분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] ShadowCryptor 랜섬웨어

TACHYON & ISARC 2020. 5. 22. 16:22

ShadowCryptor Ransomware 감염 주의

 

최근 "ShadowCryptor" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 볼륨 섀도우 복사본이 삭제되어 복구가 어려우며, 다수의 확장자를 대상으로 파일 암호화가 진행되므로 사용자의 주의가 필요하다.

 

감염이 진행되면 폴더마다 ‘.[랜덤 6바이트]-DECRYPT.txt’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다.

 

[ 그림  1]  랜섬노트

 

암호화가 완료된 파일의 확장자는 .[랜덤 6바이트]로 변경되며, 모든 파일의 암호화가 끝나면 원본 파일은 자가 삭제한다.

 

 

[ 그림  2]  암호화 결과

 

 

암호화 대상은 아래 [ 1]의 목록에 해당하는 확장자를 지닌 파일이다.

 

 

[ 표  1]  암호화 대상 확장자

 

[ 2]의 제외 목록과 일치하는 파일 및 폴더는 암호화에서 제외된다.

 

 

[ 표  2]  암호화 제외 폴더 및 파일

 

 

다음으로, 파일 암호화를 하기 전에 원활한 악성 동작을 수행하기 위해 아래 [ 3]에 작성된 프로세스와 서비스를 종료한다.

 

[ 표  3]  프로세스 종료 대상

 

또한, 정상적인 복구를 불가능하게 하기 위해 볼륨 섀도우 복사본을 삭제한다.

 

 

[ 표  4]  복구 무력화

 

 

확장자, id 등의 정보는 레지스트리 “HKLM\SOFTWARE\Shadow” [그림 3]과 같이 등록하여 사용한다.

 

[ 그림  3]  레지스트리 값 변경

 

 

이번 보고서에서 알아본 “ShadowCryptor” 랜섬웨어에 감염되면 주요 파일 등 대부분의 파일이 암호화가 되며, 볼륨 섀도우 복사본이 삭제되므로 자체적인 복구가 어렵다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도의 저장공간에 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[ 그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면