[랜섬웨어 분석] ZorgoCry 랜섬웨어

 ZorgoCry Ransomware 감염 주의

 

최근 "ZorgoCry" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 사용자 프로필(%USERPROFILE%) 경로 및 다수의 확장자를 대상으로 파일 암호화가 진행되므로 사용자의 주의가 필요하다.

 

이번 보고서에서는 “ZorgoCry” 랜섬웨어에 대해 간략하게 알아보고자 한다.

 

“ZorgoCry” 랜섬웨어에 감염되면 바탕화면에 ‘READ_ME.txt’란 이름의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다.

 

[그림  1]  랜섬노트

 

원본 파일은 감염 동작 전에 ‘C:\사용자 이름\Rand123\local.exe’ 로 옮겨지며, 암호화 된 파일 끝에는 “.projectzorgo” 확장자가 붙는다.

 

[그림  2]  암호화 결과

 

“ZorgoCry”의 감염 대상은 ‘%USERPROFILE%’ 아래의 모든 폴더이며, 주로 문서, 이미지 및 실행 파일 등을 암호화한다.

 

[표  1]  암호화 대상 확장자 및 폴더

 

 

 

[그림  3]  바탕화면 변경

 

또한, 식별을 위해 컴퓨터 및 사용자 이름과 암호화에 사용된 값을 [표 2]의 양식에 맞춰 지정된 경로로 전송한다.

 

[표  2]  사용자 정보 전송

 

이번 보고서에서 알아본 “ZorgoCry” 랜섬웨어에 감염되면 사용자 프로필(%USERPROFILE%) 경로의 파일이 암호화가 되어 사용자의 혼란이 야기된다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한 중요한 자료는 별도의 저장공간에 보관할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면