[랜섬웨어 분석] Onix 랜섬웨어

 Onix Ransomware 감염 주의

 

“Onix”로 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 확장자가 “.Onix”가 아닌 경우에는 지정된 형식에 따라 확장자를 변경하며, 볼륨 섀도우 복사본 삭제 및 복구 비활성화를 통해 복구를 무력화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 주의가 필요하다.
 
먼저, “Onix” 랜섬웨어는 폴더마다 ‘TRY_TO_READ.html’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다.

[그림 1] 랜섬노트 

랜섬노트와 더불어 바탕화면을 [그림 2]와 같이 변경한다.

[그림 2] 바탕화면 변경 

 

“Onix” 랜섬웨어에 감염되어 암호화가 완료되면 확장자가 .ONIX가 아닌 파일의 확장자를 “{사용자 ID}.{메일}.ONIX”로 변경한다.

 

[그림 3] 암호화 결과 

또한, 암호화 후 복구를 무력화 하기 위해 볼륨 섀도우 복사본 삭제 및 복구 모드 비활성화 등의 작업을 수행한다.

 

[표 1] 복구 무력화 명령어 

이번 보고서에서 알아본 “Onix” 랜섬웨어에 감염되면 주요 문서 및 파일 등 대부분의 파일이 암호화가 되며, 복구가 불가능하므로 주의가 필요하다.

 
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야한다. 또한 중요한 자료는 별도의 저장공간에 보관하여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

 

[그림 4] TACHYON Endpoint Security 5.0 진단 및 치료 화면