C&C 차단이 필요하다.
암호화된 EXE 들이다.
joefel.com/easyscripts/sancho.tar.gz (접속 실패)
m-a-metare.fr/media/sancho.tar.gz (현재 라이브)
ourtrainingacademy.com/LeadingRE/sancho.tar.gz (현재 라이브)
locamat-antilles.com/memo/sancho.tar.gz (현재 라이브)
thomasottogalli.com/webtest/sancho.tar.gz (현재 라이브)
cds-chartreuse.fr/locales/sancho.tar.gz (현재 라이브)
이메일 웜 숙주에 의해서 퍼지고 있어, 빠른 대응이 요구된다.
Cab 확장자를 쓰고 있어 일부 스팸차단을 우회할 수 있다.
내부에는 Scr 확장자로 위장한 악성파일이 포함되어 있고, C&C로 접속해 암호화된 랜섬웨어를 다운로드한다.
이번 변종에는 Anti-VM 기능이 추가됐다.
다음은 암호화되는 화면이다.
암호화가 끝나면 바탕화면을 조작해 CTB-Locker 랜섬웨어 협박 화면을 띄운다.
댓글을 달아 주세요