분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Rabbit 랜섬웨어

TACHYON & ISARC 2020. 7. 10. 16:31

Rabbit Ransomware 감염 주의

 

Rabbit 랜섬웨어는 파일 암호화와 함께 사용자 시스템 정보 및 화면 캡처 파일을 C2 서버로 전송한다. 또한 금전 요구 페이지가 태국어로 작성된 특징을 갖고있다. 이번 보고서에서는 Rabbit 랜섬웨어의 악성 동작에 대해 간략하게 알아본다.

 

해당 랜섬웨어는 아래 [1]에 해당하는 폴더와 확장자에 대해 암호화를 진행하고, 암호화된 파일의 확장자 뒤에 ‘.RABBIT’을 덧붙인다.

 

[표  1]  암호화 대상

 

 

[그림 1] 암호화된 파일

 

그리고 암호화 대상 폴더마다อ่านวิธีแก้ไฟล์โดนล๊อค.txt’ 랜섬노트를 생성하고, 웹 브라우저를 실행해 태국어로 작성된 금전 요구 페이지로 연결한다.

 

 

[그림  2]  อ่านวิธีแก้ไฟล์โดนล๊อค .txt  랜섬노트

 

 

[그림  3]  금전 요구 페이지

 

이외에도 사용자 시스템 정보와 함께 화면 캡쳐 파일을 C2 서버로 전송한다.

 

 

[그림  4]  화면 캡처 파일 전송

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 중요한 자료는 별도로 백업해 보관하여야 하고 운영체제의 업데이트 버전을 최신으로 유지하며 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 된다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림  5] TACHYON Endpoint Security 5.0  진단 및 치료 화면