분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] ANCrypted 랜섬웨어

TACHYON & ISARC 2021. 1. 5. 10:21

 

최근 “ANCrypted” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 특정 폴더를 제외하고 사용자 PC의 국가 코드가 IR(이란)이 아닐 경우 모든 확장자에 대해 파일 암호화를 진행하기 때문에 주의가 필요하다.

 

ANCrypted” 랜섬웨어는 먼저 Myip 사이트에 접속해 사용자 PC IP 주소, 국가, 국가 코드를 확인하고 국가 코드가 IR(이란)인지 확인한다. 국가 코드가 IR(이란)이 아니면 아래 [ 1]에 해당하는 특정 폴더를 제외한 모든 경로의 파일에 대해 암호화를 진행한다.

 

[표  1]  암호화 제외 폴더 목록

 

 

또한 파일 암호화를 위해 “%TEMP%” 경로에 암호화 대상 파일 목록을 LST 파일로 임시 생성하고, 암호화가 진행될 경우 ‘Encripted’ 내용이 담긴 “End.lst” 파일을 생성한다. 이후 암호화가 완료된 파일은 “[공격자의 Email주소].[랜덤문자열].AMJIXIUS” 확장자를 덧붙인다.

 

[그림  1]  암호화된 파일

 

 그리고 랜섬노트를 실행하기 위한 실행 파일을 “C:\Users\INCA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup” 경로에 “svchost.exe” 파일명으로 생성해 시스템을 재부팅 할 때마다 랜섬노트가 실행되어 사용자로부터 암호화된 파일에 대해 금전을 요구한다.

 

[그림  2] ANCrypted  랜섬웨어의 랜섬노트 생성

 

[그림  3] ANCrypted  랜섬웨어의 랜섬노트

 

마지막으로 바탕화면에 “killme.bat” 파일을 실행해 자신의 프로세스를 종료하고 파일을 삭제한다.

 

[그림  4] killme.bat  배치파일 내용

 

 ANCrypted” 랜섬웨어는 랜섬노트를 실행 파일로 생성하는 특징을 갖고 있으며 모든 확장자에 대한 파일 암호화가 이루어지기 때문에 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일의 열람을 주의하고 중요한 자료는 별도로 백업해 보관해야 한다. 또한 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.

 

[그림  5] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

그리고 TACHYON Endpoint Security 5.0 제품이 랜섬웨어 차단 기능을 이용하면 사전에 파일 암호화 행위를 차단할 수 있다.

 

[그림  6] TACHYON End point Security 5.0  진단 및 치료 화면