BuLock 랜섬웨어 분석 (WhiteDefender)

1. 개요

BuLock 랜섬웨어는 Windows 시스템에서 실행되며, 중요한 파일 데이터를 암호화한 뒤 .bulock72 확장자를 추가합니다. 감염이 진행되면 사용자의 모든 파일 데이터 영역에 how_to_back_files.html 랜섬노트를 생성하고, 확장자가 모두 암호화되어 사용자가 감염 사실을 즉시 인지하도록 유도합니다.

랜섬웨어 정보 요약

샘플 식별자

그림 1. BuLock 감염 후 바탕화면 변경 화면

2. 랜섬웨어 동작 특징

BuLock 랜섬웨어는 C++ 기반으로 제작되었으며, 최초 실행 시 자신의 파일을 %AppData%\Local 경로로 복사한 뒤 해당 위치에서 실행됩니다. 이후 사용자 계정의 시작 프로그램(StartUp) 레지스트리에 복사된 실행 파일 경로를 등록하여 시스템 재부팅 이후에도 자동 실행되도록 설정한 후, 파일 암호화를 수행합니다.

그림 2. 해당 위치로 파일을 복사하는 동적 정보 및 생성된 파일

그림 3. User의 시작프로그램 레지스트리에 Local 폴더에 생성된 랜섬웨어 실행 파일 등록하는 동적 코드 및 생성된 값

3. 랜섬웨어 감염 결과

랜섬웨어 감염이 진행되면 암호화가 수행되고, 랜섬노트가 생성되며, 암호화가 진행된 각각의 파일들은 확장자가 변경되어 사용할 수 없게 됩니다.

• 주요 문서·이미지 등 파일이 .bulock72 확장자로 변경되어 사용 불가 상태 전환
• how_to_back_files.html 랜섬노트 생성
• 사용자 데이터 접근 불가 상태 유지

그림 4. BuLock 랜섬웨어 감염 후 암호화된 파일 확장자(.bulock72) 변경 사례

4. WhiteDefender 대응

WhiteDefender 기준, BuLock 랜섬웨어와 같은 파일 암호화 행위는 행위 기반 탐지 엔진을 통해 Ransomware Behavior‑Detect로 식별됩니다. 특히 파일 암호화 과정에서 발생하는 대량 파일 변경 패턴을 기반으로 비정상 행위를 조기에 탐지할 수 있으며, 실행 단계에서 프로세스를 차단(Execution Block)하여 암호화 진행을 중단시킬 수 있습니다.

또한 파일 변경 이벤트에 대해서는 격리(Quarantine) 및 복원(Restore) 기능이 함께 동작하여 랜섬웨어로 인한 데이터 손상을 최소화할 수 있습니다.

그림 5. WhiteDefender Detect Viewer 탐지 로그: Ransomware Behavior‑Detect 탐지 및 Execution Block / Quarantine / Restore 기록

그림 6. WhiteDefender 차단 알림 팝업: Process has been blocked due to malicious activity (BuLock.exe)