← 보안센터로 돌아가기

분석정보 · 랜섬웨어 분석 정보

[랜섬웨어 분석] Salam 랜섬웨어

Salam 랜섬웨어 주의! 지난 7월 말, Salam 랜섬웨어가 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 유사하게 문서나 이미지 파일과 같은 특정 확장자에 대해 암호화 동작을 수행하므로 기업 및 개인 사용자의 주의가 요구된다. 이번 보고서에서는 Salam 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 악성동작이 모두 끝나면 악성 파일이 존재하던 경로에 “최종 경로-HOW-T

2020-08-12INCA Security Center

Salam 랜섬웨어 주의!

지난 7월 말, Salam 랜섬웨어가 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 유사하게 문서나 이미지 파일과 같은 특정 확장자에 대해 암호화 동작을 수행하므로 기업 및 개인 사용자의 주의가 요구된다.

이번 보고서에서는 Salam 랜섬웨어의 동작에 대해 알아보고자 한다.

해당 랜섬웨어는 악성동작이 모두 끝나면 악성 파일이 존재하던 경로에최종 경로-HOW-TO-DECRYPT”라는 이름의 랜섬 노트를 생성한다.

[그림 1] 랜섬노트

아래의 이미지와 같이, 특정 디렉토리를 제외하고 고정 드라이브에 대해 암호화 동작을 수행한다.

[그림 2] 암호화 예외 대상 폴더

또한, [ 1]와 같이 특정 확정자 파일에 대하여 암호화 동작을 수행한다.

[표 1] 암호화 대상 확장자

암호화가 되면 파일명은파일명.확장자.ment” 로 변경된다.

[그림 3] ( 좌 ) 암호화 전 , ( 우 ) 암호화 후

암호화 동작이 끝나면, 하기와 같이 안전모드 및 볼륨 섀도우 복사본을 삭제하고, 사용자 pc를 재부팅한다.

[그림 4] 명령어

이번 보고서에서 알아본 Salam 랜섬웨어는 특정 폴더와 확장자에 대하여 암호화 동작을 수행하며, 볼륨 섀도우 복사본 및 안전모드 부팅을 삭제하여 복구를 어렵도록 하기에 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

[그림 5] TACHYON Endpoint Security 5.0 진단 및 치료 화면

잉카인터넷 네이버 공식블로그 바로가기