RagnarLocker 랜섬웨어 감염 주의
“RagnarLocker”로 불리며 관리 서비스 제공업체(MSP)를 표적 공격하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 원격 모니터링 및 관리 소프트웨어(RMM)를 종료하며, 감염되면 문서 등의 중요한 파일은 사용할 수 없게 된다. 또한, 파일을 복구하기 위해서는 고액의 몸값을 지급해야 하므로 주의가 필요하다.
이번 보고서에서는 “RagnarLocker” 랜섬웨어의 대해 간략하게 알아보고자 한다.
“RagnarLocker” 랜섬웨어 실행 시 [표 1]의 목록을 제외한 사용자의 모든 파일을 암호화한다.
서비스는 주로 원격 관리 소프트웨어와 복구 관련 서비스를 종료한다.
파일 암호화가 완료되면, 해당 파일의 끝에 “_RAGNAR_”라는 시그니처를 추가한다.
또한, 기존의 확장자 뒤에 “.ragnar_{랜덤 8자리}”를 추가한다.
랜섬노트는 “RGNR_{랜덤 8자리}”란 이름으로 폴더마다 생성되며 사용자에게 감염 사실과 복구 방법을 통보한다.
이번 보고서에서 알아본 “RagnarLocker” 랜섬웨어는 원격 모니터링 및 관리 소프트웨어를 사용하는 기업을 주 대상으로 표적 공격하고 있어 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [랜섬웨어 분석] 윈도우 업데이트를 가장한 랜섬웨어 (0) | 2020.03.03 |
|---|---|
| [랜섬웨어 분석] Genasom 랜섬웨어 (0) | 2020.02.27 |
| [랜섬웨어 분석] Mailto 랜섬웨어 (0) | 2020.02.21 |
| [랜섬웨어 분석] Nebo 랜섬웨어 (0) | 2020.02.14 |
| [랜섬웨어 분석] Ragnarok 랜섬웨어 (0) | 2020.01.30 |