Http://194.156.98.51/bot/log.php

복호화 키를 포함한 CryptoWire 랜섬웨어 - ASEC BLOG 관련 IOC 4개 발견

ASEC은 2018년 유행한 CryptoWire 랜섬웨어가 최근에도 유포되고 있음을 확인했다. Autoit 스크립트로 제작된 것이 특징이며, 피싱 메일을 통해 유포되며, 자가 복제, 지속성 유지를 위한 작업 스케줄 등록, 로컬 네트워크 탐색 및 계정 탐색, 휴지통 삭제 및 볼륨쉐도우 카피 삭제를 한다. 파일 암호화는 [기존파일명].encrypted.[기존확장자] 의 형태로 하며, 복호화 키를 구매해야한다는 창을 띄운다. 그리고 복호화 키를 포함하고 있거나, 감염된 시스템 정보와 함께 공격자 서버로 전송하는 유형도 있다.

ASEC은 2018년 유행한 CryptoWire 랜섬웨어가 최근에도 유포되고 있음을 확인했다. Autoit 스크립트로 제작된 것이 특징이며, 피싱 메일을 통해 유포되며, 자가 복제, 지속성 유지, 로컬 네트워크 탐색, 계정 탐색, 휴지통 삭제 및 볼륨쉐도우 카피 삭제, 파일 암호화 등을 하며, 복호화 키를 구매해야한다는 창을 띄고, 복호화 키를 포함하거나 감염된 시스템 정보와 함께 공격자 서버로 전송하는 유형도 있는 것을

Ahnlab
Cryptowire ransomware with decryption keys -ASEC Blog

ASEC confirmed that Cryptowire ransomware, which was popular in 2018, is being distributed recently.It is made of autoit script and is distributed through phishing mail, and it is deleted by self -replication, registration of work schedules for self -replication, sustainable maintenance, local network search, account search, trash and volume shadow copy deletion.File encryption is in the form of [existing wave aka] .NCRYPTED. [Existing extension], and a window to purchase a decryption key should be purchased.There are also types of decryption keys that include or transmitted to an attacker server with infected system information.

ASEC confirmed that Cryptowire ransomware, which was popular in 2018, is being distributed recently.It is made of autoit script and is distributed through phishing mail, self -replication, sustainable maintenance, local network search, account search, tissue bin deletion, and volume shadow copy deletion, file encryption, etc.There is also a type that includes a decryption key or transmits to an attacker server with an infected system information.
https://asec.ahnlab.com/ko/62868/