CoinVault 랜섬웨어에 대한 통찰력

랜섬웨어(Ransomware) 악성 맬웨어가 주변에 퍼지고 있으며 이것이 강력한 위협이라는 평판을 유지해 왔다는 사실은 부인할 수 없습니다. 날이 갈수록 랜섬웨어 위협이 증가하고 있으며 그 속도가 느려질 기미가 없습니다.

랜섬웨어는 조직뿐만 아니라 개인, 병원 및 거의 모든 산업 분야에 주요 위협입니다. 일반적으로 대부분은 악성 링크를 클릭하거나 손상된 웹 사이트를 방문하는 등의 사용자 행동을 통해 확산됩니다.

오늘은 또 다른 악성 랜섬웨어에 대해 알아보겠습니다. 이 랜섬웨어를 다르게 만드는 유일한 것은 사용자가 하나의 파일을 해독하여 피해자가 암호화된 모든 파일을 해독할 수 있음을 증명할 수 있다는 것입니다.

코인볼트란?

암호화 로커 제품군의 일부인 파일 암호화 랜섬웨어 프로그램인 CoinVault. 다른 랜섬웨어 프로그램과 달리 암호 해독 사이트를 사용하여 지불하고 암호 해독기를 다운로드하지 않습니다. 대신 실행 가능한 맬웨어에 내장된 암호 해독 기능과 지불 시스템이 있습니다.

어떻게 배포되나요?

CoinVault는 ZIP 첨부 파일로 실행 파일인 PDF 파일이 포함된 이메일을 통해 전파됩니다. 이 PDF 파일은 송장, 구매 주문서, 청구서, 불만 사항 또는 일종의 통신으로 가장합니다. 피해자가 가짜 PDF를 더블 클릭하면 시스템이 CoinVault에 감염되고 %AppData%\Microsoft\Windows 폴더에 악성 코드가 설치됩니다.

작동 원리

CoinVault가 컴퓨터에 설치되면 시스템에서 데이터 파일 검색을 시작한 다음 액세스할 수 없도록 AES 암호화를 사용하여 암호화합니다. 모든 파일이 암호화되면 CoinVault는 파일에 대한 정보, 몸값 및 지불 방법에 대한 지침이 포함된 CoinVault 프로그램을 표시합니다.

몸값 금액은 0.7 비트코인부터 시작하여 피해자가 지불하지 않으면 24시간마다 금액이 증가하므로 올라갑니다. 비트코인 주소는 감염된 컴퓨터마다 다릅니다.

참고: CoinVault는 파일이 무엇을 할 수 있는지 증명하기 위해 무료로 한 번 파일을 해독할 수 있습니다.

파일은 어떻게 해독됩니까?

복호화할 파일이 선택되면 CoinVault는 파일을 명령 및 제어 서버에 업로드하고 복호화한 다음 복호화 요청이 전송된 시스템으로 다시 보냅니다.

CoinVault는 Windows 바탕 화면 배경 화면을 "파일이 암호화되었습니다!"로 변경하기도 합니다.

또한 읽기: Spartacus Ransomware에 대해 알아야 할 모든 것

CoinVault는 어떤 파일 형식을 암호화합니까?

CoinVault는 암호화할 시스템에 연결된 모든 드라이브에서 특정 파일을 찾습니다. 이는 USB, 외부 드라이브, 네트워크 드라이브 및 클라우드 서비스까지 위험에 처해 있음을 의미합니다. CoinVault는 다음 확장자로 끝나는 파일을 암호화합니다.

시스템이 감염되었음을 알게 되면 어떻게 해야 합니까?

시스템이 CoinVault에 의해 손상되었다는 것을 알게 되면 2가지 작업을 수행할 수 있습니다.

1. 몸값을 지불하고 공격자가 데이터를 해독하도록 합니다.
2. 수행한 백업을 복원하여 파일을 복원합니다.

컴퓨터가 CoinVault에 감염되는 것을 방지하는 방법은 무엇입니까?

컴퓨터가 CoinVault에 감염되는 것을 방지하려면 특정 경로에서 발견된 실행 파일이 실행되는 것을 차단하는 소프트웨어 제한 정책을 생성해야 합니다. 이를 위해서는 Windows 그룹 또는 로컬 정책 편집기를 사용해야 합니다.

제한 규칙을 추가하려면 다음 단계를 따르세요.

1. 시작 버튼을 클릭하고 로컬 보안 정책을 입력합니다.

2. 이제 왼쪽 창에 열리는 새 창에서 소프트웨어 제한 정책을 찾습니다.

3. 정의된 정책이 없으면 소프트웨어 제한 정책을 마우스 오른쪽 버튼으로 클릭하여 새 정책을 추가해야 합니다.

4. 이제 새 소프트웨어 제한 정책을 클릭하여 정책을 활성화하면 오른쪽 창이 아래 이미지와 같이 표시됩니다.

5. 이제 오른쪽 창에 있는 추가 규칙 폴더를 마우스 오른쪽 버튼으로 클릭하고 새 경로 규칙을 선택합니다. 이렇게 하면 경로 규칙을 추가할 수 있습니다.

반드시 읽어야 함: Crypto Mining은 Ransomware 다음의 큰 위협입니다.

추가해야 하는 항목은 다음과 같습니다.

%AppData%에서 실행 가능한 CoinVault를 차단하려면

경로: %AppData%\*.exe
보안 수준: 허용되지 않음
설명: 실행 파일이 %AppData%에서 실행되는 것을 허용하지 않습니다.

%LocalAppData%에서 실행 가능한 CoinVault를 차단하려면

Windows XP를 사용하는 경우 경로: %UserProfile%\Local Settings\*.exe
Windows Vista/7/8을 사용하는 경우 경로: %LocalAppData%\*.exe
보안 수준: 허용되지 않음
설명: 실행 파일이 %AppData%에서 실행되는 것을 허용하지 않습니다.

%AppData%에서 Zbot 실행을 차단하려면

경로: %AppData%\*\*.exe
보안 수준: 허용되지 않음
설명: 실행 파일이 %AppData%의 바로 하위 폴더에서 실행되는 것을 허용하지 않습니다.

%LocalAppData%에서 실행 가능한 Zbot을 차단하려면

Windows Vista/7/8을 사용하는 경우 경로: %LocalAppData%\*\*.exe
보안 수준: 허용되지 않음
설명: 실행 파일이 %AppData%의 바로 하위 폴더에서 실행되는 것을 허용하지 않습니다.

WinRAR로 연 아카이브 첨부 파일에서 실행되는 실행 파일을 차단하려면:

Windows XP를 사용하는 경우 경로: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Windows Vista/7/8을 사용하는 경우 경로: %LocalAppData%\Temp\Rar*\*.exe
보안 수준: 허용되지 않음
설명: WinRAR로 연 아카이브 첨부 파일에서 실행되는 실행 파일을 차단합니다.

7zip으로 연 아카이브 첨부 파일에서 실행되는 실행 파일을 차단하려면:

Windows Vista/7/8을 사용하는 경우 경로: %LocalAppData%\Temp\7z*\*.exe
보안 수준: 허용되지 않음
설명: 7zip으로 열린 아카이브 첨부 파일에서 실행되는 실행 파일을 차단합니다.

WinZip으로 연 아카이브 첨부 파일에서 실행되는 실행 파일을 차단하려면:

Windows Vista/7/8을 사용하는 경우 경로: %LocalAppData%\Temp\wz*\*.exe
보안 수준: 허용되지 않음
설명: WinZip으로 연 아카이브 첨부 파일에서 실행되는 실행 파일을 차단합니다.

Windows 내장 Zip 지원을 사용하여 열린 아카이브 첨부 파일에서 실행되는 실행 차단:

Windows Vista/7/8을 사용하는 경우 경로: %LocalAppData%\Temp\*.zip\*.exe
보안 수준: 허용되지 않음
설명: Windows 기본 제공 Zip 지원을 사용하여 연 아카이브 첨부 파일에서 실행되는 실행 파일을 차단합니다.

참고: 소프트웨어 제한 정책에 이러한 경로를 추가할 때 사용하면 일부 합법적인 응용 프로그램이 작동을 중지할 수 있습니다. 이것은 일부 회사가 무의식적으로 Program Files 폴더가 아닌 사용자 프로필 아래에 응용 프로그램을 설치하기 때문에 발생합니다. 이로 인해 소프트웨어 제한 정책은 해당 응용 프로그램의 실행을 중지합니다.

따라서 이러한 응용 프로그램을 실행하려면 위에서 설명한 단계를 사용하여 프로그램 실행을 허용하는 경로 규칙을 추가해야 합니다. 그렇게 하려면 특정 프로그램의 실행 파일에 대한 경로 규칙을 만들고 보안 수준을 허용되지 않음 대신 제한되지 않음으로 설정해야 합니다.

그렇게 하면 지정된 응용 프로그램이 실행되기 시작합니다.

이 기사가 충분히 유익하고 유용하기를 바랍니다. 질문이 있으시면 언제든지 저희에게 연락하십시오. 또한 피드백은 우리에게 가치가 있고 고객이 우리에게 기대하는 바를 이해하는 데 도움이 되므로 보내주십시오.