분석 정보/랜섬웨어 분석 정보

안전모드에서 감염하는 Sodinokibi 랜섬웨어 변종

TACHYON & ISARC 2021. 4. 13. 09:45

 

지난 3월 중순, 안전모드에서 파일을 감염하는 기능이 추가된 “Sodinokibi” 랜섬웨어 v2.4가 발견됐다. 또한, 4월 초에 발견된 v2.5에서는 자동로그인 기능을 추가하여 파일 감염의 성능을 끌어올렸다.

 

 “Sodinokibi” 랜섬웨어를 실행할 때 [그림 1]과 같이 “-smode”를 인자로 전달하면 재부팅 후 안전모드로 진입하여 감염한다.

 

[그림 1] Sodinokibi 랜섬웨어 인자 전달 및 실행

 

-smode”를 인자로 전달받은 “Sodinokibi” 랜섬웨어는 안전 모드 진입을 위해 [ 1]의 명령어를 실행한다.

 

[표 1] 안전모드 실행 명령어

 

[ 1]의 명령어가 실행되면 부팅 옵션이 [그림 2]와 같이안전 부팅-네트워크로 설정된다.

 

 

[그림 2] 시스템 구성 - 안전모드 부팅 설정

 

그 후, 안전모드에서 랜섬웨어를 자동 실행하기 위해 [ 2]와 같이 변경된 값에 “*”를 추가하고, 부팅 후 안전 모드 설정 값을 삭제하여 정상 모드로 부팅하도록 설정한다.

 

[표 2] 레지스트리 변조

최근에 발견된 v2.5에서는 윈도우 로그인 비밀번호를 “DTrump4ever”로 변경하고 자동으로 로그인하도록 설정하는 기능이 추가됐다.

[표 3] 레지스트리 변조

 

안전모드 진입을 위한 설정이 완료되면 [그림 3]과 같이 안전 모드에 진입하여 파일을 암호화하며, 암호화가 완료된 파일의 확장자는 “.p41ko8”로 변경한다.

 

[그림 3] Sodinokibi 랜섬웨어 실행 결과

 

또한, 해당 랜섬웨어에 감염되면 폴더마다 “p41ko8-read-me-ATTRATTIVO.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염사실을 알린다.

 

[그림 4] Sodinokibi 랜섬웨어 랜섬노트

 

이번 보고서에서 알아본 "Sodinokibi" 랜섬웨어 변종은 보안 소프트웨어의 탐지를 회피하기 위해 안전 모드에서 파일을 암호화하며 윈도우에 자동으로 로그인하는 기능이 추가됐다. 이렇듯 감염된 컴퓨터의 사용자에게서 랜섬머니를 획득하기 위해 감염 방식을 다양하게 발전시키고 있어 주의가 필요하다.

랜섬웨어 감염을 사전에 차단하기 위해 사용자들은 출처가 불분명한 링크나 첨부 파일의 열람을 자제하고 안티바이러스 제품을 설치해 최신 버전으로 업데이트할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Endpoint Security 5.0 진단 및 치료 화면