안랩 ASEC 분석팀은 2019년 11월 6일 BlueCrab(=Sodinokibi) 과 동일한 외형정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 아래의 그림에서 처럼 wscript.exe 프로세스에 의해 생성된 것으로 확인되어 Exploit kit을 통해 유포되는 것으로 추정된다.
해당 랜섬웨어의 특징으로는 C:드라이브는 암호화 하지않으며, D:, E:, F:, I:, U:, G: 드라이브를 대상으로 암호화를 진행한다.
랜섬노트 (qrja-readme.txt) 를 띄워 사용자에게 감염 사실을 알리는 것 뿐만 아니라, 해당 랜섬 노트를 종료 시 메시지 박스(Attention!!!!!!! – Your computer is encrypted !!! For decryption see the file with instructions on your desktop !!!)를 한번 더 실행한다.
해당 랜섬웨어는 감염 시 확장자를 랜덤이 아닌 .qrja 로 변경한다.
특이한 점은, 한글로 된 파일명일 경우 파일 암호화는 되지만 확장자 변경은 하지 못하는 것으로 확인된다. 감염 후, 아래의 랜섬 페이지를 통해 복구 비용을 지불하도록 하고 있으며, 금액은 1,995$(USD)로 확인되었다.
현재 V3에서는 이와 같은 새로운 랜섬웨어에 대해서 행위 기반 탐지로 선제적으로 차단을 하며 아래 진단명으로 진단하고 있다.
[파일 진단]
Trojan/Win32.MalPe (2019.11.07.04)
[행위 진단]
Malware/MDP.DriveByDownload.M1153
[보안 업데이트]
https://get.adobe.com/flashplayer/
Categories:악성코드 정보