랜섬웨어 분석 정보

[랜섬웨어 분석] RagnarLocker 랜섬웨어

RagnarLocker 랜섬웨어 감염 주의

 

 “RagnarLocker”로 불리며 관리 서비스 제공업체(MSP)를 표적 공격하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 원격 모니터링 및 관리 소프트웨어(RMM)를 종료하며, 감염되면 문서 등의 중요한 파일은 사용할 수 없게 된다. 또한, 파일을 복구하기 위해서는 고액의 몸값을 지급해야 하므로 주의가 필요하다. 

 

이번 보고서에서는 “RagnarLocker” 랜섬웨어의 대해 간략하게 알아보고자 한다.

 

“RagnarLocker” 랜섬웨어 실행 시 [표 1]의 목록을 제외한 사용자의 모든 파일을 암호화한다.

 

[표 1] 암호화 제외 대상 

 

서비스는 주로 원격 관리 소프트웨어와 복구 관련 서비스를 종료한다.

 

[표 2] 서비스 종료 대상 

 

파일 암호화가 완료되면, 해당 파일의 끝에 “_RAGNAR_”라는 시그니처를 추가한다.

 

[그림 1] _RAGNAR_ 시그니처 추가 

 

 

또한, 기존의 확장자 뒤에 “.ragnar_{랜덤 8자리}”를 추가한다.

 

[그림 2] 파일 암호화 결과 

 

 

랜섬노트는 “RGNR_{랜덤 8자리}”란 이름으로 폴더마다 생성되며 사용자에게 감염 사실과 복구 방법을 통보한다.

 

[그림 3] RagnarLocker 랜섬노트 

 

 

 이번 보고서에서 알아본 “RagnarLocker” 랜섬웨어는 원격 모니터링 및 관리 소프트웨어를 사용하는 기업을 주 대상으로 표적 공격하고 있어 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 4] TACHYON Endpoint Security 5.0 진단 및 치료 화면 


 

댓글

댓글쓰기