분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Ranzy Locker 랜섬웨어

TACHYON & ISARC 2020. 10. 21. 13:50

Ranzy Locker Ransomware 감염 주의

 

지난 8월에 발견된 “ThunderX” 랜섬웨어가 “Ranzy Locker”로 이름을 변경하여 활동을 이어가고 있다. 더욱이 랜섬머니를 지불하지 않는 피해자를 협박하기 위한 데이터 유출 사이트를 운용하기 시작했다고 한다. 해당 랜섬웨어에 감염되면 파일 암호화 및 확장자에 “.RNZ”가 추가되며, 폴더마다 “readme.txt”란 이름의 랜섬노트가 생성된다. 또한, 볼륨 섀도우 복사본과 시스템 상태 백업 등 복구와 관련된 데이터를 삭제하여 랜섬머니를 지불하지 않으면 복구가 어렵게 만들므로 사용자의 주의가 필요하다.

 

이번 보고서에서는 “Ranzy Locker” 랜섬웨어에 대해 간략하게 알아보고자 한다.

 

Ranzy Locker” 랜섬웨어에 감염되면 폴더마다 “readme.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다.

 

[그림  1]  랜섬노트

 

감염된 컴퓨터의 파일은 암호화되며, 암호화가 완료된 파일은 [그림 2]와 같이 “.RNZ”라는 확장자가 붙는다.

 

[그림  2]  암호화 결과

 

암호화 대상은 [ 1]의 확장자, 파일 및 폴더를 제외한 모든 파일이다.

 

[표  1]  암호화 제외 대상

 

 

다음으로, 원활한 악성 동작을 위해 실행 중인 프로세스 및 서비스 목록을 확인하여 아래 [ 2]에 해당하는 프로세스와 서비스를 종료한다.

 

[표  2]  프로세스 종료 대상

 

또한, 정상적인 복구가 불가능하도록 볼륨 섀도우 복사본 등 복구와 관련된 데이터를 삭제한다.

 

[표  3]  복구 무력화

 

이번 보고서에서 알아본 “Ranzy Locker” 랜섬웨어에 감염되면 파일이 암호화되며, 볼륨 새도우 복사본 및 시스템 상태 백업을 삭제하여 복구가 불가능해진다. 더욱이 데이터 유출 사이트를 운용한다고 알려져 있으므로 사용자의 상당한 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한 중요한 자료는 별도의 저장공간에 보관할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  3] TACHYON Endpoint Security 5.0  진단 및 치료 화면