분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Zeoticus 랜섬웨어

TACHYON & ISARC 2020. 1. 10. 09:06

 

Zeoticus 랜섬웨어

새롭게 발견 된 Zeoticus 랜섬웨어 감염 주의

 

1. 개요 

최근 모든 파일을 암호화 시키는 Zeoticus 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 12월 30일경 처음 발견 되었으며, 아직 구체적인 피해사례는 알려지지 않았다. 그러나, 새롭게 발견 된 랜섬웨어인 만큼 사용자들은 PC 사용에 있어 관심과 주의가 필요하다.
이번 보고서에는 최근에 새롭게 발견 된 Zeoticus 랜섬웨어 대해서 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.


 

2-3. 실행 과정

Zeoticus 랜섬웨어 실행 시, 원본파일을 시스템 재부팅 후에도 자동으로 실행 되도록 레지스트리에 등록 한다. 이후 사용자 PC를 탐색하여 특정 프로세스가 실행 되고 있을 경우, 종료 시킨 후 암호화 대상이 되는 파일에 대해서 암호화를 진행한다. 암호화 동작 이후 [그림 1]과 같이 랜섬노트를 통해 복호화 방법을 안내한다.
 

[그림 1] Zeoticus 랜섬웨어 랜섬노트 

 

3. 악성 동작

3-1. 자동 실행 등록

 

랜섬웨어가 실행되면 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’ 레지스트리에 [그림 2] 와 같이 등록하여 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 설정한다.
 

 

[그림 2] 자동 실행 등록

3-2. 프로세스 종료

 

[표 1] 과 같은 프로세스 목록과 비교하여 사용자 PC에서 실행되고 있을 경우 종료를 시도한다. 이는 암호화 동작을 좀 더 수월하게 진행하기 위한 동작으로 보여진다.

[표 1] 종료 대상 프로세스

 

3-2. 파일 암호화

 

프로세스 종료 후 [표 2] 에 해당하는 문자열을 제외하고 암호화 동작을 진행한다.

[표 2] 암호화 제외 경로 및 암호화 제외 파일 

 

암호화가 진행되면 아래 [그림 3] 와 같이 ‘.zeoticus@tutanota.com.zeoticus’ 확장자를 덧붙인다. 또한 암호화가 완료된 폴더에 ‘READ_ME.html’ 라는 이름의 랜섬노트를 생성한다.

 

[그림 3] 암호화 된 파일 



3-3. 시스템 복구 무력화

암호화 동작이 끝난 뒤, cmd창을 이용해 [표 3]에 해당하는 명령어들을 실행한다. 해당 명령어들은 사용자가 시스템을 정상적으로 복구하는 것을 방해하기 위한 동작이다.

 

[표 3] 암호화 된 파일 



4. 결론

이번 보고서에서 알아 본 Jeoticus 랜섬웨어는 유포 경로가 불분명하고 모든 파일을 암호화 대상으로 하기 때문에 복호화에 실패 할 경우 시스템 포맷을 해야하는 상황까지 발생 할 수 있는 만큼 사용자들은 항상 PC 사용에 주의를 기울여야 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
TACHYON Internet Security 5.0 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
 

[그림 4] TACHYON Internet Security 5.0 랜섬웨어 차단 기능