HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

암호화 전에 백신부터 제거하는 AVCrypt 랜섬웨어 등장
등록일 :
2018.03.29

□ 개요

최근 해외에서 사용자의 PC에서 동작 중인 백신을 식별 후 제거하는 랜섬웨어가 발견되었다. 유포 중인 랜섬웨어는 윈도우10에서 기본으로 탑재되어 있는 Windows Defender와 Malwarebytes, Emsisoft 제품 등을 대상으로 하며, 국내 백신 제품은 대상에 포함되어 있지 않다. 국내에도 많은 사용자가 Windows Defender 및 해외 백신을 사용하기에 각별한 주의가 요구된다.


 

□ 내용

유포 중인 랜섬웨어는 정상적으로 실행될 경우 사용자 PC의 중요파일을 감염시키기에 앞서 동작중인 백신 프로그램을 식별하고 아래 리스트에 포함된 서비스가 동작할 경우 삭제한다. 

 

[표1] 삭제되는 서비스 리스트

 

이후 PC내 주요 파일들의 파일이 암호화되고 암호화가 완료된 파일은 기존 진단명 앞에 ‘+’ 가 붙은 파일명으로 변경된 후 사용자에게 감염사실을 알리기 위한 랜섬노트를 생성하지만 랜섬웨어 제작자는 암호화된 파일에 대해 몸값을 별도로 요구하지 않는다.

 

 

[그림 1] 암호화 변경 전(위) / 변경 후(아래)

 


[그림 2] 랜섬노트

 

 

바이로봇 업데이트 내역

대표진단명 Trojan.Win32.S.AVCrypt  

 

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html  

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top