[랜섬웨어 분석] Nefilim 랜섬웨어

데이터를 공개하겠다고 협박하는 Nefilim Ransomware 감염 주의

 

 최근 등장한 “Nefilim” 랜섬웨어는 “Nemty” 랜섬웨어의 새로운 버전으로 추정되고 있으며, 실행 시 사용자의 파일들을 암호화한다. 암호화된 파일의 대가로 금품을 요구하며 7일 내로 공격자의 요구에 응답하지 않으면 데이터를 공개하겠다고 협박하고 있어 사용자의 주의가 필요하다.

 “Nefilim” 랜섬웨어 실행 시, 뮤텍스를 생성하여 중복 실행을 방지하고 현재 디스크 드라이브 목록 및 타입을 검색한다. 만약 디스크 타입이 이동식 혹은 고정식이라면 해당 드라이브 최상위 경로에 랜섬 노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다.

 

[그림 1] 랜섬노트 

이후 드라이브의 파일들을 검색한 뒤 [표 1]의 암호화 제외 경로 및 확장자 목록과 비교하여, 조건에 부합하는 사용자의 모든 파일을 암호화한다.

[표 1] 암호화 제외 대상

 파일 암호화 후, 파일 끝부분에 NEFILIM이라는 시그니처를 덧붙이고 파일의 확장자를 .NEFILIM으로 변경한다. 마지막으로 CMD 명령어를 통해 자가삭제한다.

 

[그림 2] NEFILIM 시그니처 

 

[그림 3] 암호화된 파일 목록

 이번 보고서에서 알아본 “Nefilim” 랜섬웨어는 사용자의 파일들을 암호화하고 공격자의 요구에 따르지 않을 경우 피해 대상의 데이터를 게시하기 위해 “Corporate Leaks”라는 사이트까지 개설하였다. 따라서 추후 해당 사이트를 통해 피해자들의 데이터가 공개될 가능성이 있어 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한  중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 4] TACHYON Endpoint Security 5.0 진단 및 치료 화면