■ Trojan.Win32.S.Ransom.155496
A. 감염 경로
Trojan.Win32.S.Ransom.155496은 자체적인 전파 기능은 없으며, 취약점을 이용한 공격이나 AD서버 계정 탈
취 혹은 다른 악성코드에 의해 설치될 수 있다.
B. 감염 증상
1) Trojan.Win32.S.Ransom.155496은 시스템 파일을 암호화시키는 CLOP 랜섬웨어이다.
2) 사용자 언어를 체크하여 특정 국가는 암호화 진행을 하지 않는다.
[그림 1] 암호화 제외 언어 체크 3) AppCheck 프로그램이 설치되어 있는 경우 삭제를 진행한다.
[그림 2] AppCheck 프로그램 삭제 4) 프로세스명을 [그림 4]의 로직을 통해 변환 후 저장되어 있는 Hex값과 비교한 뒤 종료한다.
[그림 3] 프로세스 종료[그림 4] Hex 값 비교를 위한 변환 5) upwindowssetsecurity.bat 파일을 생성하여 볼륨 쉐도우 복사본을 삭제한다.
[그림 5] upwindowssetsecurity.bat 파일 내용 6) 파일 암호화 전 파일명을 [그림 4]의 로직을 통해 변환 후 저장되어 있는 Hex값과 비교하여 암호화 제외 대상 파일을 체크한다.
[그림 6] 암호화 제외 대상 7) 다음은 파일 암호화에 사용되는 Public Key이다.
[그림 7] 암호화 Public Key 8) 파일 암호화 후 확장자를 CIop로 변경한다.(CLOP 랜섬웨어 변종으로 L -> 대문자 i로 변경)
[그림 8] 파일 암호화 9) 암호화된 파일 끝에 ‘CIop^_-‘ 문자열을 추가한다.
[그림 9] 파일 암호화 후 확장자명 변경 10) 파일 암호화 후 CIopReadMe.txt 랜섬노트를 생성한다.
[그림 10] 랜섬노트 내용 C. 치료 방법
바이로봇 2019-05-30.01 이상 버전으로 치료된다.
D. 위험도
높음