말하는 랜섬웨어로 알려졌던 Cerber의 변종인 Cerber 2 랜섬웨어 차단 시연입니다.

이 공격은 scvhost.exe(svchost아님)가 실행되어 임의의 프로세스(매번 바뀜)을 실행시킨 후,

자신의 프로세스를 종료하고 파일을 삭제하여 흔적을 남기지 않는 특성이 있습니다.

공격을 받으면 파일명이 불특정하게 조합된 이름으로 바뀌고,

파일 확장자는 cerber2로 바뀝니다.

우리가 발견한 C&C주소는 31.184.235.255인데 러시아 소재 IP로 확인되었습니다.

랜섬프리는 공격행위를 탐지하여 차단함으로

이처럼 알려지지 않은 변종이나 신종 랜섬웨어까지 항상 선제적 차단이 가능합니다.