분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Xorist 랜섬웨어

TACHYON & ISARC 2021. 2. 22. 15:47

지난 2016년도부터 꾸준히 모습을 나타낸 Xorist 랜섬웨어가 또 다른 변종으로 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 달리 메시지 창을 띄워 감염사실을 알리는 특이한 모습으로, 특정 확장자에 대하여 파일 감염 동작을 수행한다. 그리고 사용자가 감염된 파일을 실행할 때 오류 메시지 창을 띄워 랜섬노트의 내용과 함께 금전적인 요구를 하기에 주의가 필요하다.

 

Xorist 랜섬웨어의 악성동작이 수행되면, 아래의 이미지와 같이 오류 메시지 창을 띄운다.

 [그림  1]  오류 메시지 창

 

위의 메시지 창과 함께 모든 디렉토리 아래에 동일한 내용의 랜섬노트도 생성한다.

[그림  2]  랜섬노트

 

해당 랜섬웨어는 사용중인 모든 드라이브를 대상으로 다음의 확장자를 대상으로 암호화 동작을 수행한다.

[그림  3]  암호화 대상 확장자

 

감염 동작이 수행되면 파일 유형은 “CRYPTED!”로 변경되며, 파일명은파일명.확장자.omfl”로 변경된다.

[그림  4] ( 좌 )  암호화 전 , ( 우 )  암호화 후

 

그리고 %Temp%경로에 자가 복사하고, 자동 실행 레지스트리에 등록하여 재부팅 시 자동 실행되도록 한다.

[그림  5]  자가 복사 및 레지스트리 등록 코드

 

[그림  6]  레지스트리 값

 

그리고 감염 파일을 대상으로 파일 유형이 “CRYPTED!”인 경우, 더블클릭하여 실행하면 자가 복사된 파일이 실행되도록 레지스트리 값이 추가된다.

[그림  7]  추가된 레지스트리 키

 

파일이 실행되면 [그림 1]과 동일한 메시지 창이 뜨고, 암호화된 파일을 디코딩하기 위한 암호를 요구한다.

[그림  8]  암호 입력 창

 

 

이번 보고서에서 알아본 Xorist 랜섬웨어는 과거부터 꾸준히 모습을 보이고 있으며 과거보다 훨씬 빠른 속도로 악성 동작을 수행하기에 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  9] TACHYON Endpoint Security 5.0  진단 및 치료 화면