SuperAntiSpyware 안티멀웨어 프로그램으로 가장하여 설치되는 Kraken 랜섬웨어

SuperAntiSpyware 안티멀웨어 프로그램으로 가장하여 설치되는 Kraken 랜섬웨어

 

 

https://www.bleepingcomputer.com/news/security/kraken-cryptor-ransomware-masquerading-as-superantispyware-security-program/

 

 

Kraken Cryptor Ransomware 1.5가 SuperAntiSpyware로 가장하여 설치되고 있습니다. 

 

 랜섬웨어는 C:\ProgramData\Safe.exe 파일을 생성하고 실행합니다. 크라켄 랜섬웨어는 다음과 같은 국가에서는 암호화하지 않습니다.

 

Armenia, Azerbaijan, Belarus, Estonia, Georgia, Iran, Kyrgyzstan, Kazakhstan, Lithuania, Latvia, Moldova, Russia, Tajikistan, Turkmenistan, Ukraine, Uzbekistan, and Brazil

 

암호화되면 파일은 00000000-Lock.onion, 00000001-Lock.onion ... 식으로 암호화된 파일을 저장하고 모든폴더에 Files.html 이라는 0.125 bitcoin을 요구하는 파일을 생성합니다.

 

 

이 랜섬웨어는 Sysinternals 사이트에서 SDelete(https://docs.microsoft.com/en-us/sysinternals/downloads/sdelete)를 다운로드하고  release.bat라는 배치 파일을 실행합니다. SDelete는 파일을 지우고 드라이브의 모든 여유 공간을 0으로 덮어 써서 파일을 복구하기 어렵게 합니다. 또한 Windows 시작 복구를 비활성화, Windows 백업을 삭제하고 섀도우 볼륨 복사본을 삭제합니다.

 

현재로서는 Kraken Cryptor Ransomware 변종에 의해 암호화 된 파일의 복구할 방법이 없습니다.