[랜섬웨어 분석] Genasom 랜섬웨어

Genasom 랜섬웨어 감염 주의

 

최근 2월 중순, Genasom랜섬웨어가 등장하였다. 해당 랜섬웨어는 암호화하기 전 사용자의 PC를 복구할 수 없도록 볼륨 섀도우 복사본을 모두 삭제한 뒤 암호화 동작을 한다. 이는 사용자가 자동 저장되어있는Windows 볼륨 섀도운 복사본을 사용하지 못하게 하여 완전 감염을 시도하는 것이다.  따라서, 해당 랜섬웨어에 감염되면 큰 피해를 초래할 수 있어 주의가 필요하다. 

 

이번 보고서에서는 Genasom 랜섬웨어의 동작에 대해 간략하게 알아보고자 한다.

해당 랜섬웨어는 모든 볼륨 섀도우 복사본을 삭제하고, Windows 오류 복구 알림을 비활성화한 뒤, 암호화를 수행한다. 그리고 %Desktop%에 랜섬노트를 생성하여 사용자에게 랜섬웨어 감염사실을 알린다.
 

[그림 1] 랜섬 노트 

 

 

 

사용자의 눈에 띄지 않게 악성동작을 하기 위해 ‘전체 볼륨 섀도우 복사본 삭제’ 및 ‘Windows 오류 복구 알림 비활성화’ 명령을 수행한다.

 

[표 1] 복구 불가 명령어 

 

 

암호화가 수행되면 아래의 이미지와 같이 ‘파일명.확장자.pxj’ 로 파일명이 변경된다.
 

[그림 2] (좌) 암호화 전, (우) 암호화 후

 

이번 보고서에서 알아본 Genasom 랜섬웨어는 사용자의 눈에 띄지 않게 악성동작을 하며 복구가 불가능하기 때문에 큰 피해를 초래할 수 있으므로 각별한 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

 

[그림 3] TACHYON Endpoint Security 5.0 진단 및 치료 화면