분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Egregor 랜섬웨어

TACHYON & ISARC 2021. 1. 18. 14:41

랜섬웨어 분석 보고서

 

Egregor” 랜섬웨어는 지난 2020 9월경에 발견되어 12월 초, 네덜란드 컨설팅 회사인 Randstad을 대상으로 공격했던 사례가 있어 주의가 필요하다. 해당 랜섬웨어는 피싱 메일을 통해 유포되는 Qakbot, IcedID와 같은 악성코드를 통해 다운로드되어 감염된 시스템의 사용자 데이터 유출을 위해 클라우드 파일 관리 프로그램인 Rclone을 이용한다고 알려진다. 또한 특정 명령줄 인수를 통해 파일 암호화가 진행되며 특정 프로세스와 서비스를 종료한다.

 

[그림  1]  파일 복호화 페이지

 

Egregor” 랜섬웨어는 아래 [ 1]의 암호화 제외 목록에 따라 기본적인 시스템 파일을 제외한 대상 파일에 대해 암호화를 진행한다. 파일 암호화가 완료되면랜덤명4~6자리형태의 확장자를 덧붙이며 암호화 대상 경로마다 “RECOVER-FILES.txt” 랜섬노트를 생성한다.

 

[표  1]  암호화 제외 목록

 

[그림  2]  암호화된 파일

 

 

 

[그림  3] RECOVER-FILES.txt  랜섬노트

 

파일 암호화 이외에도 SQL database 문자열이 포함된 서비스와 아래 [ 2]에 해당하는 프로세스를 종료하며 명령줄 인수를 사용해 암호화 대상을 변경할 수 있는 기능이 존재한다.

 

[표  2]  프로세스 종료 대상 목록

 

 

[표  3]  주요 명령 줄 인수

 

이번 보고서에서 알아본 “Egregor” 랜섬웨어는 현재 빠른 속도로 확산 중인 랜섬웨어로 파일 암호화뿐만 아니라 사용자의 데이터를 유출한다고 알려지기 때문에 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 열람을 주의하고 중요한 자료는 별도로 백업해 보관해야 한다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

그리고 TACHYON Endpoint Security 5.0 제품의 랜섬웨어 차단 기능을 이용하면 사전에 파일 암호화 행위를 차단할 수 있다. 

 

[그림  5] TACHYON Endpoint Security 5.0  랜섬웨어 공격 의심 차단 화면