ViRobot

하우리샵 바로가기

보안이슈 분석

윈도우 위장 랜섬웨어 주의
등록일 : 2016.10.11

□ 개요

   

새로운 랜섬웨어가 계속 등장하는 요즘 또 다른 방식의 랜섬웨어가 등장하였다. 해당 랜섬웨어는 기존과 다르게 감염사실을 윈도우에서 정상적으로 전달하는 것처럼 위장하고 감염자로부터의 전자 메일 전송을 유도한다.

 

□ 내용 

 

윈도우 위장 랜섬웨어에 감염 시 PC내 주요 파일들을 암호화하고 확장자를 ".기존확장자+dxxd"로 변경한다. 또한, 변경된 파일이 존재하는 폴더에는 텍스트 파일을 생성하여 사용자에게 위험 사실을 알리고 전자 메일을 보낼 것을 유도한다.

 

 

[그림 1] 변경된 확장자명

 

[그림 2] 감염 알림 메시지

 

감염 후 윈도우로 위장하기 위해 레지스트리를 추가하여 사용자 로그인 시 화면을 변경한다.

 

[생성된 레지스트리]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption

"Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io" 

 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText 

"When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software." 

 

 

[그림 3] 윈도우 위장 알림

윈도우 위장 랜섬웨어의 경우 기존 랜섬웨어와는 다르게 비교적 간단한 암호화 방식을 취하고 있고 키 값이 파일에 포함되어 있다.

[그림 4] 암호화 로직


[그림 5] 변경되는 확장자명

해당 랜섬웨어는 비교적 간단한 알고리즘으로 인해 감염파일을 통한 키값 추출이 가능하여 이미 복호화 도구가 공개되어 있어 비용지불 없이 암호화된 파일을 복호화할 수 있다.

[그림 6] DXXD 복호화 도구


□ 바이로봇 업데이트 내역

Trojan.Win32.Ransom

 

※ 랜섬웨어 감염 예방방법: http://www.hauri.co.kr/Ransomware/prevention.html 


 

목록
본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다.
- 정보사용 문의 : 1:1상담