스페인을 노리는 랜섬웨어-Reyptson Ransomware(Reyptson 랜섬웨어)증상 및 예방

Posted by Sakai
2017.07.20 19:36 보안

오늘은 스페인 어 사용자를 노리는 랜섬웨어인 Reyptson Ransomware 증상 및 예방에 대해 알아보겠습니다. 일단 해당 Reyptson Ransomware는 마치 지난 우크라이나 지역을 노린 XData Ransomware(XData 랜섬웨어)와 비슷한 경향을 보이고 있습니다. 즉 특정 국가 사용자 및 특정 언어를 사용하는 사용자를 노리는 것입니다. 일단 Reyptson Ransomware은 스페인과 스페인 어를 사용을 하시는 사람들의 대상으로 하는 랜섬웨어 입니다. 일단 한국하고는 크게 연관이 없겠지만, 문제는 한국에서 스페인 어 관련 일을 하시는 분들이나 스페인과 거래를 하시는 사업자 분들 스페인 친구들과 사귀시는 분들 등 스페인 어를 사용을 하시는 분들은 조심하는 것이 가장 좋으리라 생각이 듭니다. 일단 증상은 모든 랜섬웨어가 늘 하던 방식처럼 파일이 암호화되면 접근이 불가능해지고 .REYPTSON 확장자로 변경되면 AES-128비트로 파일을 암호화해버립니다. 아무튼, AES 같은 암호화 기술은 개인정보 유출 방지 들에 사용하려고 하는 데 이용한 것인데 나쁜 쪽에 이용하면 이렇게 이용을 할 수가 있습니다. Reyptson cryptovirus는 레지스트리 항목을 변조하고 스페인 어로 작성된 랜섬 노트 즉 몸값을 남기고 200유로의 대가를 요구합니다.

[보안] - 우크라이나를 겨냥한 XData 랜섬웨어 감염 증상 및 예방 방법

[보안] - XData Ransomware(XData 랜섬웨어)에 대한 마스터 암호화 해독 도구 발표

그리고 다른 사람에도 이런 랜섬웨어를 퍼뜨리려고 메일을 통해서 악성코드를 퍼뜨리기 시작을 합니다. 그리고 메일 항목에서는 Veri imprimir factura라는 것이 있는데 해당 버튼을 눌러주면 http://www.melvinmusicals.???/facefiles/factura.pdf.rar로 연결이 되게 돼 있습니다.

암호화하는 파일 확장자 들은 다음과 같습니다.

.doc, .dot, .wbk, .docx, .docm, .dotx, .dotm, .docb, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb. .ppl, .pptx, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .accdb, .db, .accde, .accdt, .accdr, .pdf, .ani, .anim, .apng, .art, .bmp, .bpg, .bsave, .cal, .cin, .cpc, .cpt, .dds , .dpx, .ecw, .exr, .fits, .flic, .fifx, .gif, .hdri, .hevc, .icer, .icns, .ico, .cur, .ics, .ilbm,. jbig, .jbig2, .jng, .2000, .jpeg -ls, .jpeg, .xr, .kra, .mng, .miff, .nrrd, .ora, .pam, .pbm, .pgm, .ppm,. pnm, .pcx, .pgf, .pictor, .png, .psd, .psb, .psp, .qtvr, .ras, .rbe, .jpeg-hdr, .logluv, .tiff, .sgi, .tga,. tiff, .tiff, .ufo, .ufp, .wbmp, .webp, .xbm, .xcf, .xpm, .xwd, .cpp, .h, .cs, .sln, .idb, .txt, .dat

그리고 해당 랜섬웨어는 jpg 파일은 암호화하지 않는다는 것이 특징 악성코드 제작자가 실수이든 고의적이든 간에 jpg 파일은 빠져 있기 때문에 암호화 대상에서 제외 처리가 됩니다.

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

랜섬노트에서는72시간 이내에 200유로를 지급해야 하는 것이 특징이면서 이상하게 보통 랜섬웨어 제작자들은 기본적으로 Shadow Volume Copies를 기본적으로 삭제해서 사용자들이 복구할 수 없도록 막는 것이 일반적으로 행동인데 해당 랜섬웨어는 Shadow Volume Copies를 삭제하지 하는 것이 특징입니다.

좋게 이야기하면 지난 시간에 이야기한 ShadowExplorer(새도우 익스플러워)를 이용을 할 수가 있다는 것이 됩니다. 즉 랜섬웨어를 제거를 하고 나서 ShadowExplorer(새도우 익스플러워)를 이용을 하면 100%는 아니지만 그래도 랜섬웨어를 복구를 할 확률이 높아진다는 것입니다. 즉 해당 랜섬웨어에 감염이 되면 한번 복구는 시도할 수가 있을 확률도 조금 있다는 것이 특징입니다. 일단 기본적으로 감염되지 않으려면 윈도우 업데이트와 자신이 사용하는 백신프로그램과 프로그램들은 항상 최신상태로 유지하는 것이 가장 좋은 랜섬웨어 예방 방법입니다.


신고

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
이 댓글을 비밀 댓글로
  1. 별별 새로운 랜섬웨어들이 많이 나오고 있네요
    조심해야겠네요
    • 항상 기본적인 보안 수칙을 지키는것이 가장 중요하다고 생각이 됩니다.