포스팅 내용

악성코드 분석 리포트

학교생활 안내서로 위장한 랜섬웨어 주의!



안녕하세요. ESRC(시큐리티 대응센터)입니다.


최근 랜섬웨어를 가장하여 사용자에게 비트코인을 요구하는 악성코드가 발견되어 주의가 필요합니다.

공격자는 ‘2020~2021 학교 생활 안내서 (개정안).pdf.exe‘ 파일명으로 pdf파일로 위장하여 유포합니다.



[그림 1] 악성코드 파일 화면



코드 분석



이 파일은 바탕화면, 다운로드, 문서 폴더에 있는 모든 파일들을 대상으로  확장자’.KRYPT’를 변경합니다. 이때 cmd 명령어 ‘ren’을 이용합니다. 즉 파일 암호화는 진행되지 않습니다.



[그림 1] 확장자 변경 코드



파일 확장자를 변경한 이후, 다음과 같은 비트코인 주소 안내와 키 입력란이 포함된 랜섬 노트 화면을 보여줍니다. 



[그림 2] 랜섬 노트 화면



확장자 복원 키 ‘mxkxhxbxgxtxjx7x9xlxaxwx0sx’를 입력하면 아래 코드를 이용하여 확장자가 ‘.KRYPT’를 제거하여 복원합니다. 



[그림 3] 확장자 복원 코드



따라서 악성코드 감염을 예방하기 위해, 출처가 불분명한 메일을 확인할 경우, 특히 첨부파일을 열어볼 경우에는 신중을 기해야 하며 백신 업데이트 최신화와 정기 검사를 습관화하여야 합니다.


현재 알약에서는 ‘Trojan.Ransom.Filecoder’ 탐지 명으로 탐지 중입니다.





티스토리 방명록 작성
name password homepage