최근 Anti Debugging 동작을 하는 Thanos 랜섬웨어가 등장하였다. 해당 랜섬웨어는 파일 감염 동작과 더불어, 정상 소프트웨어를 다운로드하고 정상 프로세스에 인젝션하여 사용자가 악성동작이 이루어지는 것을 알아차리지 못하도록 하기에 큰 주의가 필요하다.
Thanos 랜섬웨어에 감염되면, 암호화 동작을 한 디렉토리에 랜섬노트를 생성하고 모든 악성동작이 끝나면 바탕화면에 띄워 감염사실을 알린다.
Thanos 랜섬웨어는 먼저, 실행중인 프로세스 중에서 디버깅과 관련된 프로세스가 존재하면 해당 랜섬웨어의 동작을 중지하고 자가 삭제한다.
그리고 정상 프로그램인 “ProcessHide64.exe” 또는 “ProcessHide32.exe” 파일을 다운로드 한다. “ProcessHide32.exe”는 정상 프로세스에 인젝션하여 특정 프로세스를 숨김 모드로 실행할 수 있도록 하는 소프트웨어이다. 만약 해당 URL로 소프트웨어가 다운로드가 된다면, 본 악성코드를 숨김 모드로 실행한다.
또한, 원격지와 연결하여 서버를 모니터링 하도록 하는 “paexec.exe”라는 정상 소프트웨어를 다운로드 한다.
사용자 PC에 “paexec.exe”가 다운로드되면 서버에 연결하여 ID와 PW를 지정하고, 원격지와 연결해 감염된 사용자 PC의 정보를 전달한다.
그리고 하기의 이미지와 같이 암호화 동작에 방해가 되는 프로세스 및 서비스 등을 종료하고, 볼륨 섀도우 복사본을 삭제한다.
그 후, 하기의 표와 같이 C드라이브를 대상으로 특정 폴더와 확장자에 대하여 암호화 한다.
이번 보고서에서 알아본 Thanos 랜섬웨어는 암호화 동작 이 외에도 정상 소프트웨어를 사용하여 악성 동작을 수행하기에 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [랜섬웨어 분석] Marvel 랜섬웨어 (0) | 2021.01.07 |
|---|---|
| [랜섬웨어 분석] ANCrypted 랜섬웨어 (0) | 2021.01.05 |
| [랜섬웨어 분석] Krider 랜섬웨어 (0) | 2020.12.24 |
| [랜섬웨어 분석] Lola 랜섬웨어 (0) | 2020.12.17 |
| [랜섬웨어 분석] BlackKingdom 랜섬웨어 (0) | 2020.12.17 |