HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.S.Ransom.155496
바이로봇 버전정보 : 2019-05-30.01     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2019-05-30 16:51:39

    ■ Trojan.Win32.S.Ransom.155496

       A. 감염 경로

           Trojan.Win32.S.Ransom.155496은 자체적인 전파 기능은 없으며, 취약점을 이용한 공격이나 AD서버 계정 탈
           취 혹은 다른 악성코드에 의해 설치될 수 있다.

       B. 감염 증상

           1) Trojan.Win32.S.Ransom.155496은 시스템 파일을 암호화시키는 CLOP 랜섬웨어이다.

           2) 사용자 언어를 체크하여 특정 국가는 암호화 진행을 하지 않는다.

[그림 1] 암호화 제외 언어 체크


           3) AppCheck 프로그램이 설치되어 있는 경우 삭제를 진행한다.

[그림 2] AppCheck 프로그램 삭제


           4) 프로세스명을 [그림 4]의 로직을 통해 변환 후 저장되어 있는 Hex값과 비교한 뒤 종료한다.

[그림 3] 프로세스 종료


[그림 4] Hex 값 비교를 위한 변환


           5) upwindowssetsecurity.bat 파일을 생성하여 볼륨 쉐도우 복사본을 삭제한다.

[그림 5] upwindowssetsecurity.bat 파일 내용


           6) 파일 암호화 전 파일명을 [그림 4]의 로직을 통해 변환 후 저장되어 있는 Hex값과 비교하여 암호화 제외 대상 파일을 체크한다.

[그림 6] 암호화 제외 대상


           7) 다음은 파일 암호화에 사용되는 Public Key이다.

[그림 7] 암호화 Public Key


           8) 파일 암호화 후 확장자를 CIop로 변경한다.(CLOP 랜섬웨어 변종으로 L -> 대문자 i로 변경)

[그림 8] 파일 암호화


           9) 암호화된 파일 끝에 ‘CIop^_-‘ 문자열을 추가한다.

[그림 9] 파일 암호화 후 확장자명 변경


           10) 파일 암호화 후 CIopReadMe.txt 랜섬노트를 생성한다.

[그림 10] 랜섬노트 내용


       C. 치료 방법

           바이로봇 2019-05-30.01 이상 버전으로 치료된다.

       D. 위험도

           높음

Top