[랜섬웨어 분석] Vash Sorena 랜섬웨어

Vash Sorena 랜섬웨어 주의

 

최근, Vash Sorena 랜섬웨어가 등장하였다. 해당 랜섬웨어는 OS운영에 관련된 디렉토리를 제외 한 모든 파일에 대하여 암호화 동작을 수행하기 때문에 큰 피해를 초래할 수 있다.

 

Vash Sorena 랜섬웨어는 암호화 동작을 원활하게 수행되도록 하기 위해, 실행중인 SQL 관련 프로세스를 종료하여 암호화 대상을 확대한다.

 

[표  1]  프로세스 종료 명령어

 

 그리고 각종 프로그램 정보가 있는 AppData 폴더와 휴지통 폴더을 삭제한다.

 

[표  2]  폴더 삭제 명령어

 

 그 후, C 드라이브 아래와 %USER% 디렉토리 아래의 Desktop 폴더, Network Shortcuts 폴더에 랜섬노트를 생성한다.

 

[그림  1]  랜섬노트

 

 하기의 표와 같이 OS 운영과 관련된 디렉토리를 제외하고 C드라이브에 대한 모든 파일을 대상으로 암호화 동작을 수행한다.

 

[표  3]  암호화 제외 폴더

 

 암호화가 되면 파일명은 “파일명.확장자.Email=[공격자 이메일]ID=[개인 ID].encrypt” 로 변경된다.

 

[그림  2]  암호화된 파일

 

이번 보고서에서 알아본 Vash Sorena 랜섬웨어는 일부 폴더를 제외하고 모든 파일을 대상으로 암호화 동작을 하기 때문에 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

[그림  3] TACHYON Endpoint Security 5.0  진단 및 치료 화면