​

[그림 1] 신종 랜섬웨어의 랜섬 노트

 

암호화 대상 및 암호화 수행 방식 등 신종 랜섬웨어의 특징을 요약하면 다음과 같다.


1. 암호화 대상 확대
이 신종 랜섬웨어가 실행되면 일부 경로를 제외하고 거의 모든 경로의 폴더에 존재하는 파일을 암호화한다. 또한 .exe, .dll 등을 포함해 거의 모든 포맷의 파일을 암호화하고, 파일의 확장자명을 .SAVEfiles로 변경한다.
대부분의 랜섬웨어는 PC의 Program Files 경로는 암호화 대상에서 예외로 처리하는 반면, 이번에 발견된 랜섬웨어는 해당 폴더도 암호화 대상으로 포함하고 있다. 따라서 PC에 설치된 주요 프로그램들도 암호화되며 정상적으로 이용할 수 없게 된다.
　

​
[그림 2] 암호화 후 변경된 파일 확장자명

2. 암호화 수행을 위한 키/퍼스널 ID
이번에 발견된 신종 랜섬웨어는 대부분의 랜섬웨어와 마찬가지로 C&C 서버를 통해 공격자와 연결, 암호화 수행 시 필요한 키(key)와 퍼스널ID(Personal ID)를 수신한다. 그러나 내부에 하드코딩된 값을 갖고 있어 인터넷 연결이 되지 않은 환경에서도 암호화 진행이 가능하다. 암호화 후 ‘!!!SAVE_FILES_INFO!!!.txt’라는 파일명의 랜섬노트를 생성한다.


3. 금전 요구 방식
이번에 발견된 랜섬웨어는 대부분의 랜섬웨어와 달리 공격자와의 통신을 위해 URL이 아닌 이메일 주소를 제시하고 있다. 즉, 피해자는 암호화된 파일을 복구하기 위해 이메일을 이용해 공격자에게 연락해야 하는 구조다. 또한, 복구 비용으로 비트코인 등 암호화폐(가상화폐)를 요구하는 기존 랜섬웨어와 달리 실제 통화로 500달러를 요구하고 있다([그림 1] 참고).


.SAVEfiles라는 확장자명으로 파일을 암호화하는 신종 랜섬웨어에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.

► ASEC 블로그 바로가기

한편, 안랩은 이번 신종 랜섬웨어에 대해 자사 제품을 통해 아래와 같은 진단명으로 탐지하고 있다.


<안랩 진단명>
Trojan/Win32.Savefiles.C2701916 (2018.09.10.03)
Malware/MDP.Ransom.M1171​


V3를 사용 중인 고객이라면 V3의 엔진 버전을 최신 상태로 유지했을 경우, 이 신종 랜섬웨어의 피해를 예방할 수 있다. 또한 드라이브-바이-다운로드 등의 방식을 이용한 랜섬웨어의 피해를 예방하기 위해서는 운영체제(OS) 및 주요 소프트웨어의 최신 보안 패치를 적용하는 것이 필요하다.

[출처 : 안랩(((www.ahnlab.com)]