[랜섬웨어 분석] TapPiF 랜섬웨어

 TapPiF Ransomware 감염 주의

 

최근 "TapPiF" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 바탕화면에 있는 파일의 확장자를 변경하여 랜섬웨어에 감염된 것처럼 위장한 후, 몸값을 요구하므로 사용자의 주의가 필요하다.

 

이번 보고서에서는 “TapPiF” 랜섬웨어에 대해 간략하게 알아보고자 한다.

 

“TapPiF” 랜섬웨어에 감염되면 바탕화면에 “note.txt”와 “@Please_Read_Me.exe”란 이름의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다.

 

[ 그림  1]  랜섬노트

 

“TapPiF” 랜섬웨어의 감염이 완료되면 ‘C:\Users\users-name\Desktop’ 경로의 파일에 “.ehre” 확장자가 추가된다.

 

 

[ 그림  2]  암호화 결과

 

또한, ‘%TEMP%\CHGcWP.vbs’ 파일을 실행하여 바탕화면을 변경하고, 파일 감염에는 배치파일을 이용해 실제로 암호화를 하지 않고 파일 이름만 변경한다.

 

[ 그림  3]  드롭 파일  – GHGcWP.vbs, 2489579128.bat

 

이번 보고서에서 알아본 “TapPiF” 랜섬웨어에 감염되면 암호화 없이 ‘C:\Users\users-name\Desktop’ 경로의 파일 이름만 변경하므로 사용자의 혼란이 야기된다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야하며 중요한 자료는 별도의 저장공간에 보관할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[ 그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면