포스팅 내용

악성코드 분석 리포트

신종 랜섬웨어 ‘Sodinokibi’ 주의!



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


어제(4/29) 알약 행위기반 차단기능으로 수집된 신종 랜섬웨어 'Sodinokibi'가 발견되었습니다. 


Sodinokibi 랜섬웨어는 국내 URL을 통해 랜섬웨어를 감염시키며, 불특정 다수에게 대량으로 유포 중인 상태로 사용자들의 각별한 주의가 필요합니다.


이번에 발견된 신규 랜섬웨어는 Powershell 이용한 샘플도 발견되었습니다.


해당 악성코드는 사용자 PC의 파일을 .(영문숫자랜덤) 확장자로 파일을 암호화합니다.


[그림 1] .(영문숫자랜덤) 확장자로 암호화된 파일


해당 랜섬웨어에 감염되면 아래와 같은 랜섬 노트를 사용자 PC에 생성하며 “Hello, dear friend” 또는 “Welcome. Again”으로 시작하는 문구와 함께 암호화된 파일을 복호화하는 방법을 가이드하고 있습니다.


[그림 2] Sodinokibi 랜섬웨어의 랜섬 노트 내용


랜섬노트를 살펴보면, 랜섬웨어에 감염된 파일을 복구하기 위해 TOR 브라우저로 들어갈 것을 안내하고 있습니다.


[그림 3] TOR 브라우저 페이지 화면


안내된 링크를 TOR 브라우저를 통해 접속하면, “Your computer have been infected!”라는 문구와 함께, 파일을 복호화하기 위해 지불해야 할 비트코인 금액과, 암호화폐 지갑 주소를 확인할 수 있습니다.


수집된 랜섬노트의 TOR 브라우저 주소 및 암호화폐 지갑 주소

TOR: hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/FC91DB4B5256E28F

BTC: 36Vgfzzm8SxQC195ekwtgyAstGezi5eThX


Sodinokibi 랜섬웨어는 아래의 그림과 같이 감염된 PC의 바탕화면을 파란색 화면으로 변경하는 것이 특징입니다.


[그림 4] Sodinokibi 랜섬웨어에 감염된 PC 화면


현재 알약에서는 관련 랜섬웨어에 대해 Trojan.Ransom.Sodinokibi로 진단하고 있습니다.





티스토리 방명록 작성
name password homepage