에브리존 화이트디펜더, ‘리즐러 랜섬웨어’ 침해사고 분석
카오스 랜섬웨어의 변형...중복 실행 방지, 윈도 복구 및 오류 알림 기능 비활성화 등 적용
[보안뉴스 김영명 기자] 모든 파일을 ‘.rizz’ 확장자로 암호화하는 형태로 추정되는 침해사고가 발생해 해당 랜섬웨어에 대한 사용자들의 확인과 주의가 필요하다. 이번에 발견된 랜섬웨어는 암호화된 확장자의 이름을 본 떠 ‘리즐러(Rizzler) 랜섬웨어’라고 한다.
▲리즐러 랜섬웨어에 감염된 후 변경된 바탕화면 모습[이미지=에브리존 화이트디펜더]
에브리존 화이트디펜더 침해사고 대응팀은 리즐러 랜섬웨어에 감염된 침해사고를 분석해 발표했다. 리즐러 랜섬웨어는 ‘파일명.확장자.rizz’로 모든 파일을 변경하고 있는 모습을 보이고 있다.
▲PC에 복구에 도움되는 기능들을 비활성화하는 내부 코드[이미지=에브리존 화이트디펜더]
리즐리 랜섬웨어의 침해 행위 프로세스를 살펴보면 먼저 이 랜섬웨어는 C# 닷넷 기반 랜섬웨어로 카오스(Chaos) 계열 랜섬웨어의 변형 중 하나다. 이 랜섬웨어를 실행하게 되면 AddData\Roaming 폴더에 ‘rizz.exe’라는 이름으로 재실행되며, 중복 실행 방지가 적용되어 있다.
리즐리 랜섬웨어는 윈도 서버 내 쉐도 복사본 및 백업 카탈로그를 삭제하고, 윈도 복구 기능 및 오류 알림 기능을 비활성화한다. 또한 사용자 컴퓨터의 레지스트리를 임의로 수정해 작업관리자를 막고 시작 프로그램 폴더에 랜섬웨어 실행 파일의 링크 파일을 생성한 뒤 바탕화면 이미지를 교체한다.
▲시작프로그램 폴더에 생성된 랜섬웨어의 링크 파일[이미지=에브리존 화이트디펜더]
리즐러 랜섬웨어에 감염 후 모습을 살펴보면 랜섬노트는 ‘README’라는 이름의 텍스트 파일로 자체 출력되어 배경화면에 보이게 된다. 랜섬노트에는 ‘All of your files have been encrypted. You need RIZZ Level 99 to unlock your files’라고 쓰여 있다. 이와 함께 암호화가 진행되며 컴퓨터에 있는 파일들은 ‘파일명.확장자.rizz’ 형식으로 강제로 변경된다.
▲리즐러 랜섬웨어 감염 후 랜섬노트 화면[이미지=에브리존 화이트디펜더]
화이트디펜더 침해사고 대응팀은 “리즐러 랜섬웨어에 감염되면 PC의 모든 파일이 암호화되어 열 수 없고, 몸값을 요구하는 랜섬노트 메시지가 html 및 hat 형식의 파일로 데스크톱에 표시된다”며 “파일 잠금을 해제하기 위해서는 몸값을 지불해야 하는데 대부분 비트코인을 요구하고 있다”고 설명했다.
[김영명 기자(boan@boannews.com)]
카오스 랜섬웨어의 변형...중복 실행 방지, 윈도 복구 및 오류 알림 기능 비활성화 등 적용
[보안뉴스 김영명 기자] 모든 파일을 ‘.rizz’ 확장자로 암호화하는 형태로 추정되는 침해사고가 발생해 해당 랜섬웨어에 대한 사용자들의 확인과 주의가 필요하다. 이번에 발견된 랜섬웨어는 암호화된 확장자의 이름을 본 떠 ‘리즐러(Rizzler) 랜섬웨어’라고 한다.
▲리즐러 랜섬웨어에 감염된 후 변경된 바탕화면 모습[이미지=에브리존 화이트디펜더]
에브리존 화이트디펜더 침해사고 대응팀은 리즐러 랜섬웨어에 감염된 침해사고를 분석해 발표했다. 리즐러 랜섬웨어는 ‘파일명.확장자.rizz’로 모든 파일을 변경하고 있는 모습을 보이고 있다.
▲PC에 복구에 도움되는 기능들을 비활성화하는 내부 코드[이미지=에브리존 화이트디펜더]
리즐리 랜섬웨어의 침해 행위 프로세스를 살펴보면 먼저 이 랜섬웨어는 C# 닷넷 기반 랜섬웨어로 카오스(Chaos) 계열 랜섬웨어의 변형 중 하나다. 이 랜섬웨어를 실행하게 되면 AddData\Roaming 폴더에 ‘rizz.exe’라는 이름으로 재실행되며, 중복 실행 방지가 적용되어 있다.
리즐리 랜섬웨어는 윈도 서버 내 쉐도 복사본 및 백업 카탈로그를 삭제하고, 윈도 복구 기능 및 오류 알림 기능을 비활성화한다. 또한 사용자 컴퓨터의 레지스트리를 임의로 수정해 작업관리자를 막고 시작 프로그램 폴더에 랜섬웨어 실행 파일의 링크 파일을 생성한 뒤 바탕화면 이미지를 교체한다.
▲시작프로그램 폴더에 생성된 랜섬웨어의 링크 파일[이미지=에브리존 화이트디펜더]
리즐러 랜섬웨어에 감염 후 모습을 살펴보면 랜섬노트는 ‘README’라는 이름의 텍스트 파일로 자체 출력되어 배경화면에 보이게 된다. 랜섬노트에는 ‘All of your files have been encrypted. You need RIZZ Level 99 to unlock your files’라고 쓰여 있다. 이와 함께 암호화가 진행되며 컴퓨터에 있는 파일들은 ‘파일명.확장자.rizz’ 형식으로 강제로 변경된다.
▲리즐러 랜섬웨어 감염 후 랜섬노트 화면[이미지=에브리존 화이트디펜더]
화이트디펜더 침해사고 대응팀은 “리즐러 랜섬웨어에 감염되면 PC의 모든 파일이 암호화되어 열 수 없고, 몸값을 요구하는 랜섬노트 메시지가 html 및 hat 형식의 파일로 데스크톱에 표시된다”며 “파일 잠금을 해제하기 위해서는 몸값을 지불해야 하는데 대부분 비트코인을 요구하고 있다”고 설명했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
