ViRobot

하우리샵 바로가기

보안이슈 분석

바탕화면 파일 암호화하는 아이랜섬(iRansom) 감염 주의
등록일 : 2016.11.11

□ 개요

 

최근 사용자가 주로 사용하는 바탕화면을 노린 아이랜섬(iRansom)”이 등장하였다. 해당 랜섬웨어는 바탕화면 하위에 있는 파일을 모두 암호화하며, 랜섬웨어 탐지방법 중 하나인 디코이(Decoy) 방식이 우회될 가능성이 있어 사용자들의 각별한 주의가 필요하다. 

 

 

□ 내용

 

 “아이랜섬(iRansom)”은 PC 바탕화면에 있는 모든 파일들을 AES 대칭키 방식으로 암호화하며, 파일 확장자는 “.Locked”로 변경한다. 공격자는 48시간 이내에 파일 복호화 비용 0.15 비트코인(한화로 약 123,000)을 자신의 비트코인 지갑으로 보내줄 것을 요구한다. 

 


[그림 1] “아이랜섬(iRansom)” 랜섬웨어 감염 메시지


해당 랜섬웨어는 마이크로소프트(MS) 닷넷 프레임워크 환경에서 동작한다. 하드디스크 전체를 검색하여 특정 확장자 파일을 암호화하는 것이 아닌 일반 사용자가 주로 사용하는 바탕화면에 존재하는 모든 파일(하위폴더 포함)들을 암호화한다. 또한, 감염 이후에도 실시간으로 바탕화면을 감시하여 “.Locked” 확장자가 아닌 파일이 생성되면 암호화한다.

 

[그림 2] 아이랜섬(iRansom) 랜섬웨어 감염 전/후 파일


 해당 랜섬웨어는 윈도우 레지스트리 “Run”에 등록되어 윈도우 시작 시 자동으로 실행된다.

 


[그림 3] 윈도우 자동실행 레지스트리 등록



□ 바이로봇 업데이트 내역

 

대표진단명 : Trojan.Win32.Ransom

 

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html
목록
본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다.
- 정보사용 문의 : 1:1상담