[랜섬웨어 분석] BlackKingdom 랜섬웨어

 

지난 12월 초, BlackKingdom 랜섬웨어가 발견되었다. 해당 랜섬웨어는 확장자에 따라, C드라이브 내 모든 경로에 대하여 파일 감염 동작을 수행하기에 사용자의 주의가 필요하다.

 

BlackKingdom 랜섬웨어는 악성동작이 이루어지면, 카운트다운과 랜섬노트를 띄워 감염사실을 알린다.

 

[그림  1]  랜섬노트

 

해당 랜섬웨어는 암호화 동작이 이루어지기 전에, 원격지 서버에 연결을 시도하지만 현 분석 시점에는 연결되지 않는다.

 

[그림  2]  서버 연결

  

그리고, 바탕화면에 txt 파일의 랜섬노트를 생성하지만, 암호화 대상 확장자로 감염동작이 이루어질 때 랜섬노트도 암호화된다.

 

[그림 3]  감염되기 전 랜섬노트

 

하기의 표와 같이, C 드라이브 경로 내에 특정 확장자에 대하여 암호화 동작을 수행한다.

 

[표  1]  암호화 대상 확장자

 

감염이 되면 “파일명.확장자.DEMON” 파일명이 변경된다.

 

[ 그림  4] ( 좌 )  감염 전 , ( 우 )  감염 후

 

이번 보고서에서 알아본 BlackKingdom 랜섬웨어는 실행파일을 비롯하여, 문서파일 등을 감염하기에 사용자의 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한 중요한 자료는 별도의 저장공간에 보관할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  5] TACHYON Endpoint Security 5.0  진단 및 치료 화면