분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Nephilim 랜섬웨어

TACHYON & ISARC 2020. 4. 7. 16:48

진화하는 Nephilim 랜섬웨어

 

최근 코로나 바이러스 등의 여파로 다양한 종류의 랜섬웨어가 등장하며, Nemty 랜섬웨어 2.5에서 변형된 형태로 Nefilim 랜섬웨어가 나타났다. 그리고 잇달아 Nefilim 랜섬웨어의 변형된 형태인 Nephilim 랜섬웨어가 나타났다. 해당 랜섬웨어는 Nefilim 랜섬웨어와 유사한 동작을 하나, 기업을 타겟으로 하며 암호화 대상의 범위가 확대되는 등의 변형이 있어 큰 주의가 필요하다.

 

이번 보고서에서는 Nephilim 랜섬웨어의 동작에 대해 알아보고자 한다.

 

해당 랜섬웨어는 특정 파일과 디렉토리를 제외하고 암호화 동작을 수행한 뒤, Root 아래에 랜섬노트를 생성한다. 그리고 %Temp%에 랜섬노트 이미지 파일을 드롭하여 배경화면으로 지정하여 사용자에게 랜섬웨어 감염 사실을 알린다. 

 

[그림 1] 랜섬 노트 


 

[그림 2] 변경된 배경화면 



[그림 3] (좌) 암호화 전, (우) 암호화 후 

 

하기의 표를 보면, Nefilim 랜섬웨어보다 제외 대상이 줄어들어 랜섬웨어 감염 시 더 큰 피해를 입을 수 있다.

 

[표 1] 암호화 제외 목록 


암호화가 진행된 파일의 맨 끝에 “NEFPHILIM” 이라는 문자열이 삽입되어 있다. 
 

[그림 4] 암호화된 파일 일부 



이번 보고서에서 알아본 Nephilim랜섬웨어는 Nefilim 랜섬웨어의 변형으로, 차후에 또 다른 변형으로 나타날 수 있어 각별한 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
 

[그림 5] TACHYON Endpoint Security 5.0 진단 및 치료 화면