분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] ThunderX 랜섬웨어

TACHYON & ISARC 2020. 9. 17. 16:55

ThunderX 랜섬웨어 주의

 

최근, ThunderX 랜섬웨어가 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 유사하게 암호화 동작을 수행하고 감염된 PC를 복구 불가능하도록 하지만, 광범위한 대상에 대하여 악성 동작을 수행하기에 감염된다면 큰 피해를 초래할 수 있다.

 

이번 보고서에서는 ThunderX 랜섬웨어의 동작에 대해 알아보고자 한다.

 

해당 랜섬웨어의 랜섬노트는 암호화가 이루어진 파일 경로에 “readme.txt”라는 이름으로 생성되어 사용자에게 감염사실을 알린다.

 

[그림  1]  랜섬노트

 

 암호화 동작이 이행되기 전에 아래의 이미지와 같이 볼륨섀도우 복사본을 삭제하고, 자동복구를 비활성화로 설정하여 악성동작이 진행된 뒤, 복구가 불가능하도록 한다.

 

[그림  2]  명령어 코드

 

 

[그림  3]  실행

 

 사용중인 모든 드라이브를 대상으로 일부 디렉토리와 확장자를 제외하고 암호화동작을 한다.

 

[표  1]  암호화 대상 확장자

 

암호화가 되면 파일명은파일명.확장자.tx_locked” 로 변경된다.

 

[그림  4] ( 좌 )  암호화 전 , ( 우 )  암호화 후

 

이번 보고서에서 알아본 ThunderX 랜섬웨어는 사용자 PC의 대부분의 파일에 대하여 암호화동작을 수행하기에 더욱 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

[그림  5] TACHYON Endpoint Security 5.0  진단 및 치료 화면