ASEC 분석팀은 Antefrigus 랜섬웨어의 변형으로 추정되는 랜섬웨어가 국내 유포 중임을 확인하였다. 해당 랜섬웨어는 지난 12월 30일부터 유포되었으며 최근 다량으로 퍼지고 있다. 지난달 24일 게시한 랜섬웨어와 마찬가지로 제작자와 채팅할 수 있는 주소가 존재하며 다른 랜섬웨어와는 다르게 볼륨 섀도우 카피 삭제를 수행하지않아 랜섬웨어 감염 이전에 볼륨 새도 복사본을 생성해두었다면 복구가 가능하다.
해당 랜섬웨어는 SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce에 DefenIfWIn 명으로 랜섬웨어를 레지스트리에 등록하며, 특정 프로세스 종료 후 암호화를 진행한다. 각 폴더에 CLICK_HERE-[랜덤].txt 명의 랜섬노트를 생성하며, 종료 대상 프로세스와 감염 제외 폴더 및 파일 명은 다음과 같다. 또한, 크기가 50,000,000Byte 이하인 파일도 암호화에서 제외된다.
랜섬노트에는 랜섬웨어 제작자와 채팅할 수 있는 주소가 존재하며, 파일 감염시 확장자는 랜섬노트에 존재하는 랜덤값으로 변경된다.
현재 V3에서는 이와 같은 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.
[파일 진단]
Trojan/Win32.Ransom.C3908666 (2020.01.17.03)
[메모리 진단]
Win-Trojan/MalPeP.mexp
[행위 진단]
Malware/MDP.Behavior.M2637
Categories:악성코드 정보