[랜섬웨어 분석] P4YME 랜섬웨어

P4YME Ransomware 감염 주의

 

최근 "P4YME" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 파일을 암호화하는 대신 감염된 PC의 화면을 잠근 후 몸값을 요구한다. 만약, “P4YME” 랜섬웨어에 감염된 경우 정상적인 작업을 불가능하게 하여 상당한 주의가 필요하다.

 

이번 보고서에서는 “P4YME” 랜섬웨어에 대해 간략하게 알아보고자 한다.

 

“P4YME” 랜섬웨어가 실행되면 잠금 화면을 표시하여 사용자가 감염된 PC를 정상적으로 사용하지 못하도록 한다.  또한,

[그림 1]과 같이 랜섬노트를 띄워 잠금을 해제하기 위한 몸값으로 75유로(€ 75)를 요구한다.

 

[그림  1]  랜섬노트 및 화면 잠금

 

“P4YME” 랜섬웨어는 [그림 1]의 랜섬노트 생성 및 잠금 화면 표시 이전에 원활한 감염을 위해 [표 1]에 작성된 7개의 프로세스를 종료한다.

 

[표  1]  프로세스 종료 대상

 

다음으로, 볼륨 섀도우 복사본 및 부팅 메뉴를 삭제하여 정상적인 복구가 불가능하게 한다.

 

[표  2]  복구 무력화

 

또한, 사용자 계정 컨트롤과 시스템 종료 버튼을 비활성화하고 로그인하지 않은 상태에서 시스템 종료를 불가능하도록 설정하여 사용자의 접근을 제한한다. 해당 설정이 완료되면 재부팅이 진행되며, “P4YME” 랜섬웨어가 자동으로 실행되어 [그림 1]과 같이 랜섬노트를 띄운다.

 

[표  3]  레지스트리 변경

 

이번 보고서에서 알아본 “P4YME” 랜섬웨어에 감염되면 사용자 PC의 화면이 잠겨 정상적인 사용을 할 수 없게 되므로 상당한 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  2] TACHYON Endpoint Security 5.0  진단 및 치료 화면