분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Panther 랜섬웨어

TACHYON & ISARC 2020. 7. 20. 14:19

Panther 랜섬웨어 주의!

 

최근 Panther 랜섬웨어가 등장하였다. 해당 랜섬웨어는 중국에서 만들어진 것으로 추정되며, 일반적인 랜섬웨어와 유사하 게 사용자 PC의 파일에 대하여 암호화동작을 수행하고, 볼륨 섀도우 복사본을 삭제하는 동작을 한다.

 

이번 보고서에서는 Panther 랜섬웨어의 동작에 대해 알아보고자 한다.

 

해당 랜섬웨어는 A-Z 드라이브 중 이동식 드라이브와 고정 드라이브에 대하여 악성동작을 수행한다. 특정 디렉토리와 확장자를 제외하고 암호화동작을 수행하며, 악성동작이 이루어진 디렉토리 아래에 랜섬노트를 생성한다. 그리고 볼륨 섀도우 복사본을 삭제하여 사용자로 하여금 복구를 불가능하도록 한다.

 

 [그림  1]  랜섬노트

 

 

A-Z 드라이브 중 이동식 드라이브 타입 또는 고정 드라이브 타입인 경우, 악성동작을 수행한다.

 

 

[그림  2]  드라이브 타입 확인 코드

 

 

하기의 이미지와 같이 특정 디렉토리와 확장자를 제외하고 암호화 동작을 수행한다.

 

[그림  3]  암호화 제외 디렉토리

 

 

[그림  4]  암호화 제외 확장자

 

 

[ 그림  5]  암호화 제외 파일명

 

 

암호화가 완료된 파일은파일명.확장자.panther’로 파일명이 변경된다.

  

[그림  6] ( 좌 )  암호화 전 , ( 우 )  암호화 후

 

 

암호화 동작이 모두 끝나면 볼륨 섀도우 복사본을 모두 삭제하여 복구가 불가능하도록 한다.

 

 

[그림  7]  볼륨 섀도우 복사본 삭제 코드

 

 

이번 보고서에서 알아본 Panther 랜섬웨어는 일반적인 랜섬웨어와 유사하게 특정 파일과 디렉토리에 대하여 암호화를 하고, 볼륨 섀도우 복사본을 삭제하기에 큰 피해를 초래할 수 있다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

[그림  8] TACHYON Endpoint Security 5.0  진단 및 치료 화면