분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] CryLock 랜섬웨어

TACHYON & ISARC 2020. 12. 4. 21:36

CryLock Ransomware 감염 주의

 

최근 발견된 “CryLock” 랜섬웨어는 대다수의 파일 확장자에 대해 파일 암호화를 진행하고 시스템 복구를 무력화한다. 그리고 시스템이 재부팅되어도 랜섬웨어가 자동실행되도록 설정하기 때문에 주의가 필요하다.

 

해당 랜섬웨어는 “%TEMP%” 경로에 랜덤 파일명으로 자가복제하고 실행된다. 그리고 아래 [ 1]의 암호화 제외 목록을 참고하고 대부분의 확장자에 대해 파일 암호화를 진행한다. 파일 암호화가 완료되면 확장자를 “[공격자의 email].[랜덤 문자열]” 형태로 덧붙인다. 또한 암호화 대상 경로마다 “how_to_decrypt.hta” 랜섬노트를 생성한다.

 

[표  1]  암호화 제외 목록

 

 

[그림 1] 암호화된 파일  

 

[그림  2] how_to_decrypt.hta  랜섬노트

 

또한 “TEMP”경로에 자가복제된 파일과 랜섬노트를 시스템이 재부팅되어도 자동 실행되도록 설정한다.

 

[그림  3]  자동실행 등록

 

 파일 암호화 이외에도 시스템 복구를 무력화 시키기 위해 특정 명령어들을 실행시킨다.

 

[표  2]  시스템 복구 무력화

 

이번 보고서에서 알아본 “CryLock” 랜섬웨어는 파일 암호화 이외에도 특정 프로세스 및 서비스를 종료할 수 있으나 해당 샘플에서는 프로세스 및 서비스 종료 기능을 사용하지 않는다. 하지만 시스템이 재부팅되어도 자동 실행되도록 설정하고 시스템 복구를 무력화하기에 주의가 필요하다.

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 열람을 주의하고 중요한 자료는 별도로 백업해 보관해야한다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트 할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

그리고 TACHYON Endpoint Security 5.0 제품의 랜섬웨어 차단 기능을 이용하면 사전에 파일 암호화 행위를 차단할 수 있다.

 

[그림  5] TACHYON Endpoint Security 5.0  랜섬웨어 공격 의심 차단 화면