분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Exorcist 랜섬웨어

TACHYON & ISARC 2020. 7. 28. 16:17

Exorcist Ransomware 감염 주의

 

새로운 Exorcist 랜섬웨어가 발견되었다. 해당 랜섬웨어는 Windows에 설정되어 있는 국가/지역에 대한 정보가 ‘russian’, ‘armenian’, ‘belarusian’, ‘georgian’, ‘kazakh’, ‘tajik’, ‘turkmen’, ‘ukrainian’, ‘uzbek', ‘azerbaijani’가 아닐 경우 파일 암호화 동작이 진행되며 특정 프로세스를 종료한 뒤 파일 암호화가 진행되는 특징을 갖고있다.

이번 보고서에서는 ‘Exorcist 랜섬웨어의 주요 악성 동작에 대해 알아본다.

 

Exorcist’ 랜섬웨어는 먼저 시스템 복구를 무력화하기 위한 일련의 명령어를 실행하고 특정 프로세스를 종료시킨다.

 

 

[그림  1]  특정 프로세스 종료

 

이후 기본적인 시스템 관련 파일 및 폴더와 특정 확장자를 제외한 모든 파일에 대해 암호화를 진행한 뒤 랜덤명의 확장자를 덧붙인다.

 

 

[표  1]  암호화 제외 대상

 

 

[그림  2]  암호화된 파일

 

 

파일 암호화가 진행된 경로 마다랜덤명-decrypt.hta” 랜섬노트를 생성하고, 바탕화면 변경을 통해 사용자에게 감염 사실을 알린다.

 

[그림  3]  랜섬노트

 

 

[그림  4]  바탕화면 변경

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 중요한 자료는 별도로 백업해 보관하여야 하고 운영체제의 업데이트 버전을 최신으로 유지하며 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 된다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  5] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

 TACHYON Endpoint Security 5.0제품에서 랜섬웨어 차단 기능을 이용하면 파일 암호화 행위를 사전에 차단할 수 있다.

 

[그림  6] TACHYON Endpoint Security 5.0  랜섬웨어 공격 의심 차단 화면