Home > 전체기사

‘.BlackLegion’로 모든 파일 암호화하는 블랙레기온 랜섬웨어 유포중

입력 : 2024-06-19 09:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
에브리존 화이트디펜더, 블랙레기온 랜섬웨어 침해 동작 방식 분석
암호화 진행 후 파일 복구 어렵도록 쉐도 복사본 삭제해


[보안뉴스 김영명 기자] 모든 파일을 ‘.BlackLegion’으로 암호화하는 형태로 추정되는 침해사고가 발생해 사용자들의 주의가 필요하다. 이 랜섬웨어는 블랙레기온(BlackLegion)이라고 하며 ‘파일명.확장자.[8자리사용자의고유ID].[BlackLegion@zohomail.eu].BlackLegion’로 모든 파일을 변경하고 있는 모습을 보이고 있다.

▲Temp 위치로 실행파일 복사 및 시작프로그램 레지스트리에 등록한 모습[자료=에브리존 화이트디펜더]


에브리존 화이트디펜더는 최근 블랙레기온 랜섬웨어 침해 동작방식에 대해 분석했다. 블랙레기온은 C# 기반 랜섬웨어로 랜섬웨어가 실행되면 실행파일은 자신의 속성을 숨김 속성으로 변경해 실행 파일의 모습을 숨긴다. 그 이후 %Temp% 위치에 ‘WmiPrvSe.exe’로 파일을 복사한 후 시작프로그램의 레지스트리에 추가해 윈도 부팅시 자동으로 랜섬웨어가 재실행되도록 설정한다. 또한 암호화 작업 이후 파일의 복구가 어렵도록 쉐도 복사본을 삭제한다.

블랙레기온 랜섬웨어에 감염된 이후의 모습과 랜섬웨어가 남긴 랜섬노트를 살펴보면, 각각의 경로에 ‘DecryptNote.txt’가 생성된다. 또한 암호화를 진행할 때 ‘파일명.확장자.[8자리사용자의고유ID].[BlackLegion@zohomail.eu].BlackLegion’ 형식으로 파일들을 변경한다.

▲블랙레기온 랜섬웨어가 남긴 랜섬노트[자료=에브리존 화이트디펜더]


한국인터넷진흥원에서 발표한 ‘랜섬웨어 대응 가이드라인’에 따르면 랜섬웨어에 감염됐을 때 피해 최소화를 위한 긴급 조치로는 외부 저장장치 연결 해제, PC 전원 유지, 네트워크 차단, 복구 방법 확인 등이 있다.

랜섬웨어는 공유폴더, PC에 연결돼 있는 USB나 외장하드 등에 저장된 파일에도 접근해서 암호화할 수 있기 때문에 기존에 백업했던 파일까지 암호화가 될 수 있어 외부 저장장치 연결을 해제해야 한다. 경우에 따라서는 PC가 종료된 경우 부팅이 불가능할 수 있기 때문에 PC의 전원은 유지해야 하며, 감염 사실을 확인한 즉시 네트워크를 차단해야 한다. 랜섬노트, 암호화된 파일 등을 통해 랜섬웨어의 유형을 파악한 후, 백신 소프트웨어 제조사 홈페이지 등을 통해 관련된 복구 툴이 있는지 확인해 신속히 복구하는 것이 중요하다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)