InsaneCrypt ransomware 관련 이슈

The SonicWall Capture Labs Threat Research Team 은 새롭게 변형된 InsaneCrypt Ransomware [InsaneCrypt.RSM] 을 발견했습니다.

Insanecrypt는 강력한 암호화 알고리즘으로 피해자 파일을 암호화하고, 피해자가 해당 파일을 복구하기 위해  수수료를 지불할 때까지 시스템 드라이브의 파티션 테이블을 교체합니다.

랜섬웨어의 동작 방식은 다음과 같습니다.

멀웨어는 시스템에 다음 파일을 추가합니다.

  • Malware.exe 

º %Userprofile%\Desktop\ How_decrypt_files.txt

시스템이 손상되면 멀웨어가 문서 파일을 검색하기 시작합니다.

멀웨어가 시스템의 파티션 테이블을 덮어쓰면 대상이 시스템 드라이브를 복구하지 못하게 됩니다.

멀웨어는 자체 암호화에 다음 공용 키를 사용합니다.

Malware.exe가 파일을 암호화하는 동안 모든 파일을 암호화하고. insane 확장자를 각 암호화된 파일의 파일 이름에 추가합니다.

멀웨어는 모든 개인 문서를 암호화한 후 시스템이 암호화되었음을 보고하는 메시지가 포함된 텍스트 파일을 생성하고 개발자에게 문서들의 잠금해제를 문의할 것을 안내합니다.

 

분석 결과 멀웨어가 파티션 테이블을 복원하기 위해 키 또는 UID를 입력할 수 있는 방법을 제공하지 않는 것을 발견했습니다. InsaneCrypt가 랜섬웨어로 가장한 Wiper 인지 단지 악성코드인지 불확실합니다.

이미 SonicWall Gateway AntiVirus는 InsaneCrypt ransomware 같은 공격에 대응하여 다음과 같은 서명으로 보호기능을 제공하고 있습니다.

GAV: InsaneCrypt.RSM (Trojan)