랜섬웨어 분석 정보

[랜섬웨어 분석] Snake 랜섬웨어

기업을 노리는 Snake Ransomware 감염 주의

 

Snake 랜섬웨어는 1월에 발견되어 산업용 제어 시스템(ICS)과 관련된 프로세스를 종료시키고 랜섬노트에 기업 네트워크를 언급해 기업을 겨냥하는 랜섬웨어로 알려졌다. 그리고 지난 5월 독일의 신장 투석 회사인 Fresenius Group에서 Snake 랜섬웨어의 공격을 받았고 최근 6월에는 혼다와 유럽의 에너지 회사인 Enel Group을 목표로 한 공격이 발견되었다고 알려진다.

 

이번 보고서에서는 Snake 랜섬웨어의 악성 동작에 대해 간략하게 알아본다.

 

 해당 랜섬웨어는 산업용 제어 시스템과 관련된 프로세스뿐만 아니라 네트워크 관리 프로세스, 가상 머신 관련 프로세스, 안티바이러스 관련 프로세스 등 여러 프로세스를 종료시킨다.

 

[ 그림  1]  프로세스 종료 일부 목록

 

그리고 시스템 관련 파일과 시스템 폴더를 암호화 대상에서 제외하고, 아래 [1] 에 해당하는 폴더에 존재하는 파일 중 특정 확장자에 대해서만 암호화 대상에서 제외한다. 이외 모든 파일에 대해 암호화를 진행하고 5자리의 랜덤 문자를 확장자 뒤에 덧붙인다.

 

[ 표  1]  암호화 제외 대상

 

 

[ 그림  2]  암호화된 파일

 

 

 

암호화된 파일을 확인해보면 파일 끝에 ‘EKANS’라는 문자가 추가되는데, 이는 SNAKE를 거꾸로 쓴 것이다. 그리고 암호화가 완료되면 윈도우가 설치되어 있는 드라이브와 바탕화면에 ‘Fix-Your-Files.txt’ 랜섬노트를 생성한다.

 

[그림  3] Fix-Your-Files.txt  랜섬노트

 

[그림  4] ‘EKANS’  시그니처

 

 

 

이번 보고서에서 알아본 Snake(EKANS) 랜섬웨어는 파일 암호화 이외에도 산업용 제어 시스템과 관련된 프로세스를 종료시키고 기업을 대상으로 공격을 시도한 실제 사례가 발생했기 때문에 사용자의 주의가 필요하다.

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 중요한 자료는 별도로 백업해 보관하여야 하고 운영체제의 업데이트 버전을 최신으로 유지하며 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 된다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[ 그림  5] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

 

TACHYON Endpoint Security 5.0제품에서 랜섬웨어 차단 기능을 이용하면 파일 암호화 행위를 사전에 차단할 수 있다.

 

[그림  6] TACHYON Endpoint Security 5.0  랜섬웨어 공격 의심 차단 화면

 

 

댓글

댓글쓰기