[랜섬웨어 분석] ShadowCryptor 랜섬웨어

ShadowCryptor Ransomware 감염 주의

 

최근 "ShadowCryptor" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 볼륨 섀도우 복사본이 삭제되어 복구가 어려우며, 다수의 확장자를 대상으로 파일 암호화가 진행되므로 사용자의 주의가 필요하다.

 

감염이 진행되면 폴더마다 ‘.[랜덤 6바이트]-DECRYPT.txt’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다.

 

[ 그림  1]  랜섬노트

 

암호화가 완료된 파일의 확장자는 .[랜덤 6바이트]로 변경되며, 모든 파일의 암호화가 끝나면 원본 파일은 자가 삭제한다.

 

 

[ 그림  2]  암호화 결과

 

 

암호화 대상은 아래 [표 1]의 목록에 해당하는 확장자를 지닌 파일이다.

 

 

[ 표  1]  암호화 대상 확장자

 

[표 2]의 제외 목록과 일치하는 파일 및 폴더는 암호화에서 제외된다.

 

 

[ 표  2]  암호화 제외 폴더 및 파일

 

 

다음으로, 파일 암호화를 하기 전에 원활한 악성 동작을 수행하기 위해 아래 [표 3]에 작성된 프로세스와 서비스를 종료한다.

 

[ 표  3]  프로세스 종료 대상

 

또한, 정상적인 복구를 불가능하게 하기 위해 볼륨 섀도우 복사본을 삭제한다.

 

 

[ 표  4]  복구 무력화

 

 

확장자, id 등의 정보는 레지스트리 “HKLM\SOFTWARE\Shadow”에 [그림 3]과 같이 등록하여 사용한다.

 

[ 그림  3]  레지스트리 값 변경

 

 

이번 보고서에서 알아본 “ShadowCryptor” 랜섬웨어에 감염되면 주요 파일 등 대부분의 파일이 암호화가 되며, 볼륨 섀도우 복사본이 삭제되므로 자체적인 복구가 어렵다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도의 저장공간에 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[ 그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면