2024-03-28 22:00 (목)
사용자 데이터 암호화하고 백업 삭제하는 'Zenis' 랜섬웨어 확산...주의
상태바
사용자 데이터 암호화하고 백업 삭제하는 'Zenis' 랜섬웨어 확산...주의
  • 길민권 기자
  • 승인 2018.03.19 21:05
이 기사를 공유합니다

Zenis 특징, 피해자 파일 암호화할 뿐만 아니라 백업 삭제한다는 것

coding-1841550_640.jpg
연구원들이 새로운 랜섬웨어인 Zenis(제니스)를 발견했다. 아직까지 Zenis가 어떻게 배포 되고 있는지는 알려지지 않았지만, 이미 많은 피해자들이 이 랜섬웨어에 감염 되었다. Zenis의 특징은 피해자의 파일을 암호화할 뿐만 아니라 백업을 삭제한다는 것이다.

연구원들이 이 랜섬웨어의 첫 번째 샘플을 발견했을 때는 파일 암호화 시 커스텀 된 암호화법을 사용했다. 하지만 최신 버전은 AES 암호화를 사용했다.

현재로써는 Zenis로 암호화 된 파일을 복호화 할 수 있는 방법은 없지만, 연구원들이 이 랜섬웨어의 취약점을 찾아내기 위해 분석 중이다. 따라서 Zenis에 감염 되었더라도 랜섬머니를 지불하지 않아야 한다.

Zenis의 배포 방식은 아직까지 알려지지 않았지만, 샘플들로 미루어 볼 때 원격 데스크탑 서비스를 통해 배포되었을 가능성이 있다.

Zenis 랜섬웨어의 새로운 변종은 컴퓨터를 암호화 하기 전, 실행 파일의 이름이 iis_agent32.exe인지, HKEY_CURRENT_USERSOFTWAREZenisService의 레지스트리 값이 "Active"인지 확인한다.

만약 레지스트리 값이 존재하거나 파일 이름이 다를 경우, 프로세스를 종료하고 컴퓨터를 암호화 하지 않는다.

이와 같은 확인 과정을 통과 하면, 이메일 및 암호화 된 데이터와 같은 정보가 포함 된 랜섬 노트를 받아오기 시작한다. 이후 섀도우 볼륨 사본을 삭제하고 시동 복구를 비활성화 하고 이벤트 로그를 삭제한다.

이 과정이 완료 되면 컴퓨터의 파일을 암호화 하기 시작한다. 확장자를 사용하는 파일을 탐색해 파일 마다 각각 다른 AES 키를 사용해 암호화 한다.

파일이 암호화 되면, 파일 명은 Zenis-[랜덤 문자 2개].[랜덤 문자 12개]로 변경 된다. 예를 들면, test.jpg가 암호화 될 경우 ‘Zenis-4Q.4QDV9txVRGh4’와 같은 형식으로 이름이 변경 된다. 원래 파일 이름과 파일을 암호화 하는데 사용 된 AES 키는 파일의 끝에 암호화 되어 저장 된다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★