분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Salam 랜섬웨어

TACHYON & ISARC 2020. 8. 12. 16:37

Salam 랜섬웨어 주의!

 

지난 7월 말, Salam 랜섬웨어가 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 유사하게 문서나 이미지 파일과 같은 특정 확장자에 대해 암호화 동작을 수행하므로 기업 및 개인 사용자의 주의가 요구된다.

 

이번 보고서에서는 Salam 랜섬웨어의 동작에 대해 알아보고자 한다.

 

해당 랜섬웨어는 악성동작이 모두 끝나면 악성 파일이 존재하던 경로에최종 경로-HOW-TO-DECRYPT”라는 이름의 랜섬 노트를 생성한다.

 

 

[그림  1]  랜섬노트

 

 

아래의 이미지와 같이, 특정 디렉토리를 제외하고 고정 드라이브에 대해 암호화 동작을 수행한다.

 

[그림  2]  암호화 예외 대상 폴더

 

 

또한, [ 1]와 같이 특정 확정자 파일에 대하여 암호화 동작을 수행한다.

 

[표  1]  암호화 대상 확장자

 

 

암호화가 되면 파일명은파일명.확장자.ment” 로 변경된다.

 

[그림  3] ( 좌 )  암호화 전 , ( 우 )  암호화 후

 

 

암호화 동작이 끝나면, 하기와 같이 안전모드 및 볼륨 섀도우 복사본을 삭제하고, 사용자 pc를 재부팅한다.

 

 

[그림  4]  명령어

 

 

이번 보고서에서 알아본 Salam 랜섬웨어는 특정 폴더와 확장자에 대하여 암호화 동작을 수행하며, 볼륨 섀도우 복사본 및 안전모드 부팅을 삭제하여 복구를 어렵도록 하기에 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

 

[그림  5] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

 

 

 

 

 

잉카인터넷 네이버 공식블로그 바로가기