Vash Sorena 랜섬웨어 주의
최근, Vash Sorena 랜섬웨어가 등장하였다. 해당 랜섬웨어는 OS운영에 관련된 디렉토리를 제외 한 모든 파일에 대하여 암호화 동작을 수행하기 때문에 큰 피해를 초래할 수 있다.
Vash Sorena 랜섬웨어는 암호화 동작을 원활하게 수행되도록 하기 위해, 실행중인 SQL 관련 프로세스를 종료하여 암호화 대상을 확대한다.
그리고 각종 프로그램 정보가 있는 AppData 폴더와 휴지통 폴더을 삭제한다.
그 후, C 드라이브 아래와 %USER% 디렉토리 아래의 Desktop 폴더, Network Shortcuts 폴더에 랜섬노트를 생성한다.
하기의 표와 같이 OS 운영과 관련된 디렉토리를 제외하고 C드라이브에 대한 모든 파일을 대상으로 암호화 동작을 수행한다.
암호화가 되면 파일명은 “파일명.확장자.Email=[공격자 이메일]ID=[개인 ID].encrypt” 로 변경된다.
이번 보고서에서 알아본 Vash Sorena 랜섬웨어는 일부 폴더를 제외하고 모든 파일을 대상으로 암호화 동작을 하기 때문에 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [랜섬웨어 분석] NocryCryptor 랜섬웨어 (0) | 2020.12.10 |
|---|---|
| [랜섬웨어 분석] CryLock 랜섬웨어 (0) | 2020.12.04 |
| [랜섬웨어 분석] RedRoman 랜섬웨어 (0) | 2020.11.25 |
| [랜섬웨어 분석] MountLocker 랜섬웨어 (0) | 2020.11.25 |
| [랜섬웨어 분석] Fonix 랜섬웨어 (0) | 2020.11.18 |