상세 컨텐츠

본문 제목

윈도우 11 셋업 파일을 위장하여 유포되는 랜섬웨어 주의!

악성코드 분석 리포트

by 알약4 2021. 7. 15. 15:09

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

6월 25일, 차세대 운영체제 '윈도우 11(Windows 11)'이 공개되었습니다. 해당 운영체제는 올해 안에 신규 생산되는 PC에 기본 탑재될 예정이며, 윈도우 10 사용자가 만약 현재 사용중인 PC의 하드웨어 사양 등의 조건이 충족할 경우 무료 업그레이드를 지원합니다. 

이러한 와중에 윈도우 11 셋업파일을 위장한 랜섬웨어가 발견되어 사용자들의 주의가 필요합니다. 

 

이번에 발견된 랜섬웨어는 'Windows11正式版(Windows정식버전)'을 위장하고 있으며, 중국어로 제작된 것으로 보아 중국에서 유포중인 것으로 추정됩니다. 

 

 

[그림 1] 윈도우 11 인스톨 파일을 위장한 랜섬웨어

 


만약 사용자가 파일을 실행하면, 먼저 Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀도를 삭제합니다. 이후 사용자 pc 내 파일들을 암호화 합니다. 

암호화를 완료 한 후에는 바탕화면을 일본어로 작성된 이미지 파일로 변경하며, 카운트다운 팝업창을 띄웁니다. 

 

해당 팝업창에는 카운트다운 숫자가 표시되며, 일정 시간이 지나면 암호화된 파일은 모두 삭제된다는 내용과 함께 복호화키를 입력할 수 있는 란이 포함되어 있습니다. 

 

[그림 2] 파일 암호화 후 띄우는 카운트 다운 화면

 

 

일부 파일의 경우 확장자 변경없이 암호화 하며, 암호화된 파일 중 일부는 일정 시간 이후 삭제됩니다. 

 

 

[그림 3] 랜섬웨어에 암호화 된 파일들

 

 

Xiaoba 랜섬웨어는 2018년에 발견되었으며, 해당 샘플도 2018년도 제작된 것으로 보아 이 전에 제작해 놓았던 샘플인 것으로 추측됩니다. 

 

공격자의 이메일 주소 : BaYuCheng@yeah.net

QQ계정 : 3047861776


이런 악성코드의 위협을 방지하려면, 파일 공유사이트나 크랙 버전 SW의 사용을 지양하고 공식 사이트에서 내려받아야 합니다. 

현재 알약에서는 해당 악성코드에 대해 Trojan.Ransom.XiaoBa로 탐지중에 있습니다. 

 



 

관련글 더보기

댓글 영역