랜섬웨어

국내 사용자를 대상으로 크롬 아이콘으로 위장한 Paymen 45 랜섬웨어

189    2020-07-23


개요  

최근 국내 사용자를 대상으로 대량 유포 중인 새로운 랜섬웨어인 Paymen 45가 발견되었습니다.

해당 랜섬웨어의 경우 현재, 초기 버전과 변종버전까지 확인되었으며, 초기 버전은 크롬 아이콘으로 위장하였습니다.

변종 버전은 크롬 아이콘으로 위장하고 있지 않지만, 초기 버전에 없는 새로운 기능이 추가되었으며, 이후 지속적으로 발전된 새로운 변종 버전이 발견 될 것으로 예상하고 있습니다.


이에 따라 Paymen 45 랜섬웨어 감염을 조금이나마 방지하고자 해당 랜섬웨어의 동작 방식 및 대응 방안을 안내 드립니다.



동작방식 


1단계

· 이메일 첨부 파일, 토렌트 웹사이트 및 악성 광고 등에서 랜섬웨어 파일을 다운로드 하여 사용자 PC에 침투


2단계

· 크롬 아이콘으로 위장한 초기 버전의 Paymen 45 및 변종 버전의 랜섬웨어 파일(.exe)을 사용자가 클릭하여 랜섬웨어 프로세스 실행


3단계

· 침투한 사용자 PC 내 특정 확장자, 특정 파일명 및 특정 문자열이 포함되는 경로를 제외한 모든 파일 암호화

암호화 이후, 암호화 된 파일의 복호화를 위해 비용을 요구하는 램섬노트 생성 



파일정보 및 특징 

  

· 초기 버전의 Paymen 45의 경우 크롬 아이콘으로 위장, 변종 버전의 경우 크롬 아이콘으로 위장 하지 않음


▶출처: 이스트 시큐리티 블로그


· 초기 버전의 경우 암호화된 파일 확장자 뒤에 '.KJHslgjkjdfg' 문자열을 추가하며, 변종 버전의 경우 '.g8R4rqWIp9' 문자열 추가



▶출처: 이스트 시큐리티 블로그


· 변종 버전의 경우 랜섬웨어에 감염된 PC에서 파일 암호화 이후 C&C에 감염된 PC 정보를 전송하는 기능 추가

단, 실제로 정보가 전달되는지 여부와, C&C에 어떠한 정보가 전달이 되는지는 현재 확인되지 않음

· 초기 버전과 변종 버전 모두 특정 파일명, 특정 파일 확장자 및 특정 문자열이 포함되는 경로를 제외하나, 초기 버전 및 변종 버전의 제외 정보는 동일하지 않음


▶출처: 이스트 시큐리티 블로그



감염 팝업