랜섬웨어

국내 사용자를 대상으로 크롬 아이콘으로 위장한 Paymen 45 랜섬웨어

323    2020-07-23


개요  

최근 국내 사용자를 대상으로 대량 유포 중인 새로운 랜섬웨어인 Paymen 45가 발견되었습니다.

해당 랜섬웨어의 경우 현재, 초기 버전과 변종버전까지 확인되었으며, 초기 버전은 크롬 아이콘으로 위장하였습니다.

변종 버전은 크롬 아이콘으로 위장하고 있지 않지만, 초기 버전에 없는 새로운 기능이 추가되었으며, 이후 지속적으로 발전된 새로운 변종 버전이 발견 될 것으로 예상하고 있습니다.


이에 따라 Paymen 45 랜섬웨어 감염을 조금이나마 방지하고자 해당 랜섬웨어의 동작 방식 및 대응 방안을 안내 드립니다.



동작방식 



1단계

· 이메일 첨부 파일, 토렌트 웹사이트 및 악성 광고 등에서 랜섬웨어 파일을 다운로드 하여 사용자 PC에 침투


2단계

· 크롬 아이콘으로 위장한 초기 버전의 Paymen 45 및 변종 버전의 랜섬웨어 파일(.exe)을 사용자가 클릭하여 랜섬웨어 프로세스 실행


3단계

· 침투한 사용자 PC 내 특정 확장자, 특정 파일명 및 특정 문자열이 포함되는 경로를 제외한 모든 파일 암호화

암호화 이후, 암호화 된 파일의 복호화를 위해 비용을 요구하는 램섬노트 생성 



파일정보 및 특징 

  

· 초기 버전의 Paymen 45의 경우 크롬 아이콘으로 위장, 변종 버전의 경우 크롬 아이콘으로 위장 하지 않음


▶출처: 이스트 시큐리티 블로그


· 초기 버전의 경우 암호화된 파일 확장자 뒤에 '.KJHslgjkjdfg' 문자열을 추가하며, 변종 버전의 경우 '.g8R4rqWIp9' 문자열 추가



▶출처: 이스트 시큐리티 블로그


· 변종 버전의 경우 랜섬웨어에 감염된 PC에서 파일 암호화 이후 C&C에 감염된 PC 정보를 전송하는 기능 추가

단, 실제로 정보가 전달되는지 여부와, C&C에 어떠한 정보가 전달이 되는지는 현재 확인되지 않음

· 초기 버전과 변종 버전 모두 특정 파일명, 특정 파일 확장자 및 특정 문자열이 포함되는 경로를 제외하나, 초기 버전 및 변종 버전의 제외 정보는 동일하지 않음


▶출처: 이스트 시큐리티 블로그



감염 팝업    





▶출처: 이스트 시큐리티 블로그


Paymen 45 랜섬웨어에 감염되면, 암호화된 파일이 있는 폴더에 'readme.txt' 라는 이름의 랜섬노트가 생성되며, 랜섬노트에는 감염 안내와 복호화를 위한 토르 사이트 URL이 기재

해당 랜섬웨어의 초기 버전과 변종 버전의 랜섬 노트의 내용이 다르며, 토르 사이트 내용 또한 다름 



대응 방안  

해당 랜섬웨어의 경우 이메일 첨부 파일, 토렌트 사이트 및 악성 광고 등에서 다운로드 되어 사용자 PC에 침투하였습니다.

따라서, 발신자가 불분명한 메일 및 악성 광고 사이트 등의 접속에 대하여 사용자의 각별한 주의가 필요합니다.


하지만, 지속적으로 변화하는 랜섬웨어를 대응 하기 위해서는 기존의 블랙 개념의 보안 솔루션이 아닌 화이트 리스트 기반의 프로세스 통제 솔루션을 통해 허가된 프로세스 만을 사용하여 우회 및 변조 기법을 이용하여 침투 및 악성행위를 하는 프로세스 통제를 통하여 사전 예방이 가능합니다.



관련 자료  

랜섬웨어 소개 및 대응 방안

랜섬웨어 치료 및 복구, 예방 방법

iMON LOPE 소개 자료.pdf



댓글 : 0