2025년 4월 12일 ~ 2025년 4월 25일까지 앱체크 안티랜섬웨어(AppCheck Anti-Ransomware) 제품 사용자를 통해 보고된 랜섬웨어(Ransomware) 통계 정보를 살펴보도록 하겠습니다.

​

(1) MedusaLocker 랜섬웨어

■ 파일 암호화 패턴 / 결제 안내 파일 : .CRFILE3 / READ_NOTE.html

새벽 시간대를 이용하여 원격 데스크톱 프로토콜(RDP)을 통해 시스템에 접속하여 실행된 MedusaLocker 랜섬웨어는 공격자가 최초 접속한 장치에서 다른 장치로 측면 이동을 한 것으로 확인되었으며, "C:\Users\Administrator\Music\CRFILE3\CRFILE3.exe" 파일 위치에서 실행되었습니다.

​

(2) Trigona 랜섬웨어

■ 파일 암호화 패턴 : <Random>.<Random>.-encrypted / trial-recovery.<Random>.<Random>.-encrypted ■ 결제 안내 파일 : how_to_decrypt.txt

2022년 하반기에 최초 발견되었던 Trigona 랜섬웨어는 2024년 7월경 유포되었던 패턴과 동일한 변종을 이용하여 최근 공격을 다시 진행하였으며 암호화된 파일은 2종의 파일명 패턴으로 암호화될 수 있습니다.

​

특히 실행된 랜섬웨어는 c:\svc.exe /p "c:\" /depth 50 /wipe "c:\" 실행 명령어를 통하여 파일 암호화 후 C 드라이브의 하위 폴더 깊이가 50개까지 검사하여 덮어쓰기 방식으로 파일 복구를 할 수 없도록 하였던 것으로 보입니다.

​

이번 통계 기간 탐지 및 보고된 랜섬웨어는 총 2종으로 원격 데스크톱 프로토콜(RDP) 또는 MS-SQL DB 관리자 계정 해킹을 통해 시스템에 직접 접속한 후 다양한 보안 제품 무력화 툴을 이용하여 랜섬웨어 악성 파일이 탐지되지 않도록 조치한 후, 기업 내 다른 장치로 연결할 수 있는지 네트워크 스캔 및 비밀번호 복구 방식을 이용하여 전파를 할 수 있도록 비밀번호 강화와 제한적 사용자만 접근할 수 있도록 보안 강화를 하시기 바랍니다.

[출처] 앱체크 랜섬웨어 탐지 통계 (2025.4.12 ~ 2025.4.25)|작성자 체크멀

​