분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] NocryCryptor 랜섬웨어

TACHYON & ISARC 2020. 12. 10. 10:42

NocryCryptor Ransomware 감염 주의

 

최근 ‘%USERPROFILE%’ 경로를 대상으로 파일을 암호화하는 “NocryCryptor” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 확장자에 따라 파일 감염 방식과 변경하는 확장자가 다르고, 바탕화면에 랜섬노트를 생성하여 50유로 상당의 비트코인을 요구하므로 사용자의 주의가 필요하다.

 

NocryCryptor” 랜섬웨어에 감염되면 바탕화면에 “CryptoJoker Recovery Information.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다.

 

 [그림  1]  랜섬노트

 

 감염된 컴퓨터에서의 파일 암호화는 ‘%USERPROFILE%’ 경로를 대상으로 진행되며 암호화된 파일은 [그림 2]와 같이 “.fully.nocry” 또는 “partially.nocry”라는 확장자가 붙는다.

 

 [그림  2]  암호화 결과

 

 만약, 암호화 대상 파일의 확장자가 “.txt” 또는 “.md”인 경우 파일 전체가 암호화되고 “.fully.nocry”라는 확장자가 파일명에 추가된다. 그 외의 확장자는 파일의 일부(1024바이트)만 암호화를 하며 “partially.nocry”라는 확장자를 파일명에 추가한다.

 

[표  1]  암호화 대상 확장자

 

암호화 동작이 끝나고 나면 하드웨어 ID(HWID) 등의 정보를 공격자에게 메일로 전송을 시도하지만 분석 시점에서는 정상적으로 연결되지 않는다.

 

 [그림  3]  메일 전송 코드

 

이번 보고서에서 알아본 “NocryCryptor” 랜섬웨어에 감염되면 파일이 암호화 되며 확장자에 따라 “.fully.nocry” 또는 “partially.nocry” 확장자가 붙는다. 또한, 감염된 PC에서 HWID 등의 정보를 공격자 메일로 전송을 시도하기에 사용자의 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한 중요한 자료는 별도의 저장공간에 보관할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 [그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

 

 

 

이미지 : 게티이미지뱅크