Zeoticus 랜섬웨어
새롭게 발견 된 Zeoticus 랜섬웨어 감염 주의
1. 개요
최근 모든 파일을 암호화 시키는 Zeoticus 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 12월 30일경 처음 발견 되었으며, 아직 구체적인 피해사례는 알려지지 않았다. 그러나, 새롭게 발견 된 랜섬웨어인 만큼 사용자들은 PC 사용에 있어 관심과 주의가 필요하다.
이번 보고서에는 최근에 새롭게 발견 된 Zeoticus 랜섬웨어 대해서 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
2-2. 유포 경로
해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.
2-3. 실행 과정
Zeoticus 랜섬웨어 실행 시, 원본파일을 시스템 재부팅 후에도 자동으로 실행 되도록 레지스트리에 등록 한다. 이후 사용자 PC를 탐색하여 특정 프로세스가 실행 되고 있을 경우, 종료 시킨 후 암호화 대상이 되는 파일에 대해서 암호화를 진행한다. 암호화 동작 이후 [그림 1]과 같이 랜섬노트를 통해 복호화 방법을 안내한다.
3. 악성 동작
3-1. 자동 실행 등록
랜섬웨어가 실행되면 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’ 레지스트리에 [그림 2] 와 같이 등록하여 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 설정한다.
3-2. 프로세스 종료
[표 1] 과 같은 프로세스 목록과 비교하여 사용자 PC에서 실행되고 있을 경우 종료를 시도한다. 이는 암호화 동작을 좀 더 수월하게 진행하기 위한 동작으로 보여진다.
3-2. 파일 암호화
프로세스 종료 후 [표 2] 에 해당하는 문자열을 제외하고 암호화 동작을 진행한다.
암호화가 진행되면 아래 [그림 3] 와 같이 ‘.zeoticus@tutanota.com.zeoticus’ 확장자를 덧붙인다. 또한 암호화가 완료된 폴더에 ‘READ_ME.html’ 라는 이름의 랜섬노트를 생성한다.
3-3. 시스템 복구 무력화
암호화 동작이 끝난 뒤, cmd창을 이용해 [표 3]에 해당하는 명령어들을 실행한다. 해당 명령어들은 사용자가 시스템을 정상적으로 복구하는 것을 방해하기 위한 동작이다.
4. 결론
이번 보고서에서 알아 본 Jeoticus 랜섬웨어는 유포 경로가 불분명하고 모든 파일을 암호화 대상으로 하기 때문에 복호화에 실패 할 경우 시스템 포맷을 해야하는 상황까지 발생 할 수 있는 만큼 사용자들은 항상 PC 사용에 주의를 기울여야 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
TACHYON Internet Security 5.0 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [랜섬웨어 분석] LockBit 랜섬웨어 (0) | 2020.01.22 |
|---|---|
| [랜섬웨어 분석] Ako 랜섬웨어 (0) | 2020.01.22 |
| [랜섬웨어 분석] Somik 랜섬웨어 (0) | 2020.01.10 |
| [랜섬웨어 분석] Mermaid 랜섬웨어 (0) | 2019.12.30 |
| [랜섬웨어 분석] TurkStatik 랜섬웨어 (0) | 2019.12.20 |