국내 사용자를 대상으로 한 CLOP 랜섬웨어 유포

안랩 ASEC은 지난 2019년 2월 15일 국내 사용자를 대상으로 한 CLOP 랜섬웨어를 발견하였다. 국내 사용자에 피해가 증가하고 있어 주의가 요구된다.

 

CLOP랜섬웨어는 파일 암호화전에 일부 프로세스를 찾고 강제로 종료시킨다. 이는 랜섬웨어의 파일 암호화때 보다 많은 대상을 암호화 시키기 위해서 인 것으로 추정된다. 프로세스 종료대상은 아래 그림과 같다.

 

[그림 1] 강제종료 프로세스 목록

 

CLOP랜섬웨어는 일부 경로와 파일들을 암호화 대상에서 제외한다. 제외되는 경로와 파일은 아래 그림과 같다.

 

[그림 2] 암호화 제외 경로

 

[그림 3] 암호화 제외 파일

 

CLOP랜섬웨어는 공격자의 공개키가 파일내부에 포함되어 있으며, 파일 암호화시 사용된다.

 

[그림 4] 랜섬웨어 공격자의 공개키

 

 

암호화된 파일은 원본파일명에 .Clop 가 붙으며 ClopReadMe.txt 파일을 생성한다.

 

[그림 5] 암호화된 파일

 

 

[그림 6] ClopReadMe.txt 내용

 

 

V3제품에서는 아래와 같이 진단하고 있다.

 

- Trojan/Win32.ClopRansom (2019.02.16.00)