데이터 및 백업 관련 서비스 확인해 중지 명령...실행 중인 프로세스 강제 종료

최근 모든 파일을 ‘.afire’ 확장자로 암호화하는 형태로 추정되는 침해사고가 발생했다. 이번 침해사고는 확장자의 이름을 따서 어파이어(Afire) 랜섬웨어로 명명됐다. 해당 랜섬웨어는 ‘파일명.확장자.afire’로 모든 파일을 변경한다.

                                             ▲어파이어 랜섬웨어가 남긴 랜섬노트[자료=에브리존 화이트디펜더]

에브리존 화이트디펜더는 ‘어파이어 랜섬웨어’의 침해 행위 프로세스를 분석했다. 어파이어 랜섬웨어는 C++ 기반으로 크립트(Qrypt)와 유사한 코드 형태를 갖고 있다. 우선 데이터 및 백업 관련 서비스를 확인해 중지 명령을 내리고, 실행 중인 프로세스도 특정 데이터 및 백업 프로그램의 이름과 비교해 확인이 된 경우에는 강제로 종료한다. 그 이후 쉐도 복사본 삭제 명령과 모든 경로의 휴지통을 알림 메시지 없이 처리하고 있다.

                                              ▲랜섬웨어 감염 후 암호화된 확장자[자료=에브리존 화이트디펜더]

에브리존 화이트디펜더 관계자는 “어파이어 랜섬웨어 감염 이후 모습과 랜섬노트 내용을 살펴볼 때, 먼저 안내 파일은 감염된 영역에 ‘Restore.txt’라는 텍스트 파일이 생성되며 암호화 진행 시 ‘파일명.확장자.afire’ 파일들을 변경하고 있다”고 설명했다.

[출처 : 보안뉴스]