ASEC 분석팀은 Antefrigus 랜섬웨어의 변형으로 추정되는 랜섬웨어가 국내 유포 중임을 확인하였다. 해당 랜섬웨어는 지난 12월 30일부터 유포되었으며 최근 다량으로 퍼지고 있다. 지난달 24일 게시한 랜섬웨어와 마찬가지로 제작자와 채팅할 수 있는 주소가 존재하며 다른 랜섬웨어와는 다르게 볼륨 섀도우 카피 삭제를 수행하지않아 랜섬웨어 감염 이전에 볼륨 새도 복사본을 생성해두었다면 복구가 가능하다.
해당 랜섬웨어는 SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce에 DefenIfWIn 명으로 랜섬웨어를 레지스트리에 등록하며, 특정 프로세스 종료 후 암호화를 진행한다. 각 폴더에 CLICK_HERE-[랜덤].txt 명의 랜섬노트를 생성하며, 종료 대상 프로세스와 감염 제외 폴더 및 파일 명은 다음과 같다. 또한, 크기가 50,000,000Byte 이상인 파일도 암호화에서 제외된다.
랜섬노트에는 랜섬웨어 제작자와 채팅할 수 있는 주소가 존재하며, 파일 감염시 확장자는 랜섬노트에 존재하는 랜덤값으로 변경된다.
현재 V3에서는 이와 같은 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.
[파일 진단]
Trojan/Win32.Ransom.C3908666 (2020.01.17.03)
[메모리 진단]
Win-Trojan/MalPeP.mexp
[행위 진단]
Malware/MDP.Behavior.M2637
'악성코드 정보' 카테고리의 다른 글
| IE 취약점(CVE-2019-1367)에 대한 V3 행위탐지 (Fileless 형태) (0) | 2020.02.04 |
|---|---|
| [주의] 이력서 가장한 정보유출 악성코드 유포 중 (2020.01.23) (0) | 2020.01.23 |
| 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중 (1) | 2020.01.06 |
| 이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab) (0) | 2020.01.02 |
| 제작자와 채팅기능 유도의 신종 랜섬웨어 국내발견 (.RaaS 확장자) (0) | 2019.12.24 |
댓글