[랜섬웨어 분석] Clay 랜섬웨어

Clay Ransomware 감염 주의

 

최근 "Clay” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 특정 폴더에 대해 암호화를 하고, 랜섬노트를 띄워 피해자에게 몸값을 요구한다. 그리고 레지스트리 변조를 통해 부팅이 정상적으로 일어나지 않게 하기 때문에 주의가 필요하다.

 

“Clay” 랜섬웨어에 감염되면 ‘Desktop’ 및 ‘Downloads’ 경로의 모든 확장자를 암호화 한다. 암호화 이후에 파일의 확장자는 바뀌지 않는다.

 

[그림  1]  암호화 전 ( 좌 ),  암호화 후 ( 우 )

 

감염이 완료되면 랜섬노트 창을 띄우며 해당 창을 종료할 수 없도록 만든다. 그리고 랜섬노트 창 아래에 1시간의 시간이 주어지며 해당 시간이 지나면 PC를 강제로 재부팅한다.

 

 

[그림  2]  랜섬 노트

 

 

랜섬노트 창을 실행 직후 레지스트리 값을 변경하여 사용자가 랜섬웨어를 강제 종료할 수 없도록 작업관리자를 비활성화 한다. 또, 재부팅시 제대로 된 부팅이 이루어지지 않아서 사용자의 PC 사용을 불가능하게 한다.

 

 

[표  1]  레지스트리 설정

 

[표 2]의 프로그램 실행 시 프로세스를 강제로 종료하여 랜섬웨어에 의한 피해를 복구 할 수 없게 한다.

 

 

[표  2]  프로세스 강제 종료

 

 

‘Clay’ 랜섬웨어는 복호화 키가 내부 데이터에 저장되어 있어 랜섬노트 창에 [표 3]의 복호화 키를 입력하면 암호화 된 파일과 변경된 레지스트리 복구가 가능하다.

 

[표  3]  복호화 키

 

이번 보고서에서 알아본 “Clay” 랜섬웨어는 복호화 키를 알 수 있어 암호화된 파일 복구가 가능하다. 하지만 제한된 시간 내에 몸값을 지불하지 않으면 사용자가 PC를 이용할 수 없게 하므로 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 하는 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림  3] TACHYON Endpoint Security 5.0  진단 및 치료 화면