 지불하도록 요구하기 때문에 매우 불쾌한 멀웨어입니다. 랜섬웨어는 피해자의 기기를 은밀하게 감염시키고 중요한 데이터 (백업 파일 포함)를 암호화 한 다음 지불해야 할 몸값과 지불 방법에 대한 지침을 남깁니다. 이러한 모든 번거 로움 이후 피해자는 공격자가 실제로 파일 잠금을 해제하기 위해 암호 해독 키를 해제 할 것이라는 보장이 없습니다. 만약 그렇게된다면 일부 파일이 손상되어 결국 쓸모 없게 될 수 있습니다.

해커가 돈을 벌 수있는 가장 직접적인 방법이기 때문에 수년에 걸쳐 랜섬웨어의 사용이 인기를 얻었습니다. 그들은 악성 코드를 삭제 한 다음 사용자가 비트 코인을 통해 돈을 보낼 때까지 기다리면됩니다. Emsisoft의 데이터에 따르면 2019 년 랜섬웨어 공격 건수는 전년 대비 41 % 증가하여 약 1,000 개의 미국 조직에 영향을 미쳤습니다. Cybersecurity Ventures는 심지어 랜섬웨어가 11 초마다 기업을 공격 할 것이라고 예측했습니다.

올해 초, 새로운 악성 코드 변종 인 Ragnar Locker는 리스본에 본사를 둔 포르투갈 전기 유틸리티 회사 인 EDP (Energias de Portugal)를 공격했습니다. . 공격자들은 약 1,100 만 달러에 해당하는 1,580 개의 비트 코인을 몸값으로 요구했습니다.

Ragnar Locker Ransomware 란 무엇입니까?

Ragnar Locker는 데이터 암호화뿐만 아니라 일반적으로 관리 서비스 제공 업체 및 여러 Windows 서비스에서 사용하는 ConnectWise 및 Kaseya와 같은 설치된 애플리케이션을 죽이기 위해 생성되는 랜섬웨어 유형의 맬웨어입니다. Ragnar Locker는 ragnar라는 단어와 임의의 숫자와 문자로 구성된 고유 한 확장자를 추가하여 암호화 된 파일의 이름을 바꿉니다. 예를 들어, 이름이 A.jpg 인 파일은 A.jpg.ragnar_0DE48AAB로 이름이 변경됩니다.

파일을 암호화 한 후 다음과 같은 이름 형식의 텍스트 파일을 사용하여 몸값 메시지를 생성합니다. 위의 예와 함께. 몸값 메시지의 이름은 RGNR_0DE48AAB.txt 일 수 있습니다.

이 랜섬웨어는 Windows 컴퓨터에서만 실행되지만이 악성 코드의 작성자가 Ragnar Locker의 Mac 버전도 설계했는지는 아직 확실하지 않습니다. 일반적으로 관리 서비스 제공 업체가 공격을 탐지 및 중지하지 못하도록 일반적으로 사용하는 프로세스 및 애플리케이션을 대상으로합니다. Ragnar Locker는 영어를 사용하는 사용자만을 대상으로합니다.

Ragnar Locker 랜섬웨어는 손상된 네트워크에 대한 공격의 일부로 사용 된 2019 년 12 월 말경에 처음 발견되었습니다. 보안 전문가에 따르면 유럽의 거대 에너지 기업에 대한 Ragnar Locker 공격은 충분히 고려되고 철저히 계획된 공격이었습니다.

다음은 Ragnar Locker 몸값 메시지의 예입니다.

안녕하세요 *!

********************

이 메시지를 읽으 셨다면 네트워크와 모든 파일이 PENETRATED 된 것입니다. 데이터는 RAGNAR_LOCKER에 의해

암호화되었습니다!

********************

********* 시스템은 어떻게 되나요? * ***********

네트워크가 침투했고 모든 파일과 백업이 잠겼습니다! 따라서 지금부터는 미국을 제외하고는 아무도 귀하의 파일을 되찾도록 도와 줄 수 없습니다.

Google을 검색 할 수 있습니다. 비밀 키 없이는 데이터를 해독 할 기회가 없습니다.

하지만 걱정하지 마세요! 파일은 손상되거나 손실되지 않으며 수정 된 것입니다. 결제하시면 바로 돌려 받으실 수 있습니다.

우리는 MONEY 만 찾고 있으므로 귀하의 정보를 철회하거나 삭제하는 데 관심이 없습니다. 그것은 단지 BUSINESS 일뿐입니다. $-)

우리의 특정 암호화 키없이 다른 소프트웨어로 해독을 시도하면 데이터를 스스로 손상시킬 수 있습니다 !!!

또한 귀하의 모든 민감한 개인 정보가 수집되었으며 지불하지 않기로 결정한 경우

공개용으로 업로드합니다!

****

*********** 파일을 복구하는 방법? ******

받는 사람 암호화를 위해 지불해야하는 모든 파일과 데이터를 해독합니다. KEY :

결제 용 BTC 지갑 : *

결제 금액 (비트 코인) : 25

****

*********** 얼마나 많은 시간을 지불해야합니까? **********

* 더 나은 가격을 얻으려면 암호화를 발견 한 후 2 일 이내에 당사에 연락해야합니다.

* 연락이없는 경우 14 일이 지나면 가격이 100 % (이중 가격) 인상됩니다.

* 연락이 없거나 거래가 이루어지지 않으면 21 일 안에 키가 완전히 지워집니다.

파일 서버에서 도난당한 일부 민감한 정보는 공개적으로 업로드되거나 재판매 인.

****

*********** 파일을 복원 할 수 없으면 어떻게 되나요? ******

우리가 정말로 귀하의 데이터를 해독 할 수 있음을 증명하기 위해, 귀하의 잠긴 파일 중 하나를 해독 할 것입니다!

우리에게 보내기 만하면 무료로 돌려받을 수 있습니다.

해독기 가격은 네트워크 규모, 직원 수, 연간 수익을 기준으로합니다.

지불해야하는 BTC 금액에 대해서는 언제든지 문의 해주세요.

****

! 비트 코인을받는 방법을 모르는 경우 환전 방법을 알려드립니다.

!!!!!!!!!!!!!

! 여기 우리와 접촉하는 간단한 설명서가 있습니다!

!!!!!!!!!!!!!

1) TOX 메신저 공식 웹 사이트로 이동 (hxxps : //tox.chat/download.html)

2) PC에 qTOX를 다운로드하여 설치하고 플랫폼을 선택합니다. (Windows, OS X, Linux 등)

3) 메신저를 열고 '새 프로필'을 클릭 한 다음 프로필을 만듭니다.

4)“친구 추가”버튼을 클릭하고 연락처를 검색합니다. *

5) 확인을 위해 —RAGNAR SECRET—

중요에서 지원 데이터로 전송합니다. ! 어떤 이유로 qTOX에 문의 할 수없는 경우 여기에 예약 사서함 (*)이 있습니다. —RAGNAR SECRET—에서 데이터가 포함 된 메시지를 보냅니다.

경고!

-타사 소프트웨어를 사용하여 파일을 해독하지 마십시오 (영구적으로 손상됨).

-OS를 다시 설치하지 마십시오. 데이터가 완전히 손실 될 수 있습니다. 해독 할 수 없습니다. 절대!

-복호화를위한 귀하의 비밀 키는 당사 서버에 있지만 영원히 저장되지는 ​​않습니다. 시간을 낭비하지 마십시오!

********************

—RAGNAR SECRET —

*

—RAGNAR SECRET—

********************

Ragnar Locker는 무엇을합니까?

Ragnar Locker는 일반적으로 ConnectWise와 같은 MSP 도구를 통해 제공되며, 사이버 범죄자들은 ​​고도로 표적화 된 랜섬웨어 실행 파일을 드롭합니다. 이 전파 기술은 Sodinokibi와 같은 이전의 매우 악성 랜섬웨어에서 사용되었습니다. 이러한 유형의 공격이 발생하면 랜섬웨어 작성자는 안전하지 않거나 보안이 취약한 RDP 연결을 통해 조직이나 시설에 침투합니다. 그런 다음 도구를 사용하여 액세스 가능한 모든 엔드 포인트에 Powershell 스크립트를 보냅니다. 그런 다음 스크립트는 랜섬웨어를 실행하고 엔드 포인트를 암호화하도록 설계된 Pastebin을 통해 페이로드를 다운로드합니다. 경우에 따라 페이로드는 파일 기반 공격의 일부로 실행되는 실행 파일의 형태로 제공됩니다. 완전히 파일없는 공격의 일부로 추가 스크립트가 다운로드되는 경우도 있습니다.

Ragnar Locker는 특히 다음 문자열을 포함하여 관리 서비스 제공 업체가 일반적으로 실행하는 소프트웨어를 대상으로합니다.

  • vss
  • sql
  • 메타
  • 메포
  • sophos
  • veeam
  • 백업
  • pulseway
  • logme
  • 로그인
  • connectwise
  • splashtop
  • kaseya

랜섬웨어는 먼저 대상의 파일을 훔쳐 서버에 업로드합니다. Ragnar Locker의 독특한 점은 단순히 파일을 암호화하는 것이 아니라 EDP 사건과 같이 몸값을 지불하지 않으면 데이터가 공개 될 것이라고 피해자를 위협한다는 것입니다. EDP를 통해 공격자들은 10TB의 도난 데이터를 공개하겠다고 위협했는데, 이는 역사상 가장 큰 데이터 유출 중 하나 일 수 있습니다. 공격자들은 모든 파트너, 클라이언트 및 경쟁 업체에게 위반 사실을 알리고 유출 된 데이터가 대중의 소비를 위해 뉴스 및 미디어 이미지로 전송 될 것이라고 주장했습니다. EDP의 대변인은이 공격이 유틸리티의 전력 서비스 및 인프라에 영향을 미치지 않는다고 발표했지만 다가오는 데이터 유출은 그들이 걱정하는 것입니다.

서비스 비활성화 및 프로세스 종료는 맬웨어가 보안 프로그램, 백업 시스템, 데이터베이스 및 메일 서버를 비활성화하는 데 사용하는 일반적인 전술입니다. 이러한 프로그램이 종료되면 데이터를 암호화 할 수 있습니다.

처음 시작하면 Ragnar Locker가 구성된 Windows 언어 기본 설정을 검색합니다. 언어 기본 설정이 영어 인 경우 맬웨어는 다음 단계를 계속합니다. 그러나 Ragnar Locker가 해당 언어가 구 소련 국가 중 하나로 설정되어 있음을 감지하면 악성 코드는 프로세스를 종료하고 컴퓨터를 암호화하지 않습니다.

Ragnar Locker는 차단하기 전에 MSP의 보안 도구를 손상시킵니다. 랜섬웨어가 실행되지 않습니다. 내부에 들어가면 맬웨어가 암호화 프로세스를 시작합니다. 포함 된 RSA-2048 키를 사용하여 중요한 파일을 암호화합니다.

Ragnar Locker는 모든 파일을 암호화하지 않습니다. 다음과 같은 일부 폴더, 파일 이름 및 확장자를 건너 뜁니다.

  • kernel32.dll
  • Windows
  • Windows.old
  • Tor 브라우저
  • Internet Explorer
  • Google
  • Opera
  • Opera 소프트웨어
  • Mozilla
  • Mozilla Firefox
  • $ Recycle.Bin
  • ProgramData
  • 모든 사용자
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

추가를 제외하고 암호화 된 파일에 대한 새로운 파일 확장자 인 Ragnar Locker는 모든 암호화 된 파일 끝에 'RAGNAR'파일 마커를 추가합니다.

Ragnar Locker는 랜섬 금액, 비트 코인 지불 주소, 공격자와 통신하는 데 사용할 TOX 채팅 ID 및 백업 이메일 주소에 대한 세부 정보가 포함 된 '.RGNR_ [extension] .txt'라는 랜섬 메시지를 삭제합니다. TOX에 문제가있는 경우. 다른 랜섬웨어와 달리 Ragnar Locker는 고정 된 양의 랜섬이 없습니다. 대상에 따라 다르며 개별적으로 계산됩니다. 일부 보고서에서 몸값은 $ 200,000에서 $ 600,000까지 다양 할 수 있습니다. EDP의 경우 요청한 몸값은 1,580 비트 코인 또는 1,100 만 달러였습니다.

라그나 로커 제거 방법

컴퓨터가 라그나 로커에 감염된 것이 불행한 경우 가장 먼저해야 할 일은 확인하는 것입니다. 모든 파일이 암호화 된 경우. 또한 백업 파일이 암호화되었는지도 확인해야합니다. 이와 같은 공격은 중요한 데이터를 백업하는 것의 중요성을 강조합니다. 최소한 파일 액세스 권한을 잃어 버릴 염려가 없기 때문입니다.

몸값은 쓸모가 없으므로 지불하지 마십시오. 공격자가 올바른 암호 해독 키를 전송하고 파일이 공개되지 않을 것이라는 보장은 없습니다. 사실, 공격자는 귀하가 지불 할 의향이 있음을 알고 있기 때문에 계속해서 귀하로부터 돈을 갈취 할 가능성이 높습니다.

귀하가 할 수있는 일은 해독을 시도하기 전에 먼저 컴퓨터에서 랜섬웨어를 삭제하는 것입니다. 그것. 바이러스 백신 또는 맬웨어 방지 앱을 사용하여 컴퓨터에서 맬웨어를 검색하고 지침에 따라 감지 된 모든 위협을 삭제할 수 있습니다. 다음으로 악성 코드와 관련이있을 수있는 의심스러운 앱이나 확장 프로그램을 제거합니다.

마지막으로 Ragnar Locker와 일치하는 암호 해독 도구를 찾으십시오. 랜섬웨어에 의해 암호화 된 파일 용으로 설계된 여러 해독기가 있지만 보안 소프트웨어 제조업체에서 사용 가능한 경우 먼저 확인해야합니다. 예를 들어 Avast와 Kaspersky에는 사용자가 사용할 수있는 고유 한 암호 해독 도구가 있습니다. 다음은 시도해 볼 수있는 다른 암호 해독 도구 목록입니다.

Ragnar Locker로부터 자신을 보호하는 방법

랜섬웨어는 특히 맬웨어에 의해 수행 된 암호화를 취소 할 수있는 기존 암호 해독 도구가없는 경우 매우 까다로울 수 있습니다. . 랜섬웨어, 특히 Ragnar Locker로부터 기기를 보호하려면 다음 몇 가지 팁을 염두에 두어야합니다.

  • 이중 요소 또는 다중 요소 인증을 사용하여 강력한 비밀번호 정책을 사용합니다. (MFA) 가능하면. 가능하지 않은 경우 추측하기 어려운 임의의 고유 한 비밀번호를 생성합니다.
  • 자리를 비울 때는 컴퓨터를 잠 가야합니다. 점심 식사를하든, 잠깐 휴식을 취하 든, 아니면 그냥 화장실에 가든 관계없이 무단 액세스를 방지하기 위해 컴퓨터를 잠급니다.
  • 특히 중요한 정보에 대한 데이터 백업 및 복구 계획을 만듭니다. 컴퓨터. 가능한 경우 네트워크 외부 또는 외부 장치에 저장된 가장 중요한 정보를 저장하십시오. 이러한 백업을 정기적으로 테스트하여 실제 위기 상황에서 올바르게 작동하는지 확인하십시오.
  • 시스템을 최신 보안 패치로 업데이트하고 설치하십시오. 랜섬웨어는 일반적으로 시스템의 취약성을 악용하므로 기기의 보안이 완벽해야합니다.
  • 랜섬웨어의 가장 일반적인 배포 방법 인 피싱의 일반적인 경로에주의하세요. 임의의 링크를 클릭하지 말고 항상 이메일 첨부 파일을 컴퓨터로 다운로드하기 전에 검사하세요.
  • 기기에 강력한 보안 소프트웨어를 설치하고 최신 위협으로 데이터베이스를 업데이트합니다.

YouTube 비디오: Ragnar Locker 랜섬웨어를 처리하는 방법

05, 2024