분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] MrDec 랜섬웨어

 “MrDec” 또는 “_RSA” 라고 알려진 랜섬웨어는 모든 이벤트 뷰어 로그를 삭제하고 파일 암호화 후에는 자기자신을 삭제한다. 지난 2018년에 발견되어 현재까지 유포되고 있어 주의가 필요하다.

 

 해당 랜섬웨어는 아래 [ 1]의 암호화 제외 목록에 따라 기본적인 시스템 파일을 제외한 모든 대상 파일에 대해 암호화를 진행한다. 파일 암호화가 완료되면임의의ID_RSA” 형태의 확장자를 덧붙이며 암호화 대상 경로마다 “Data recovery.hta” 랜섬노트를 생성하고 실행한다.

 

[표  1]  암호화 제외 목록

 

[그림  1]  암호화된 파일

 

[그림  2] Data recovery.hta  랜섬노트

 

파일 암호화 이외에도 명령 프롬프트에서 모든 이벤트 뷰어 로그 지우기 위해 ‘Windows’ 폴더에 ”delog.cmd" 파일을 생성하고 실행한다.

 

[그림  3] delog.cmd

 

마지막으로 해당 랜섬웨어는 사용자가 복구하기 어렵도록 볼륨 섀도우 복사본을 삭제한다.

 

 이번 보고서에서 알아본 “MrDec” 랜섬웨어는 이벤트 뷰어 로그를 삭제하고 모든 확장에 대해 파일 암호화를 진행 하므로 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 열람을 주의하고 중요한 자료는 별도로 백업해 보관해야 한다. 그리고 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

그리고 TACHYON Endpoint Security 5.0 제품의 랜섬웨어 차단 기능을 이용하면 사전에 파일 암호화 행위를 차단할 수 있다. 

 

[그림  5] TACHYON Endpoint Security 5.0  랜섬웨어 공격 의심 차단 화면

 

 

 

댓글

댓글쓰기