분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Sepsys 랜섬웨어

TACHYON & ISARC 2020. 4. 23. 12:48

Sepsys 랜섬웨어 주의!

 

지난 4월 중순에 Sepsys 랜섬웨어가 등장하였다. 해당 랜섬웨어가 실행되면 볼륨 섀도우 복사본을 삭제하며, 특정 디렉토리 내에 모든 확장자에 대하여 암호화를 진행하기에 큰 주의가 필요하다. 

 

이번 보고서에서는 SepSys 랜섬웨어의 동작에 대해 알아보고자 한다.

해당 랜섬웨어는 사용자가 감염된 PC를 복구할 수 없도록 사전에 볼륨 섀도우 복사본을 모두 삭제 한 뒤, 암호화 동작을 수행한다. 또한 사용자의 PC IP정보를 서버로 전달하고, 자동실행 레지스트리 값에 자가 복제된 파일과 랜섬노트를 추가하여 윈도우 재부팅 시에도 동작이 수행되도록 만든다.

 

[그림 1] 랜섬 노트 


하기의 이미지와 같이, 윈도우 재부팅 시 동작하도록 자가 복제 파일과 랜섬노트를 Run 레지스트리에 등록한다.
 

 

[그림 2] 레지스트리 등록 


C2서버에 연결하여 사용자 PC의 IP 주소를 전송한다.
 

 

[그림 3] 패킷 내용


하기의 표와 같이, 특정 디렉토리에 대하여 암호화를 진행한다. 

 

 

[표 1] 암호화 대상 디렉토리 


암호화가 된 후, 파일명은 ‘파일명.확장자.sepsys’로 변경된다.
  

 

[그림 4] (좌) 암호화 전, (우) 암호화 후 


이번 보고서에서 알아본 SepSys 랜섬웨어는 특정 디렉토리에 대하여 모든 파일을 암호화하기 때문에 감염된다면 큰 피해가 나타날 수 있다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


 

[그림 5] TACHYON Endpoint Security 5.0 진단 및 치료 화면