[랜섬웨어 분석] Nebo 랜섬웨어

Nebo 랜섬웨어 감염 주의

 

1. 개요

최근 Nebo 랜섬웨어가 등장하였는데, 해당 랜섬웨어는 암호화하기 전에 암호화에 방해되는 여러 프로세스를 종료하고 암호화 동작을 수행한다. 그 후C&C 서버와 연결을 시도하지만, 현재 분석시점에서는 해당 원격지와 연결이 원활하지 않기 때문에 추가 악성동작은 파악이 되지 않고 있다.

이번 보고서에서는 Nebo 랜섬웨어의 동작에 대해 간략하게 알아보고자 한다.

 

2. 악성 동작

2-1. 실행과정

해당 랜섬웨어는 먼저, 암호화 작업에 방해가 되는 프로세스를 강제 종료한다. 그리고 특정 확장자에 대하여 파일 암호화를 수행한다. 마지막으로 모든 디렉토리 아래에 랜섬노트를 생성하여 사용자에게 랜섬웨어에 감염된 사실을 알린다. 그리고 C&C서버에 연결을 시도하지만 현 시점에는 연결이 되지 않는다.

 

 

[그림 1] 랜섬 노트 

 

2-2. 파일 암호화

 

암호화를 진행하기 전, 암호화에 방해가 되는 프로세스를 강제 종료한다.

 

[표 1] 프로세스 종료 대상 

하기의 표와 같이, 특정 확장자를 대상으로 암호화를 수행한다.

[표 2] 암호화 대상 

암호화가 완료되면 사용자 PC정보 등을 포함하여 C&C 서버에 연결을 시도한다. 하지만 현시점에는 연결이 되지 않는다.
 

[그림 2] 서버 연결 시도 

 

3. 결론

이번 보고서에서 알아본 Nebo 랜섬웨어는 일반적인 랜섬웨어 동작과 유사하지만 C&C서버에 연결하여 추가적인 피해를 초래할 수 있으므로 각별한 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 
 

[그림 3] TACHYON Endpoint Security 5.0 진단 및 치료 화면