하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.Ransom.309760.I
바이로봇 버전정보 : 2019-08-27.01     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2019-09-10 10:45:03

    ■ Trojan.Win32.Ransom.309760.I

       A. 감염 경로

           Trojan.Win32.Ransom.309760.I은 자체적인 전파 기능은 없으며, 이메일로 전파되거나 해킹당한 사이트의 링크를 통해 설치될 수 있다.

       B. 감염 증상

           1) Trojan.Win32.Ransom.309760.I은 정상 워드 문서 파일로 위장하여 사용자의 클릭을 유도한다.

[그림 1] 정상 아이콘 위장


           2) 파일 암호화에 사용되는 키 관련 값을 레지스트리에 등록한다.

[그림 2] 키 관련 값 레지스트리 등록


           3) 암호화를 위한 스캔시 주요 시스템 폴더 및 파일 특정 실행파일 확장자 등을 체크하여 암호화 대상에서 제외한다.

[그림 3] 암호화 제외 대상


           4) 파일 암호화 작업이 끝나면 다음과 같이 원본파일명.{영문, 숫자 랜덤} 확장자를 변경한다.

[그림 4] 파일 암호화 후 확장자명 변경


           5) 암호화 작업을 위해 스캔된 폴더마다 다음과 같은 {영문, 숫자 랜덤}-readme.txt 랜섬노트(감염 안내) 파일을 생성한다.

[그림 5] 랜섬노트 생성


[그림 6] 랜섬노트 내용


           6) 모든 파일 암호화 작업이 끝나면 바탕화면을 다음과 같이 변경한다.

[그림 7] 바탕화면 변경


       C. 치료 방법

           바이로봇 2019-08-27.01 이상 버전으로 치료된다.

       D. 위험도

           높음

Top