본문 바로가기
악성코드 정보

국내 신종 랜섬웨어 발견 (ANTEFRIGUS) - 2019.11.06

by 분석팀 2019. 11. 7.

안랩 ASEC 분석팀은 2019년 11월 6일 BlueCrab(=Sodinokibi과 동일한 외형정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 아래의 그림에서 처럼 wscript.exe 프로세스에 의해 생성된 것으로 확인되어 Exploit kit을 통해 유포되는 것으로 추정된다.

wscript.exe에 의해 실행

해당 랜섬웨어의 특징으로는 C:\드라이브는 암호화 하지않으며, D:\, E:\, F:\, I:\, U:\, G:\ 드라이브를 대상으로 암호화를 진행한다.

랜섬노트 (qrja-readme.txt) 를 띄워 사용자에게 감염 사실을 알리는 것 뿐만 아니라, 해당 랜섬 노트를 종료 시 메시지 박스(Attention!!!!!!! - Your computer is encrypted !!! For decryption see the file with instructions on your desktop !!!)를 한번 더 실행한다.

랜섬노트
메시지 박스

해당 랜섬웨어는 감염 시 확장자를 랜덤이 아닌 .qrja 로 변경한다.

감염 된 파일들
감염 제외 확장자 목록

특이한 점은, 한글로 된 파일명일 경우 파일 암호화는 되지만 확장자 변경은 하지 못하는 것으로 확인된다. 감염 후, 아래의 랜섬 페이지를 통해 복구 비용을 지불하도록 하고 있으며, 금액은 1,995$(USD)로 확인되었다.

랜섬 페이지

현재 V3에서는 이와 같은 새로운 랜섬웨어에 대해서 행위 기반 탐지로 선제적으로 차단을 하며 아래 진단명으로 진단하고 있다.

[파일 진단]
Trojan/Win32.MalPe (2019.11.07.04)

[행위 진단]
Malware/MDP.DriveByDownload.M1153

[보안 업데이트]
https://get.adobe.com/flashplayer/

댓글