[랜섬웨어 분석] LockDown 랜섬웨어

LockDown 랜섬웨어 주의

 

11월 초 LockDown 랜섬웨어가 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 유사하게 동작하지만, 광범위한 확장자에 대하여 암호화 동작을 수행하기에 큰 피해를 초래할 수 있다.

 

해당 랜섬웨어는 특정 디렉토리에 대하여 암호화를 수행하며, 암호화 대상 디렉토리 경로에 “HELP_DECRYPT_YOUR_FILES.txt”라는 이름으로 생성되어 사용자에게 감염사실을 알린다.

 

[그림  1]  랜섬노트

 

암호화 동작이 시작되기 전 관리자 승인 모드를 활성화하고, 사용자가 눈치채지 못하도록 /quiet 옵션으로 볼륨섀도우 복사본을 모두 삭제한다.

 

[그림  2]  관리자 승인 모드 및  UAC  정책 활성화

 

[그림  3]  모든 볼륨섀도우 복사본 삭제

 

그리고 해당 랜섬웨어는 C 드라이브를 제외하고 다른 드라이브가 존재할 때에 악성동작을 수행한다.

 

[그림  4] PC 의 드라이브 확인

 

아래의 표와 같이 특정 폴더와 확장자에 대하여 암호화 동작을 수행한다.

 

[표  1]  암호화 대상 확장자

 

 암호화가 되면 파일명은 “파일명.확장자.sext” 로 변경된다.

 

[그림  5] ( 좌 )  암호화 전 , ( 우 )  암호화 후

 

 암호화동작이 끝나고 나면 특정 URL에 연결하지만, 현 분석 시점에서는 정상적으로 연결되지 않는다.

 

[그림  6] URL  연결

 

이번 보고서에서 알아본 LockDown 랜섬웨어는 일부 디렉토리와 확장자를 대상으로 암호화동작을 수행하여, 빠른 속도로 악성 동작이 이루어지기에 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

[그림  7] TACHYON Endpoint Security 5.0  진단 및 치료 화면