[랜섬웨어 분석] Ebed 랜섬웨어

 Ebed Ransomware 감염 주의

 

최근 "Ebed" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 사용자 PC의 로케일(Locale) 정보를 확인하여 한국이면 파일을 암호화하며 기존의 확장자 뒤에 ".ebed"를 추가한다.

감염 전 사전 작업으로 로케일 정보(GetLcocaleInfoEx API)를 획득한 후, 한국이면 감염을 진행하고 중국이면 종료한다. 
 

[그림 1] 감염 대상 선정 

감염이 진행되면 “Ebed” 랜섬웨어는 폴더마다 ‘ATTENTION-ebed-README.txt’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다.

 

[그림 2] 랜섬노트 

파일 암호화가 완료되면 기존의 확장자 뒤에 .ebed 확장자가 추가된다.

 

[그림 3] 암호화 결과 

암호화 제외 항목은 [표 1]과 같으며, Program Files나 Windows 폴더와 같이 주요한 폴더는 제외된다.

[표 1] 암호화 제외 확장자 및 폴더 

다음으로, 파일 암호화를 하기 전에 원활한 악성 동작을 수행하기 위해 아래 [표 2] 목록을 대상으로 프로세스를 종료한다.

[표 2] 프로세스 종료 대상

또한, Ebed 랜섬웨어는 자동 실행을 등록하기 위해 Run 키에 Fuck_this_PC라는 값을 생성한 후, 자기자신의 경로를 추가한다. 
 

 

[표 3] 레지스트리 값 변경 

이번 보고서에서 알아본 “Ebed” 랜섬웨어에 감염되면 주요 파일 등 대부분의 파일이 암호화가 되며, 랜섬웨어가 완전히 제거되지 않을 경우, 자동실행등록으로 인한 재감염이 가능하므로 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도의 저장공간에 보관하여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

 

[그림 4] TACHYON Endpoint Security 5.0 진단 및 치료 화면