본문 바로가기
악성코드 정보

Antefrigus 랜섬웨어 변종 국내 발견 (CLICK_HERE-[랜덤].txt)

by 분석팀 2020. 1. 17.

ASEC 분석팀은 Antefrigus 랜섬웨어의 변형으로 추정되는 랜섬웨어가 국내 유포 중임을 확인하였다. 해당 랜섬웨어는 지난 1230일부터 유포되었으며 최근 다량으로 퍼지고 있다. 지난달 24일 게시한 랜섬웨어와 마찬가지로 제작자와 채팅할 수 있는 주소가 존재하며 다른 랜섬웨어와는 다르게 볼륨 섀도우 카피 삭제를 수행하지않아 랜섬웨어 감염 이전에 볼륨 새도 복사본을 생성해두었다면 복구가 가능하다.

 

해당 랜섬웨어는 SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceDefenIfWIn 명으로 랜섬웨어를 레지스트리에 등록하며, 특정 프로세스 종료 후 암호화를 진행한다. 각 폴더에 CLICK_HERE-[랜덤].txt 명의 랜섬노트를 생성하며, 종료 대상 프로세스와 감염 제외 폴더 및 파일 명은 다음과 같다. 또한, 크기가 50,000,000Byte 이상인 파일도 암호화에서 제외된다.

 

종료 대상 프로세스와 감염 제외 폴더 및 파일

 

랜섬노트

 

랜섬노트에는 랜섬웨어 제작자와 채팅할 수 있는 주소가 존재하며, 파일 감염시 확장자는 랜섬노트에 존재하는 랜덤값으로 변경된다.

 

현재 V3에서는 이와 같은 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.

 

 

[파일 진단]

Trojan/Win32.Ransom.C3908666 (2020.01.17.03)

 

[메모리 진단]
Win-Trojan/MalPeP.mexp

 

[행위 진단]
Malware/MDP.Behavior.M2637

 

댓글