Dharma Ransomware 관련 이슈

최근 Dharma Ransomware 변종이 활발하게 활동하고 있습니다.
Dharma Ransomware는 피해자가 파일을 다시 가져올 때까지 강력한 암호화 알고리즘으로 피해자 파일을
암호화 합니다.

 

오늘은 Dharma Ransomware에 대해 포스팅 하겠습니다.

 

Dharma Ransomware는 Crysis Ransomware의 변종으로 보안상 취약점이 존재하는 원격데스크톱 프로토콜(RDP)를 통해서 감염되며 파일을 암호화하는 과정을 통해 피해자에게 금전적인 요구를 하는 Ransomware입니다.

 

 

감염경로 :

 

멀웨어는 다음의 파일을 파일시스템에 추가합니다.
• Malware.exe
- %SystemRoot%\Malware.exe
- %Userprofile%\Start Menu\Programs\Startup\Info.hta

 

트로이 목마는 다음의 파일을 Windows에 추가하여 재부팅시 지속성을 보장합니다.

• % Userprofile%\Start Menu\Programs\Startup\Malware.exe"

그리고 Windows 레지스트리 시작에 다음의 키를 추가합니다.

 

 

컴퓨터가 해킹되면 멀웨어는 자체 실행파일을 %SystemRoot%폴더에 복사하고 기본 실행 파일을 삭제하며,
모든 개인 파일의 확장자 이름을 .wallet으로 바꿉니다.

 

 

멀웨어는 모든 개인 문서 및 파일을 암호화하고 다음의 웹페이지를 표시합니다.
피해자가 Bitcoin을 사용하여 파일을 복구 할 수 있는 암호 해독기를 받도록 요구합니다.

 

 

마지막으로 이러한 Ransomware의 피해를 최소화 할 수 있는 방안은 다음과 같습니다.
- 백신 프로그램의 경우 항상 최신버전을 유지합니다.
- 윈도우 OS를 최신버전으로 업데이트 합니다.
- 랜섬웨어 감염이 의심될 경우 108, 110으로 신고합니다.
- ShadowExplorer를 이용하여 랜섬웨어를 복구하는 방법이 있지만 100% 복구는 아니기 때문에
가급적 중요한 파일들은 따로 백업을 하여 만일의 사태에 대비하는 것이 좋습니다.

 

오늘은 Dharma Ransomware 관련 이슈에 대한 내용으로 포스팅을 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.