[랜섬웨어 분석] Paymen45 랜섬웨어

Paymen45 랜섬웨어 주의!

 

지난 5월, Paymen45 랜섬웨어가 등장하였다. 해당 랜섬웨어는 C드라이브에 대해 감염 동작을 하며, 복구가 불가능하도록 볼륨 섀도우 복사본을 삭제하기 때문에 큰 피해를 초래할 수 있다.

 

이번 보고서에서는 Paymen45 랜섬웨어의 동작에 대해 알아보고자 한다.

 

해당 랜섬웨어는 특정 디렉토리와 파일을 제외하고 C드라이브에 존재하는 모든 파일에 대하여 감염 동작을 수행한다. 암호화동작이 끝나고 나면, 볼륨 섀도우 복사본을 삭제하여 복구가 불가능하도록 하고 모든 디렉토리 아래에 랜섬노트를 생성하여, 사용자에게 감염사실을 알린다.

 

[ 그림  1]  랜섬 노트

 

하기의 표와 같이, 해당 랜섬웨어와 랜섬노트 그리고, 특정 디렉토리와 확장자를 제외하고 암호화 동작을 수행한다.

 

[ 표  1]  암호화 제외 목록

 

암호화가 된 후, 파일명은 ‘파일명.확장자.g8R4rqWIp9’로 변경된다.

 

[ 그림  2] ( 좌 )  암호화 전 , ( 우 )  암호화 후

 

모든 볼륨 섀도우 복사본을 삭제하며 이때, quiet 옵션으로 메시지 창이 나타나지 않도록 하여 사용자가 눈치채지 못하게 한다.

 

[그림 3] 볼륨 섀도우 복사본 삭제 명령

 

이번 보고서에서 알아본 Paymen45 랜섬웨어는 특정 파일을 제외하고 모든 파일을 암호화하기 때문에 감염된다면 큰 피해가 나타날 수 있다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

[ 그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면