Avaddon Ransomware 감염 주의
최근 해외 보안업체에 따르면 Avaddon 랜섬웨어가 악성 메일의 첨부파일을 통해 유포된다고 알려진다. 해당 첨부파일에는 Avaddon 랜섬웨어를 다운 및 실행할 수 있는 자바스크립트 파일이 존재하는데 사용자가 이를 실행 할 경우, 해당 랜섬웨어에 감염될 수 있기 때문에 사용자의 주의가 필요하다.
이번 보고서에서는 ‘Avaddon 랜섬웨어’의 주요 악성 동작에 대해 알아본다.
‘Avaddon’ 랜섬웨어는 먼저 시스템 복구를 무력화하기 위해 아래의 명령어를 실행한다.
이후 특정 폴더와 확장자를 제외하고 모든 파일에 대해 암호화를 진행하고 ‘.avdn’ 확장자를 덧붙인다.
파일이 암호화된 경로마다 “랜덤숫자-readme.html” 랜섬노트를 생성하고, 바탕화면 변경을 통해 사용자에게 감염 사실을 알린다.
그리고 복구 안내 웹 사이트의 지원 언어에는 한국어가 존재한다. 이를 통해 피해 대상자에 한국인이 포함되어 있을 가능성이 존재하기 때문에 사용자의 주의가 필요하다. 이외에도 이미지 파일을 복호화해주는 페이지와 공격자와 채팅 할 수 있는 페이지가 존재하는데 실제로 비용을 지불해서 파일이 복구된 사례가 알려지지 않았기 때문에 사용자는 이에 현혹되어서는 안 된다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 중요한 자료는 별도로 백업해 보관하여야 하고 운영체제의 업데이트 버전을 최신으로 유지하며 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 된다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
TACHYON Endpoint Security 5.0제품에서 랜섬웨어 차단 기능을 이용하면 파일 암호화 행위를 사전에 차단할 수 있다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [랜섬웨어 분석] Snake 랜섬웨어 (0) | 2020.06.19 |
|---|---|
| [랜섬웨어 분석] Zorab 랜섬웨어 (0) | 2020.06.15 |
| [랜섬웨어 분석] DualShot 랜섬웨어 (0) | 2020.06.11 |
| [랜섬웨어 분석] Immuni 랜섬웨어 (0) | 2020.06.01 |
| [랜섬웨어 분석] CovidWorldCry 랜섬웨어 (0) | 2020.05.28 |