미국 사이버 보안 랜섬 맬웨어 사기

미국 사이버 보안 랜섬 맬웨어 사기

이 블로그 게시물에서, 저희는 널리 확산 되어 지고 있는 악성 코드의 군을 소개하고 싶습니다, 종종 어베스트에 의해 "레베톤(Reveton)"감지

됩니다. 레베톤은 랜섬 맬웨어로 분류되며; 어떤 프로그램은 컴퓨터를 잠그고 행동할 것으로 예상 됩니다. 보통 돈을 지불하라고 합니다. 원

하는 금액을 지불하거나 악성 응용 프로그램이 제거되지 않는 한, 사용자를 컴퓨터로 아무것도 할 수 없습니다.

아래 캠펴 화면(그림1)에서 가짜 미국 사이버 보안 공지의 예를 볼 수 있습니다. 사이버크룩스는 교묘하게 자신의 컴퓨터에서 발견된 불법의 행동을 한 사용자를 설득하려고 합니다. 분석한 샘플에서, 사용자는 불법으로 저작권의 내용을 다운로드 및 배포 혐의로 기소되고 있습니다.

모방하기 위해 진짜같은 모습와 미국 사이버 기관 로고뿐만 아니라 사용자의 위치에 대한 기본 정보(IP, 위치, IPS)을 왼쪽 상단에 표시됩니다.웹 카메라 같은 검은 색과 희색의 이미지는 오른쪽 상단에 표시됩니다. 이 사용자가 통합 된 웹 카메라를 통해 현재 당국이 감시 당하고 있다는 느낌을 만듭니다.오늘날 대부분의 컴퓨터는 웹카메라를 포함시킵니다. 그러나 분석한 컴퓨터에서, 웹 카메라가 없지만, 비디오 녹화 미지는 계속 표시했습니다.

이 창에는 '당신은 불법 동영상을 다운로드했거나, 미성년자 포르노를 봤거나, 또는 컴퓨터를 불법적으로 사용했다'고 나옵니다. 그 피해자는 "또한 머니팩을 통해 200달러의 벌금을 송금하라, 벌금을 내지 않으면 범죄혐의를 기록하고 이 창을 지우지 못하게 될 것이라고 협박했다"고 말했습다. 

위에서 언급 한 바와 같이, 맬웨어는 시동후에 시작합니다. 그래서 재부팅중, 컴퓨터는 작동되지 않습니다. 맬웨어는 폴더에 생성합니다:

“C:\Documents and Settings\<username>\Start Menu\Programs\Startup” file named “ctfmon.lnk”, which contains following Target value:

“%systemroot%\system32\rundll32.exe <path_to_malware>,FQ10″.

이 명령은 부팅시 맬웨어는 활동합니다.맬웨어 자체가 끓임없이 지속되기위해 방법에 대한 설명은 그림 2를 참조하십시오.

레베톤 제거하는 방법?

1. 안전 모드에서 컴퓨터를 재 부팅 합니다.

2. 시작 폴더를 찾아시작 폴더를 찾아 - "C : \ 문서 및 설정 \ <username> \ 시작 메뉴 \ 프로그램 \ 시작"

   (“C:\Documents and Settings\<username>\Start Menu\Programs\Startup”)

3. .lnk 파일 오른쪽 클릭,등록 정보 옵션을 선택 후 <path_to_malware> 대상 값을 확인

4. .<path to malware> 에서 ctfmon.lnk and file  <path to malware>두 파일을 삭제 합니다.

5. 일반 모드에서 컴퓨터를 재부팅하고 작업을 계속합니다.

레베톤은 (미국 사이버 보안, FBI등...) 뿐만 아니라 다양한 버전이 있습니다. 돈을 훔치기 위해 이 악성 프로그램에서 동일하게 유지됩니다.