[랜섬웨어 분석] Animus 랜섬웨어

Animus Ransomware 감염 주의

 

“Animus” 랜섬웨어는 excel.exe, winword.exe, outlook.exe등 특정 프로세스를 종료하고 파일을 암호화하고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 “Animus” 랜섬웨어에 대해 간략하게 알아본다.

 

해당 랜섬웨어는 시스템과 관련된 파일 및 폴더 이외의 파일을 대상으로 아래 [표 1]과 같은 확장자 파일에 대해 암호화를 진행하고 “랜덤파일명.desu”로 변경한다. 또한 암호화 대상 경로마다 “@_DECRYPT_@.txt, @_DECRYPT2_@.txt, @_DECRYPT3_@.txt”  랜섬노트를 생성하는데, 3개의 랜섬노트는 모두 동일한 내용을 갖고 있다.

 

[표  1]  암호화 대상 확장자 목록

 

[그림  1]  암호화된 파일

 

 

[그림  2] @_DECRYPT_@.txt  랜섬노트

 

 

[표  2]  프로세스 종료 대상 목록

 

 

[그림  3]  시작 프로그램 등록

 

 

[그림  4]  작업관리자 비활성화

 

 

이번 보고서에서 알아본 “Animus” 랜섬웨어는 특정 프로세스를 종료하고 작업관리자를 비활성화하며 시작 프로그램에 랜섬노트를 등록해 사용자에게 감염 사실을 알린다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 열람을 주의하고 중요한 자료는 별도로 백업해 보관해야한다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트 할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  5] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

그리고 TACHYON Endpoint Security 5.0 제품의 랜섬웨어 차단 기능을 이용하면 사전에 파일 암호화 행위를 차단할 수 있다. 

 

[그림  6] TACHYON Endpoint Security 5.0  랜섬웨어 공격 의심 차단 화면