분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Solaso 랜섬웨어

TACHYON & ISARC 2021. 1. 12. 17:54

랜섬웨어 분석 보고서

 

 

올해 초 Solaso 랜섬웨어가 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어 동작과 유사하며, 사용자가 주로 사용하는 폴더와 확장자를 대상으로 감염 동작을 수행한다. 그리고 악성동작을 완료하면 자가 삭제하여 흔적을 지우기에 주의가 필요하다.

 

해당 랜섬웨어는 하기의 이미지와 같이 파일 감염사실을 알리는 랜섬노트를 생성한다.

 

[그림  1]  랜섬노트

 

 Solaso 랜섬웨어는 운영체제의 주요 파일에 대해 직접적인 영향을 끼치지 않지만, 사용자가 주로 사용하는 %USERPROFILE% 아래의 특정 폴더와 확장자를 대상으로 암호화 동작을 수행한다.

 

[표  1]  암호화 대상

 

암호화가 되면 파일명은파일명.확장자.solaso” 로 변경된다.

 

[그림  2] (좌)  암호화 전 , (우)  암호화 후

 

 이번 보고서에서 알아본 Solaso 랜섬웨어는 사용중인 대부분의 드라이브에 사용자 디렉토리를 대상으로 암호화 동작이 이루어지기에 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

 

[그림  3] TACHYON Endpoint Security 5.0  진단 및 치료 화면