에브리존 안티랜섬웨어 화이트디펜더, 글로브임포스터 분석 노트 공개

[보안뉴스 김영명 기자] 2017년 발견된 글로브임포스터(GlobeImposter)가 지난해말부터 다시 무차별 확산하고 있는 것으로 알려졌다. 글로브임포스터 랜섬웨어는 감염된 파일을 ‘파일명.확장자.doc’ 형식으로 바뀌며, ‘Read__ME.html’ 파일로 랜섬노트를 남기며 복호화를 위한 키를 구매할 수 있는 결제를 안내한다.


에브리존에서 제공하는 안티랜섬웨어 화이트디펜더(WhiteDefender)는 글로브임포스터 랜섬웨어의 특징을 크게 △PC의 모든 파일이 암호화돼 열 수 없고 △몸값을 요구하는 랜섬노트 메시지가 html, txt, hat 파일로 데스크탑에 표시되며 △파일 잠금을 해제하려면 몸값을 지불해야 하며 대부분 비트코인으로 요구한다 등으로 설명하고 있다.


글로브임포스터 랜섬웨어는 비주얼베이직(VB) 닷넷으로 만들어졌다. 이 랜섬웨어의 행동 프로세스를 분석해보면 닷넷 기반인 만큼 내부 코드의 확인은 가능하지만 함수와 변수 이름에 대한 난독화 기능이 적용돼 있다. 암호화가 진행된 이후에는 Temp 폴더에 생성된 안내 .txt 파일이 윈도 시작 시 자동으로 실행되도록 시작프로그램 폴더에 링크를 통해 생성한다.

글로브임포스터 랜섬웨어 감염이 특정 컴퓨터에서 작동하게 되면, 안내 파일은 컴퓨터 내 다양한 경로에 파일로 생성된다. 이후 암호화가 진행되면 <파일명.확장자.secure[이메일주소]> 형식으로 파일들을 변경한 후 암호화가 완료되면 바탕화면을 특정 이미지로 변경한다.

▲글로브임포스터 랜섬웨어가 남긴 랜섬노트[자료=에브리존 화이트디펜더]

에브리존 화이트디펜더 관계자는 “화이트디펜더는 해당 랜섬웨어의 악성행위 자체와 행위를 차단하기 이전에 암호화가 진행될 파일에 대해서도 실시간으로 모니터링하며 감염 행위를 막고 자동 복원도 지원한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>