Exorcist Ransomware 감염 주의
새로운 Exorcist 랜섬웨어가 발견되었다. 해당 랜섬웨어는 Windows에 설정되어 있는 국가/지역에 대한 정보가 ‘russian’, ‘armenian’, ‘belarusian’, ‘georgian’, ‘kazakh’, ‘tajik’, ‘turkmen’, ‘ukrainian’, ‘uzbek', ‘azerbaijani’가 아닐 경우 파일 암호화 동작이 진행되며 특정 프로세스를 종료한 뒤 파일 암호화가 진행되는 특징을 갖고있다.
이번 보고서에서는 ‘Exorcist 랜섬웨어’의 주요 악성 동작에 대해 알아본다.
‘Exorcist’ 랜섬웨어는 먼저 시스템 복구를 무력화하기 위한 일련의 명령어를 실행하고 특정 프로세스를 종료시킨다.
이후 기본적인 시스템 관련 파일 및 폴더와 특정 확장자를 제외한 모든 파일에 대해 암호화를 진행한 뒤 랜덤명의 확장자를 덧붙인다.
파일 암호화가 진행된 경로 마다 “랜덤명-decrypt.hta” 랜섬노트를 생성하고, 바탕화면 변경을 통해 사용자에게 감염 사실을 알린다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 중요한 자료는 별도로 백업해 보관하여야 하고 운영체제의 업데이트 버전을 최신으로 유지하며 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 된다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
TACHYON Endpoint Security 5.0제품에서 랜섬웨어 차단 기능을 이용하면 파일 암호화 행위를 사전에 차단할 수 있다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
[랜섬웨어 분석] Silvertor 랜섬웨어 (0) | 2020.08.11 |
---|---|
[랜섬웨어 분석] Try2Cry 랜섬웨어 (0) | 2020.07.31 |
[랜섬웨어 분석] Panther 랜섬웨어 (0) | 2020.07.20 |
[랜섬웨어 분석] Conti 랜섬웨어 (0) | 2020.07.15 |
[랜섬웨어 분석] Rabbit 랜섬웨어 (0) | 2020.07.10 |