분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]다시 등장한 Seon 랜섬웨어 감염 주의

TACHYON & ISARC 2019. 1. 22. 01:00

다시 등장한 Seon 랜섬웨어 감염 주의

1. 개요

Seon 랜섬웨어는 2018년 11월에 파워쉘 스크립트를 통한 Fileless 형태로 등장했었다. 최근에 다시 등장한 Seon 랜섬웨어는  ver.0.2 라고 버전이 표기 되어 있으며, Malvertising 및 GreenFlashSundown Exploit Kit 을 통해 유포 된다고 알려졌다. 해당 랜섬웨어는 지난 11월에 이어 다시 등장한 만큼 주의가 필요하다.

 

이번 보고서에는 최근에 발견 된 Seon 랜섬웨어 대해서 알아보고자 한다.


 

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

61,968 bytes

 진단명

Ransom/W32.Seon.61968

 악성동작

파일 암호화

 


2-2. 유포 경로

해당 랜섬웨어는 Malvertising 및 GreenFlashSundown Exploit Kit 을 통해 유포 된다고 알려졌을 뿐, 아직 정확한 유포경로는 밝혀지지 않았다.

 

 


2-3. 실행 과정

Seon 랜섬웨어 실행 시, 지정된 확장자 파일을 암호화하고 암호화된 파일의 확장자에 .FIXT 를 덧붙인다. 이후 사용자가 암호화된 파일을 복구하지 못하도록 쉐도우 복사본을 삭제한다. 암호화 동작이 끝나고 나면, ‘YOUR_FILES_ARE_ENCRYPTED.TXT’ 그리고 ‘readme.hta’ 라는 이름을 가진 2종류의 랜섬노트를 생성한 뒤 결제방법을 안내한다.

 

[그림 1] ‘readme.hta’ 랜섬노트[그림 1] ‘readme.hta’ 랜섬노트

 

 

 

 

3. 악성 동작

3-1. 파일 암호화

사용자 PC를 탐색하여 아래 [표 1]에 해당하는 조건을 제외하고 암호화를 진행 한다.

 

구분 

내용 

암호화 제외 파일

bootsect.bak, ntuser.ini, thumbs.db, your_files_are_encrypted.txt, ntldr, iconcache.db, desktop.ini, ntuser.dat.log, bootfont.bin, ntuser.dat, boot.ini, autorun.inf

 암호화 제외 폴더

system volume information, programdata, application data, $windows.~bt, program files,
tor browser, windows, mozilla, appdata, windows.old, program files (x86), $recycle.bin,
google, boot

 암호화 제외 확장자

 .mod .adv .dll .msstyles .mpa nomedia .ocx .cmd .ps1 .themepack .sys .prf .diagcfg .cab .ldf .diagpkg .icl .386 .ico

.cur .ics .ani .bat .com .rtp .diagcab .nls .msc .deskthemepack .idx .msp .msu .cpl .bin .shs

.wpx .icns .exe .rom .theme .hlp .spl .fixt .lnk .scr .drv

[표 1] 암호화 제외 조건


 

 

 

암호화 대상이 되는 파일을 찾아 암호화를 진행한 후 아래 [그림 2]와 같이 .FIXT 확장자를 덧붙인다. 또한 암호화가 완료된 폴더에 ‘YOUR_FILES_ARE_ENCRYPTED.TXT’ 라는 이름의 랜섬노트를 생성한다.

 

[그림 2] 암호화 된 파일[그림 2] 암호화 된 파일

 

 

 

[그림 3] ‘YOUR_FILES_ARE_ENCRYPTED.TXT’ 랜섬노트[그림 3] ‘YOUR_FILES_ARE_ENCRYPTED.TXT’ 랜섬노트

 

 

 

3-2. 시스템 복원 지점 삭제 및 윈도우 복구 모드 비활성화

‘vssadmin.exe’ 파일을 실행하여 볼륨 쉐도우 복사본을 삭제하고 시스템 복원 기능을 마비시킨다. 또한, ‘bcdedit.exe’ 파일을 실행하여 윈도우 복구 모드와 오류 복구 알림 기능을 비활성화해서 사용자가 PC를 감염 이전 상태로 복구하는 것을 막는다.

 

명령어

기능 

vssadmin.exe delete shadows /all /Quite

볼륨 쉐도우 복사본 삭제

bcdedit.exe /set {default} recoveryenabled no

윈도우 복구 모드 비활성화

bcdedit /set {default} bootstatuspolicy ignoreallfailures

윈도우 오류 복구 알림 비활성화

[표 2] 시스템 복원 지점 삭제 및 윈도우 복구 모드 비활성화

 

 

 

 

4. 결론

이번 보고서에서 알아 본 Seon 랜섬웨어는 아직 피해사례가 많이 알려지지는 않았지만, 지속적인 버전업의 가능성이 있으므로 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 4] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 4] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

TACHYON Internet Security 5.0 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

[그림 5] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 5] TACHYON Internet Security 5.0 랜섬웨어 차단 기능