랜섬웨어 실행 파일 작업 스케줄러 및 시작 프로그램 조건에 등록돼...자동 재실행 가능

에브리존 안티랜섬웨어 화이트디펜더, 에스넷 랜섬웨어 분석 노트 공개

[보안뉴스 김영명 기자] 에스넷 랜섬웨어(SNet Ransomware)는 C++ 언어를 기반으로 제작됐으며, 해당 랜섬웨어에 감염된 파일은 ‘파일명.확장자.SNet’ 포맷으로 모든 파일을 변경하고 있는 모습을 보이고 있다.

​

▲파일 정보 및 파일 속성(좌부터)[자료=에브리존 화이트디펜더]

에브리존에서 제공하는 안티랜섬웨어 화이트디펜더(WhiteDefender)에 따르면 에스넷 랜섬웨어(SNet Ransomware)에 감염되면 ‘파일명.확장자.SNet’의 포맷으로 파일명과 확장자가 변경되며, ‘DecryptNote’라는 이름의 텍스트 파일(.txt)로 결제를 안내하는 랜섬노트가 생성된다. 이 랜섬웨어에 감염되면 △PC의 모든 파일이 암호화돼 열 수 없고 △몸값을 요구하는 랜섬노트 메시지가 .html, .txt, .hat 파일로 데스크탑에 표시되며 △파일 잠금을 해독하거나 해제하려면 몸값을 지불해야 하는데 대부분 비트코인을 요구하는 등의 특징이 있다.

​

▲시작 프로그램에 랜섬웨어 실행 파일 등록[자료=에브리존 화이트디펜더]

SNet 랜섬웨어는 C++ 기반으로 제작됐으며, 쉐도 복사본 삭제 및 윈도 서버 버전의 경우 백업 카탈로그를 삭제한다. 랜섬웨어 실행 파일은 작업 스케줄러에 시작 프로그램 조건에 등록되기 때문에 1차 시도 실패 시에도 실행파일이 남아있을 경우 스스로 다시 실행될 수 있다. 또한 스마트 스크린 필터 및 기타 윈도 운영에 관련된 프로세스도 강제 종료한다.

​

▲랜섬웨어 감염 후 변경된 확장자[자료=에브리존 화이트디펜더]

에스넷 랜섬웨어에 감염되면, 암호화가 진행되는데 ‘파일명.확장자.SNet’으로 파일들을 변경한다. 이어서 랜섬노트 안내 파일은 각각의 경로에 ‘DecryptNote’라는 이름의 텍스트 파일로 생성된다.

에브리존 화이트디펜더 관계자는 “화이트디펜더는 이번 랜섬웨어의 악성행위 자체와 차단 이전에 암호화가 진행될 파일에 대해서도 실시간으로 자동 복원을 지원하고 있다”고 밝혔다.

[김영명 기자(boan@boannews.com)]​ 

[출처 : 보안뉴스(hhttps://www.boannews.com/media/view.asp?idx=126455&page=2&mkind=1&kind=1)]