사용자의 데이터를 암호화 하고 백업을 삭제하는 Zenis 랜섬웨어 발견

Zenis Ransomware Encrypts Your Data & Deletes Your Backups

연구원들이 새로운 랜섬웨어인 Zenis를 발견했습니다. 아직까지 Zenis가 어떻게 배포 되고 있는지는 알려지지 않았지만, 이미 많은 피해자들이 이 랜섬웨어에 감염 되었습니다. Zenis의 특징은, 피해자의 파일을 암호화할 뿐만 아니라 백업을 삭제한다는 것입니다.

연구원들이 이 랜섬웨어의 첫 번째 샘플을 발견했을 때는, 파일을 암호화 시 커스텀 된 암호화법을 사용했습니다. 하지만 최신 버전은 AES 암호화를 사용했습니다.

현재로써는 Zenis로 암호화 된 파일을 복호화 할 수 있는 방법은 없지만, 연구원들이 이 랜섬웨어의 취약점을 찾아내기 위해 분석 중입니다. 따라서 Zenis에 감염 되었더라도 랜섬머니를 지불하지 않기 바랍니다.

Zenis의 암호화 방식

Zenis의 배포 방식은 아직까지 알려지지 않았지만, 감염 된 사람들의 코멘트와 샘플들로 미루어 볼 때 원격 데스크탑 서비스를 통해 배포되었을 가능성이 있습니다.

Zenis 랜섬웨어의 새로운 변종은 컴퓨터를 암호화 하기 전, 실행 파일의 이름이 iis_agent32.exe인지, HKEY_CURRENT_USER\SOFTWARE\ZenisService의 레지스트리 값이 "Active"인지 확인합니다.

만약 레지스트리 값이 존재하거나 파일 이름이 다를 경우, 프로세스를 종료하고 컴퓨터를 암호화 하지 않습니다.

이와 같은 확인 과정을 통과 하면, 이메일 및 암호화 된 데이터와 같은 정보가 포함 된 랜섬 노트를 받아오기 시작합니다.

이후 섀도우 볼륨 사본을 삭제하고, 시동 복구를 비활성화 하고 이벤트 로그를 삭제합니다.

이 과정이 완료 되면 컴퓨터의 파일을 암호화 하기 시작합니다. 아래의 확장자를 사용하는 파일을 탐색해 파일 마다 각각 다른 AES 키를 사용해 암호화 합니다.

파일이 암호화 되면, 파일 명은 Zenis-[랜덤 문자 2개].[랜덤 문자 12개]로 변경 됩니다. 예를 들면, test.jpg가 암호화 될 경우 ‘Zenis-4Q.4QDV9txVRGh4’와 같은 형식으로 이름이 변경 됩니다. 원래 파일 이름과 파일을 암호화 하는데 사용 된 AES 키는 파일의 끝에 암호화 되어 저장 됩니다.

<Zenis로 암호화 된 파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/zenis-ransomware-encrypts-your-data-and-deletes-your-backups/>

<Zenis의 랜섬 노트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/zenis-ransomware-encrypts-your-data-and-deletes-your-backups/>

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Zenis로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/zenis-ransomware-encrypts-your-data-and-deletes-your-backups/