[랜섬웨어 분석] Fonix 랜섬웨어

Fonix Ransomware 감염 주의

 

최근 "Fonix” 랜섬웨어가 발견되었다. ‘Fonix’ 랜섬웨어는 특정 파일 및 폴더를 제외한 모든 파일에 대해 암호화를 하고, 랜섬노트를 띄운 후 피해자에게 몸값을 요구한다. 또, 사용자가 PC를 다시 복구할 수 없도록 하며 중요한 윈도우 OS폴더를 제외한 모든 확장자를 대상으로 암호화가 이루어지므로 사용자의 주의가 필요하다.

 

“Fonix” 랜섬웨어에 감염되면 [표 1]의 해당 랜섬웨어와 관련된 파일 및 중요한 윈도우 OS폴더를 제외한 모든 확장자의 파일이 암호화 된다.

 

[표  1]  암호화 제외 파일 및 폴더

 

암호화 이후 로컬 드라이브의 이름을 XINOF로 바꾸고, 감염된 파일명의 확장자 뒤에 “.Email=[Email Address]ID=[UserID].XINOF” 라는 이름의 확장자를 덧붙인다.

 

[그림  1]  암호화 결과

 

추가적으로 암호화 대상 폴더에 “How To Decrypt Files”라는 이름으로 hta확장자의 랜섬노트를 생성하여 사용자에게 감염 사실을 알린다. 또한, 6일이라는 기한을 주고 카운트다운하여 기한이 지나면 암호화된 파일을 모두 삭제한다며 협박을 한다.

 

[그림  2]  랜섬 노트

 

해당 랜섬웨어는 암호화 이전에 사용자가 자주 사용할 만한 프로세스를 강제로 종료 시킨 후 암호화하여 PC이용에 제한을 준다.

 

[표  2]  종료 프로세스

 

그리고 레지스트리를 변조하여 안전 모드를 통한 부팅을 막고, 작업관리자 및 Windows Defender를 비활성화한다.

 

[표  3]  레지스트리 변조

 

또한, 정상적인 복구가 불가능하도록 볼륨 섀도우 복사본 등 복구와 관련된 데이터를 삭제 및 비활성화한다.

 

[표  4]  복구 무력화

 

이번 보고서에서 알아본 “Fonix” 랜섬웨어는 6일이라는 기한을 어기면 파일을 삭제한다고 협박하고 있다. 이로 인한 소비자의 불안한 심리를 이용하여 몸값을 요구하므로 사용자의 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 하는 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  3] TACHYON Endpoint Security 5.0  진단 및 치료 화면