잉카인터넷 시큐리티대응센터 블로그

최근 Anti Debugging 동작을 하는 Thanos 랜섬웨어가 등장하였다. 해당 랜섬웨어는 파일 감염 동작과 더불어, 정상 소프트웨어를 다운로드하고 정상 프로세스에 인젝션하여 사용자가 악성동작이 이루어지는 것을 알아차리지 못하도록 하기에 큰 주의가 필요하다. Thanos 랜섬웨어에 감염되면, 암호화 동작을 한 디렉토리에 랜섬노트를 생성하고 모든 악성동작이 끝나면 바탕화면에 띄워 감염사실을 알린다. Thanos 랜섬웨어는 먼저, 실행중인 프로세스 중에서 디버깅과 관련된 프로세스가 존재하면 해당 랜섬웨어의 동작을 중지하고 자가 삭제한다. 그리고 정상 프로그램인 “ProcessHide64.exe” 또는 “ProcessHide32.exe” 파일을 다운로드 한다. “ProcessHide32.exe”는 정상 ..

최근 “Krider” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 ‘%Desktop%’ 경로를 대상으로 파일을 암호화하고 볼륨 섀도우 복사본을 삭제하여 파일 복구를 어렵게 한다. 또한, 컴퓨터를 켰을 때 “Krider” 랜섬웨어가 자동 실행되므로 사용자의 주의가 필요하다. “Krider” 랜섬웨어에 감염되면 ‘%Desktop%’ 경로가 아닌 ‘C:\user\user-name’ 경로에 “DesktopDECRYPT_ME.TXT”란 이름의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 암호화된 파일은 [그림 2]와 같이 랜덤 파일명으로 변경되고 “.adr” 확장자가 붙는다. 파일 암호화는 ‘%Desktop%’ 경로에서 [표 1]의 확장자에 해당하는 파일을 대상으로 진행된다. 또한, 정상적인 복구..