분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] DarkSide 랜섬웨어

TACHYON & ISARC 2020. 8. 14. 13:59

DarkSide Ransomware 감염 주의

 

최근 ‘DarkSide’ 랜섬웨어가 발견되었다. Darkside 랜섬웨어의 웹 사이트에는 해당 랜섬웨어에 감염된 기업에 대한 민감한 정보를 탈취하고 금전을 지불하지 않을 경우 민감한 정보를 공개한다는 내용이 적혀있다. 하지만 분석한 랜섬웨어 파일에서는 정보 탈취에 대한 코드는 존재하지 않지만 파일 암호화 동작은 수행하기 때문에 사용자의 주의가 필요하다.

 

이번 보고서에서는 ‘DarkSide 랜섬웨어의 주요 악성 동작에 대해 알아본다.

 

[그림  1] Darkside  웹 사이트

 

 

DarkSide’ 랜섬웨어는 아래 [ 1]와 같이 특정 프로세스에 대해 종료를 먼저 진행하고, 기본적인 시스템 관련 파일 및 폴더와 특정 확장자를 제외한 모든 파일에 대해 암호화를 진행한 뒤 랜덤명의 확장자를 덧붙인다.

 

[표  1]  프로세스 종료 대상 및 암호화 제외 확장자 목록

 

 

[그림  2]  암호화된 파일

 

 

그리고 파일 암호화가 진행된 경로 마다 “README.랜덤명.TXT” 랜섬노트를 생성하고, 랜섬웨어 피해자로부터 금전을 요구한다.

 

[그림  3]  랜섬노트

 

 

[그림  4]  금전 요구 페이지

 

 

이번 보고서에서 알아본 ‘DarkSide’ 랜섬웨어는 기업의 민감한 정보를 탈취하고 돈을 지불하지 않으면 탈취한 정보를 공개하겠다는 내용으로 피해자를 협박하기 때문에 사용자의 주의가 필요하다.

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 열람을 주의하고 중요한 자료는 별도로 백업해 보관해야한다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림  5] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

TACHYON Endpoint Security 5.0제품에서 랜섬웨어 차단 기능을 이용하면 파일 암호화 행위를 사전에 차단할 수 있다.

 

 

[그림 6] TACHYON Endpoint Security 5.0 랜섬웨어 공격 의심 차단 화면

 

 

 

 

잉카인터넷 네이버 공식블로그 바로가기