분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Avaddon 랜섬웨어

TACHYON & ISARC 2020. 6. 11. 09:49

Avaddon Ransomware 감염 주의

 

 최근 해외 보안업체에 따르면 Avaddon 랜섬웨어가 악성 메일의 첨부파일을 통해 유포된다고 알려진다. 해당 첨부파일에는 Avaddon 랜섬웨어를 다운 및 실행할 수 있는 자바스크립트 파일이 존재하는데 사용자가 이를 실행 할 경우, 해당 랜섬웨어에 감염될 수 있기 때문에 사용자의 주의가 필요하다.

 

 이번 보고서에서는 ‘Avaddon 랜섬웨어의 주요 악성 동작에 대해 알아본다.

 

Avaddon’ 랜섬웨어는 먼저 시스템 복구를 무력화하기 위해 아래의 명령어를 실행한다.

 

[표  1]  복구 무력화 목록

 

이후 특정 폴더와 확장자를 제외하고 모든 파일에 대해 암호화를 진행하고 ‘.avdn’ 확장자를 덧붙인다.

 

[표  2]  암호화 제외 대상

 

[그림  1]  암호화된 파일

 

파일이 암호화된 경로마다랜덤숫자-readme.html” 랜섬노트를 생성하고, 바탕화면 변경을 통해 사용자에게 감염 사실을 알린다.

 

[ 그림  2]  랜섬노트

 

 

[ 그림  3]  바탕화면 변경

 

 

그리고 복구 안내 웹 사이트의 지원 언어에는 한국어가 존재한다. 이를 통해 피해 대상자에 한국인이 포함되어 있을 가능성이 존재하기 때문에 사용자의 주의가 필요하다. 이외에도 이미지 파일을 복호화해주는 페이지와 공격자와 채팅 할 수 있는 페이지가 존재하는데 실제로 비용을 지불해서 파일이 복구된 사례가 알려지지 않았기 때문에 사용자는 이에 현혹되어서는 안 된다.

 

[그림  4]  복구 안내 사이트

 

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 중요한 자료는 별도로 백업해 보관하여야 하고 운영체제의 업데이트 버전을 최신으로 유지하며 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 된다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  5] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

TACHYON Endpoint Security 5.0제품에서 랜섬웨어 차단 기능을 이용하면 파일 암호화 행위를 사전에 차단할 수 있다.

 

 

[ 그림  6] TACHYON Endpoint Security 5.0  랜섬웨어 공격 의심 차단 화면