■ Trojan.Win32.Ransom.309760.I
A. 감염 경로
Trojan.Win32.Ransom.309760.I은 자체적인 전파 기능은 없으며, 이메일로 전파되거나 해킹당한 사이트의 링크를 통해 설치될 수 있다.
B. 감염 증상
1) Trojan.Win32.Ransom.309760.I은 정상 워드 문서 파일로 위장하여 사용자의 클릭을 유도한다.
[그림 1] 정상 아이콘 위장 2) 파일 암호화에 사용되는 키 관련 값을 레지스트리에 등록한다.
[그림 2] 키 관련 값 레지스트리 등록 3) 암호화를 위한 스캔시 주요 시스템 폴더 및 파일 특정 실행파일 확장자 등을 체크하여 암호화 대상에서 제외한다.
[그림 3] 암호화 제외 대상 4) 파일 암호화 작업이 끝나면 다음과 같이 원본파일명.{영문, 숫자 랜덤} 확장자를 변경한다.
[그림 4] 파일 암호화 후 확장자명 변경 5) 암호화 작업을 위해 스캔된 폴더마다 다음과 같은 {영문, 숫자 랜덤}-readme.txt 랜섬노트(감염 안내) 파일을 생성한다.
[그림 5] 랜섬노트 생성[그림 6] 랜섬노트 내용 6) 모든 파일 암호화 작업이 끝나면 바탕화면을 다음과 같이 변경한다.
[그림 7] 바탕화면 변경 C. 치료 방법
바이로봇 2019-08-27.01 이상 버전으로 치료된다.
D. 위험도
높음