분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] RansomBlox 랜섬웨어

TACHYON & ISARC 2020. 9. 1. 14:02

RansomBlox Ransomware 감염 주의

 

 최근 한국어 랜섬노트를 생성하는 ‘RansomBlox’ 랜섬웨어가 발견되었다. 해당 랜섬웨어는 암호화된 파일에 대해 금전을 요구하지 않고 특정 게임에 대한 플레이를 요구하는 Joke 형태의 랜섬웨어로 해당 게임을 플레이할 필요 없이 파일 복구가 가능하다.

 

이번 보고서에서는 ‘RansomBlox 랜섬웨어의 주요 악성 동작에 대해 알아본다.

 

RansomBlox’ 랜섬웨어는 “%UserProfile%” 경로를 포함한 하위 폴더에 존재하는 파일 중 아래 [ 1]과 같이 특정 확장자를 제외한 모든 파일에 대해 암호화를 진행한 뒤 8자리의 랜덤명 확장자를 덧붙인다.

 

[표 1] 암호화 제외 확장자 목록  

 

[그림  1]  암호화된 파일

 

 파일 암호화가 완료되면 랜섬노트 창이 생성되는데, 노트에는 특정 게임에 대한 플레이를 요구하는 내용과 암호화된 파일 목록, 그리고 1개의 파일을 무료로 복원할 수 있다는 내용이 기재되어 있다. 하지만 실제로 1개의 파일이 아니라 다수의 파일에 대해 파일 복구가 가능하다.

 

[그림  2]  랜섬노트

 

[그림  3]  복호화된 파일

 

 이번 보고서에서 알아본 ‘RansomBlox’ 랜섬웨어는 한국어 랜섬노트로 작성되어 랜섬노트에 기재된 요구 사항과 다르게 파일 복구가 가능하지만, 향후 기능이 추가되어 피해를 입을 수도 있기 때문에 사용자의 주의가 필요하다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 열람을 주의하고 중요한 자료는 별도로 백업해 보관해야한다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면