[랜섬웨어 분석] Saturn 랜섬웨어

Saturn 랜섬웨어 주의!

 

2년전 나타났던 Saturn 랜섬웨어가 최근 다시 모습을 보여 주의를 요하고 있다. 해당 랜섬웨어는 가상환경을 우회하고 특정 확장자와 디렉토리에 대해 암호화를 한다. 그리고 볼륨 섀도우 복사본을 삭제하고 안전모드 비활성화하여 복구가 어렵도록 한다.

 

이번 보고서에서는 Saturn 랜섬웨어의 동작에 대해 알아보고자 한다.

 

해당 랜섬웨어는 암호화가 이루어진 파일의 경로에 “#DECRYPT_MY_FILES#”라는 이름으로 html과 txt 확장자의 랜섬노트를 생성하여 사용자에게 파일 감염사실을 알린다.

 

 

[그림  1]  랜섬노트 (.txt)

 

 

 

[그림  2]  랜섬노트 (.html)

 

 

또한, 다음의 이미지를 드롭하여 바탕화면으로 지정한다.

 

 

[그림  3]  배경화면

 

 

악성동작이 시작되기 전, 사용자의 PC가 디버깅 중인지, 그리고 가상환경인지를 확인하고 악성동작을 시작한다.

 

[ 그림  4]  디버깅 확인 코드

 

 

[그림  5]  가상환경 확인 코드

 

[표 1]와 같이, 고정 드라이브에 특정 파일에 대하여 암호화한다.

 

[표  1]  암호화 대상 확장자

 

암호화가 되면 파일명은 “파일명.확장자.saturn” 로 변경된다.

 

 

[그림  6] ( 좌 )  암호화 전 , ( 우 )  암호화 후

 

 

암호화 동작이 끝나면, 다음의 이미지와 같이 볼륨 섀도우 복사본을 삭제하고 자동 복구 비활성화 설정 등을 하여 감염된 사용자 PC의 복구를 불가능하도록 한다.

 

[그림  7]  실행코드

 

 

이번 보고서에서 알아본 Saturn 랜섬웨어는 디버깅과 가상 환경을 우회하여 특정 폴더와 확장자에 암호화 동작을 하기에 더욱 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

 

[그림  8] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

 

 

잉카인터넷 네이버 공식블로그 바로가기