Slime 랜섬웨어 분석 (WhiteDefender)

1. 개요

Slime 랜섬웨어는 Windows 시스템에서 실행되며, 중요한 파일 데이터를 암호화한 뒤 .slime 확장자를 변경합니다. 감염이 진행되면 사용자의 모든 파일 데이터 영역에 read_it.txt 랜섬노트를 생성하고, 확장자가 모두 암호화되어 사용자가 감염 사실을 즉시 인지하도록 유도합니다.

랜섬웨어 정보 요약

샘플 식별자

그림 1. Slime 감염 후 암호화된 파일

2. 랜섬웨어 동작 특징

Slime 랜섬웨어는 C# .NET 기반으로 개발된 Chaos 계열 랜섬웨어입니다. 실행 시 자신의 파일을 %AppData% 경로로 복사한 후 해당 위치에서 재실행하며, %AppData%\Microsoft\Windows\Start Menu\Programs\Startup 경로에 바로가기(Shortcut)를 생성하여 시스템 재부팅 이후에도 자동으로 실행될 수 있도록 지속성을 확보합니다.

이후 파일 암호화를 수행하며, Chaos 계열에 포함된 복구 방해 기능인 섀도우 복사본 삭제, Windows 복구 기능 비활성화, 백업 카탈로그 삭제 등의 기능은 해당 샘플에서 비활성화된 상태로 확인됩니다. 암호화 대상은 시스템이 설치된 C 드라이브를 제외한 모든 드라이브와 사용자 계정의 라이브러리(Libraries) 폴더로, 해당 경로 내 파일들을 대상으로 암호화를 수행합니다.

그림 2. 시작프로그램 폴더에 랜섬웨어 실행 링크 생성하는 동적 코드

그림 3. 시작프로그램 폴더에 생성된 랜섬웨어 링크 파일

그림 4. 시작프로그램 폴더에 랜섬웨어 실행 링크 생성하는 동적 코드

그림 5. 시작프로그램 폴더에 랜섬웨어 실행 링크 생성하는 동적 코드

3. 랜섬웨어 감염 결과

랜섬웨어 감염이 진행되면 암호화가 수행되고, 랜섬노트가 생성되며, 암호화가 진행된 각각의 파일들은 확장자가 변경되어 사용할 수 없게 됩니다.

• 주요 문서·이미지 등 파일이 .slime 확장자로 암호화되어 사용 불가 상태 전환
• read_it.txt 랜섬노트 생성
• 사용자 데이터 암호화로 접근 불가 상태

그림 6. 랜섬웨어 감염 후 암호화된 파일 확장자(.slime) 변경 사례

그림 7. Slime 랜섬웨어 감염노트

4. WhiteDefender 대응

WhiteDefender는 랜섬웨어의 악성 행위 차단 이전에 암호화가 진행될 파일에 대해서도 실시간으로 자동복원을 지원합니다.

그림 8. WhiteDefender Detect Viewer 탐지 로그: Ransomware Behavior‑Detect 탐지 및 Execution Block / Quarantine / Restore 기록

그림 9. WhiteDefender 차단 알림 팝업: Process has been blocked due to malicious activity (Slime.exe)