암호화 진행 후 파일 복구 어렵도록 쉐도 복사본 삭제해
[보안뉴스 김영명 기자] 모든 파일을 ‘.BlackLegion’으로 암호화하는 형태로 추정되는 침해사고가 발생해 사용자들의 주의가 필요하다. 이 랜섬웨어는 블랙레기온(BlackLegion)이라고 하며 ‘파일명.확장자.[8자리사용자의고유ID].[BlackLegion@zohomail.eu].BlackLegion’로 모든 파일을 변경하고 있는 모습을 보이고 있다.
▲Temp 위치로 실행파일 복사 및 시작프로그램 레지스트리에 등록한 모습[자료=에브리존 화이트디펜더]
에브리존 화이트디펜더는 최근 블랙레기온 랜섬웨어 침해 동작방식에 대해 분석했다. 블랙레기온은 C# 기반 랜섬웨어로 랜섬웨어가 실행되면 실행파일은 자신의 속성을 숨김 속성으로 변경해 실행 파일의 모습을 숨긴다. 그 이후 %Temp% 위치에 ‘WmiPrvSe.exe’로 파일을 복사한 후 시작프로그램의 레지스트리에 추가해 윈도 부팅시 자동으로 랜섬웨어가 재실행되도록 설정한다. 또한 암호화 작업 이후 파일의 복구가 어렵도록 쉐도 복사본을 삭제한다.
블랙레기온 랜섬웨어에 감염된 이후의 모습과 랜섬웨어가 남긴 랜섬노트를 살펴보면, 각각의 경로에 ‘DecryptNote.txt’가 생성된다. 또한 암호화를 진행할 때 ‘파일명.확장자.[8자리사용자의고유ID].[BlackLegion@zohomail.eu].BlackLegion’ 형식으로 파일들을 변경한다.
▲블랙레기온 랜섬웨어가 남긴 랜섬노트[자료=에브리존 화이트디펜더]
한국인터넷진흥원에서 발표한 ‘랜섬웨어 대응 가이드라인’에 따르면 랜섬웨어에 감염됐을 때 피해 최소화를 위한 긴급 조치로는 외부 저장장치 연결 해제, PC 전원 유지, 네트워크 차단, 복구 방법 확인 등이 있다.
랜섬웨어는 공유폴더, PC에 연결돼 있는 USB나 외장하드 등에 저장된 파일에도 접근해서 암호화할 수 있기 때문에 기존에 백업했던 파일까지 암호화가 될 수 있어 외부 저장장치 연결을 해제해야 한다. 경우에 따라서는 PC가 종료된 경우 부팅이 불가능할 수 있기 때문에 PC의 전원은 유지해야 하며, 감염 사실을 확인한 즉시 네트워크를 차단해야 한다. 랜섬노트, 암호화된 파일 등을 통해 랜섬웨어의 유형을 파악한 후, 백신 소프트웨어 제조사 홈페이지 등을 통해 관련된 복구 툴이 있는지 확인해 신속히 복구하는 것이 중요하다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>