Pandora 랜섬웨어 분석 (WhiteDefender)

1. 개요

Pandora 랜섬웨어는 Windows 시스템에서 실행되며, 로컬 파일을 암호화한 뒤 .pandora 확장자를 추가합니다. 감염이 진행되면 사용자의 모든 파일 데이터 영역에 Restore_My_Files.txt 랜섬노트를 생성하고, 확장자가 모두 암호화되어 사용자가 감염 사실을 즉시 인지하도록 유도합니다.

랜섬웨어 정보 요약

샘플 식별자

그림 1. Pandora 감염 후 바탕화면 변경 화면

2. 랜섬웨어 동작 특징

Pandora 랜섬웨어는 실행 직후 시스템 내 파일 시스템을 탐색하며, 사용자 데이터 영역을 중심으로 암호화를 수행합니다. 공격자는 운영체제 정상 동작을 유지한 상태에서 사용자 데이터만을 선택적으로 암호화하여 금전 지불을 유도합니다.

파일 암호화 과정에서는 다수의 파일에 대해 짧은 시간 내 반복적인 파일 접근(Open), 읽기(Read), 쓰기(Write) 및 이름 변경(Rename)이 수행되며, 암호화된 파일에는 .pandora 확장자가 추가됩니다. 이와 같은 대량 파일 변경(Mass File Modification) 패턴은 대표적인 랜섬웨어 행위 지표로 활용되고 있습니다.

또한 암호화 진행과 동시에 Restore_My_Files.txt 랜섬노트가 생성되며, 피해자에게 감염 사실을 즉시 인지시키고 복호화 비용 지불을 요구합니다. 콘솔 기반 실행 파일 형태(PE32+ x64)로 구성된 점을 고려할 때, 해당 샘플은 사용자 개입 없이 자동 실행이 가능한 구조를 가지며, 초기 침투 이후 스크립트 또는 공격 도구를 통해 실행되는 랜섬웨어에서 흔히 확인되는 특성과 일치합니다.

그림 2. Pandora 랜섬노트(Restore_My_Files.txt) 내용 화면

3. 랜섬웨어 감염 결과

랜섬웨어 감염이 진행되면 암호화가 수행되고, 랜섬노트가 생성되며, 암호화가 진행된 각각의 파일들은 확장자가 변경되어 사용할 수 없게 됩니다.

• 주요 문서·이미지 등 파일이 .pandora 확장자로 변경되어 사용 불가 상태 전환
• Restore_My_Files.txt 랜섬노트 생성
• 사용자 데이터 접근 불가 상태 유지

그림 3. Pandora 랜섬웨어 감염 후 암호화된 파일 확장자 변경 사례

4. WhiteDefender 대응

WhiteDefender 기준, Pandora 랜섬웨어와 같은 파일 암호화 행위는 행위 기반 탐지 엔진을 통해 Ransomware Behavior‑Detect로 식별됩니다. 특히 파일 암호화 과정에서 발생하는 대량 파일 변경 패턴을 기반으로 비정상 행위를 조기에 탐지할 수 있으며, 실행 단계에서 프로세스를 차단(Execution Block)하여 암호화 진행을 중단시킬 수 있습니다.

또한 파일 변경 이벤트에 대해서는 격리(Quarantine) 및 복원(Restore) 기능이 함께 동작하여 랜섬웨어로 인한 데이터 손상을 최소화할 수 있습니다.

그림 4. WhiteDefender Detect Viewer 탐지 로그: Ransomware Behavior‑Detect 탐지 및 Execution Block / Quarantine / Restore 기록

그림 5. WhiteDefender 차단 알림 팝업: Process has been blocked due to malicious activity