카오스 계열, 쉐도 복사본 및 백업 카탈로그 삭제...윈도 오류 알림 비활성화 후 암호화

[보안뉴스 김영명 기자] 최근 모든 파일을 ‘.projectgd’로 암호화하는 랜섬웨어가 발견됐다. 해당 랜섬웨어는 확장자 명을 따서 ‘프로젝트(Project)’ 랜섬웨어라고 하며, 카오스(Chaos) 계열로 ‘파일명.확장자.projectgd’ 포맷으로 모든 파일을 변경하고 있다.


▲프로젝트 랜섬웨어에 감염된 후 변경된 배경화면[자료=에브리존 화이트디펜더]

에브리존 화이트디펜더는 프로젝트(Project) 랜섬웨어에 대해 분석해 발표했다. 이 랜섬웨어의 공격 동작을 살펴보면 C# 닷넷 기반으로 실행파일은 ‘Roaming’ 폴더에서 복사된 후 ‘svchost.exe’ 실행파일로 재실행된다. 이어서 중복 방지 확인 및 시작프로그램 폴더에 링크 파일을 생성한다. 기본으로 쉐도 복사본 및 서버 내 백업 카탈로그를 삭제하고 윈도 복구와 오류 알림 기능을 비활성화한 후 암호화를 진행하고 있다.


▲동적 작동 중 쉐도 복사본 확인[자료=에브리존 화이트디펜더]

프로젝트 랜섬웨어 감염된 이후의 모습과 랜섬노트 내용을 살펴본다. 랜섬노트 안내 파일은 자체 출력되어 배경화면에 보이게 되며, 암호화가 진행되면 ‘파일명.확장자.projectgd’으로 파일들을 변경한다. 예를 들면 ‘photo.jpg’라는 파일은 ‘photo.jpg.projectgd’로 변경되는 패턴이다.

이 공격 프로세스가 완료되면 파일이 들어 있는 모든 디렉토리에 ‘README.TXT’라는 제목을 붙인 랜섬노트가 생성된다. 랜섬노트에는 복호화 도구를 구매하거나 공격자와 연락하는 방법이 설명되어 있다.


▲암호화가 진행된 후 남겨진 랜섬노트[자료=에브리존 화이트디펜더]

에브리존 화이트디펜더 측은 “랜섬웨어 공격에 대비하기 위한 기본 수칙으로 윈도 보안 업데이트를 최신 버전으로 유지하고, 공유 사이트를 통한 무분별한 파일 다운로드를 조심해야 한다”고 말했다. 이어 “불분명한 이메일의 클릭이나 열람을 금지하며 특히 정부를 사칭하는 국세청, 사법기관, 국가정보원 등을 조심하고, 상호간의 불필요한 공유된 폴더 연결이 있을 시 해제하고 사용하는 것이 중요하다”고 설명했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>