랜섬웨어 분석 정보

[랜섬웨어 분석]모든 파일을 암호화하는 Blind 랜섬웨어 감염 주의

모든 파일을 암호화하는 Blind 랜섬웨어 감염 주의

1. 개요

2017년 하반기에 발견된 Blind 랜섬웨어는 다양한 변종으로 변화하고 있으며, 최근에도 유포되고 있다. Blind 랜섬 웨어는 변종 마다 감염 파일에 덧붙이는 확장자를 변경하고 있는데, 최근에 발견된 버전에서는 .skeleton 이라는 확장자를 사용하고 있다. 해당 랜섬웨어는 수년 간 여러 변종이 발견되고 있으며 최근까지 유포되고 있기 때문에 사용자들의 주의가 필요하다.

 

이번 보고서에서는 .skeleton감염 확장자를 사용하는 Blind 랜섬웨어에 대해 간략하게 알아보고자 한다.

 

 


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 [임의의 파일명].exe
파일크키 651,264 bytes
진단명 Ransom/W32.Blind.651264
악성 동작 파일 암호화


2-2. 유포 경로

정확한 유표 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일 또는 변조된 웹 사이트를 통해 유포되었을 것으로 추정된다.


2-3. 실행 과정

Blind 랜섬웨어를 실행하면 윈도우 오류 복구 알림을 비활성화 시키며, 특정 프로세스를 종료시킨다. 이후 암호화 대상 파일을 선별하여 파일을 암호화한 뒤, 파일명에 .[skeleton@rape.lol].skeleton을 덧붙인다. 마지막으로 랜섬노트를 실행 시켜 감염 사실과 함께 복호화 방법을 안내한다.

 

[그림 1] How_Decrypt_Files.txt 랜섬노트

 

 


3. 악성 동작

3-1. 윈도우 오류 복구 알림 창 비활성화 및 특정 프로세스 종료

Blind 랜섬웨어가 실행되면 bcdedit.exe 파일을 실행하여 윈도우 오류 복구 알림 창을 비활성화한다. 이후 oracle.exe와 sqlservr.exe가 PC에서 실행되고 있는지 확인하여 종료시킨다.

 

[그림 2] 오류 복구 알림 창 비활성화 및 프로세스 종료 코드


3-2. 파일 암호화

Blind 랜섬웨어는 아래의 [그림 3]과 같이PC의 디스크 드라이브를 검색하여 드라이브 타입이 하드디스크 혹은 원격 드라이브라면 모든 파일을 암호화 한다. 암호화 완료 후에는 [그림 4]처럼 .[skeleton@rape.lol].skeleton을 파일 이름에 덧붙인다. 악성 동작이 끝나면 랜섬노트와 바탕화면 변경을 통해 복호화 방법을 안내한다.

 

[그림 3] 디스크 드라이브 타입 확인 코드

 

[그림 4] 암호화 된 파일 목록

 

 

4. 결론

이번 보고서에서 알아본 Blind 랜섬웨어는 아직 피해사례가 많이 알려지지는 않았지만, 지속적인 버전업의 가능성이 있으므로 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Endpoint Security 5.0 진단 및 치료 화면

 

 

TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.

 

[그림 6] TACHYON Endpoint Security 5.0 랜섬웨어 차단 기능

댓글

댓글쓰기

랜섬웨어 분석 정보 관련된 글

관련글 더보기