랜섬웨어

암호화된 파일을 지우는 신종 랜섬웨어 Jigsaw

1,761    2016-04-22


개요  

일반적인 랜섬웨어의 경우, 파일 암호화를 진행 후 암호화된 파일에 대하여 삭제하지 않았으며 비트코인 지불만을 요구하였습니다.

신종으로 발견된 Jigsaw 랜섬웨어는 파일 암호화 후 비트코인을 요구하며 1시간마다 암호화된 파일을 순차적으로 삭제하여 사용자에게 비트코인 지불을 유도하는 것이 특징입니다.



동작방식 


  

현재까지 유입 경로에 대하여 밝혀진 것은 없으며 Jigsaw 경우 PC가 인터넷망과 연결이 되지 않은 상태에서도 동작되도록 제작되었습니다.

Jigsaw가 동작할 경우 두 번의 자가복제를 하게 되도록 되어 있습니다.


  


랜섬웨어가 동작할 경우 지정된 확장자명을 *.fun으로 바꾸며 암호화가 이루어집니다. 

암호화가 완료되면 파일이 암호화되었고 비트코인을 지불하지 않을 경우 60분마다 파일을 삭제하겠다는 장문의 메시지가 띄워지게 되며 72시간이 경과하게 되면 암호화된 파일들은 모두 삭제가 됩니다.



피해 범위  

· 저장소: 하드디스크, 외장하드

· 파일: 이미지, 문서, 동영상, 압축 파일 등



대응 방안  

1. 화이트리스트 기반의 차단 솔루션의 도입으로 감염을 사전 예방

2. 출처가 불확실한 웹 접속, 파일 다운로드 및 실행 금지


※ iMONLOPE (랜섬웨어 대응 솔루션) 문의하기



관련 자료  

랜섬웨어 소개 및 대응 방안

랜섬웨어 치료 및 복구, 예방 방법

랜섬웨어 LockyCrypt 동작 방식과 대응 방안



댓글 : 0