연구원들이 이 랜섬웨어의 첫 번째 샘플을 발견했을 때는 파일 암호화 시 커스텀 된 암호화법을 사용했다. 하지만 최신 버전은 AES 암호화를 사용했다.
현재로써는 Zenis로 암호화 된 파일을 복호화 할 수 있는 방법은 없지만, 연구원들이 이 랜섬웨어의 취약점을 찾아내기 위해 분석 중이다. 따라서 Zenis에 감염 되었더라도 랜섬머니를 지불하지 않아야 한다.
Zenis의 배포 방식은 아직까지 알려지지 않았지만, 샘플들로 미루어 볼 때 원격 데스크탑 서비스를 통해 배포되었을 가능성이 있다.
Zenis 랜섬웨어의 새로운 변종은 컴퓨터를 암호화 하기 전, 실행 파일의 이름이 iis_agent32.exe인지, HKEY_CURRENT_USERSOFTWAREZenisService의 레지스트리 값이 "Active"인지 확인한다.
만약 레지스트리 값이 존재하거나 파일 이름이 다를 경우, 프로세스를 종료하고 컴퓨터를 암호화 하지 않는다.
이와 같은 확인 과정을 통과 하면, 이메일 및 암호화 된 데이터와 같은 정보가 포함 된 랜섬 노트를 받아오기 시작한다. 이후 섀도우 볼륨 사본을 삭제하고 시동 복구를 비활성화 하고 이벤트 로그를 삭제한다.
이 과정이 완료 되면 컴퓨터의 파일을 암호화 하기 시작한다. 확장자를 사용하는 파일을 탐색해 파일 마다 각각 다른 AES 키를 사용해 암호화 한다.
파일이 암호화 되면, 파일 명은 Zenis-[랜덤 문자 2개].[랜덤 문자 12개]로 변경 된다. 예를 들면, test.jpg가 암호화 될 경우 ‘Zenis-4Q.4QDV9txVRGh4’와 같은 형식으로 이름이 변경 된다. 원래 파일 이름과 파일을 암호화 하는데 사용 된 AES 키는 파일의 끝에 암호화 되어 저장 된다.
★정보보안 대표 미디어 데일리시큐!★