디스크 전체를 암호화하는 랜섬웨어

https://www.boannews.com/media/view.asp?idx=99845

새로운 랜섬웨어가 등장했다. 이름은 '딥블루매직' 이고

C드라이브를 제외한 디스크 전체를 암호화하며, 이 암호화도 시작하자마자 그만둬 

접근이 불가한 상태로 만든다. 

 

딥블루매직은 Jetico에서 개발된 암호화 도구인 베스트크립트 볼륨 인크립션(BestCrypt Volume Encryption)을 이하BCVE

사용해 피해자들을 공격하는 것으로 분석됨. 이 때 C드라이브를 제외한 모든 드라이브를 암호화한다.

주로 공격당하는 플랫폼은 Windows Server 2012 R2.

 

좀 더 자세한 작동방법은 다음과 같다.

- C를 예외로, D드라이브 부터 제일 먼저 암호화하며, 암호화와 동시에 거의 곧바로 암호화 프로세스를 종료.

- D드라이브의 전체가 아닌 일부만 암호화를 해 드라이브 하나를 인식 불가 상태로 만듦.

- BCVE 자체는 정상적인 암호화 도구이기 때문에 암호화 도중 복구 파일이 생성되지만 공격자가 삭제하거나 암호화한다

- 최근 개발되는 랜섬웨어들은 암호화 이전에 행위 기반 위협 탐지 도구를 비활성화한다.

하지만 딥블루매직의 경우 서드파티 윈도우 서비스를 비활성화 시킨다. 이후 암호화까지 마치면

윈도 볼륨 셰도우(Window Volume Shadow) 복사본을 삭제.