Sepsis 랜섬웨어 분석 (WhiteDefender)

1. 개요

Sepsis 랜섬웨어는 Windows 시스템에서 실행되며, 중요한 파일 데이터를 암호화한 뒤 파일명.확장자.[Sepsis@protonmail.com].SEPSIS 으로 확장자를 변경합니다. 감염이 진행되면 사용자의 모든 파일 데이터 영역에 mshta.exe 랜섬노트를 생성하고, 확장자가 모두 암호화되어 사용자가 감염 사실을 즉시 인지하도록 유도합니다.

랜섬웨어 정보 요약

샘플 식별자

그림 1. Sepsis 감염 후 암호화된 파일

2. 랜섬웨어 동작 특징

Sepsis 랜섬웨어는 C++ 기반으로 개발되었으며, 실행 시 자신의 파일을 Windows 폴더에 svchost.exe 이름으로 복사한 후 해당 파일을 재실행합니다. 이후 Windows 로그온 과정에서 자동으로 실행되는 Winlogon 레지스트리 영역에 자신을 등록하여 시스템 재부팅 이후에도 지속적으로 실행될 수 있도록 지속성(Persistence)을 확보합니다.

암호화 수행에 앞서 섀도우 복사본(Volume Shadow Copy) 삭제, Windows 시스템 복원 기능 비활성화, 응용 프로그램 오류 알림 기능 비활성화 등의 복구 방해 행위를 수행합니다. 이를 통해 사용자의 데이터 복구 가능성을 최소화한 후 파일 암호화를 진행하며, 암호화 완료 이후에는 정상적인 복구 절차를 어렵게 만들어 피해를 극대화하는 특징을 보입니다.

그림 2. 최초 실행 위치의 랜섬웨어 실행 파일을 Windows 폴더로 복사하여 재실행하는 동적 코드 내용

그림 3. 동적 실행 중 레지스트리 수정 부분 및 적용된 레지스트리의 값

그림 4. 섀도우 복사본 삭제 및 윈도우 복원과 실행 오류 알림 기능을 비활성하는 내부 정적 코드

3. 랜섬웨어 감염 결과

랜섬웨어 감염이 진행되면 암호화가 수행되고, 랜섬노트가 생성되며, 암호화가 진행된 각각의 파일들은 확장자가 변경되어 사용할 수 없게 됩니다.

• 주요 문서·이미지 등 파일이 파일명.확장자.[Sepsis@protonmail.com].SEPSIS 확장자로 암호화되어 사용 불가 상태 전환
• mshta.exe 랜섬노트 생성
• 사용자 데이터 암호화로 접근 불가 상태

그림 5. 랜섬웨어 감염 후 암호화된 파일 확장자 [Sepsis@protonmail.com].SEPSIS 변경 사례

그림 6. 랜섬웨어 감염 후 변경된 바탕화면

4. WhiteDefender 대응

WhiteDefender는 랜섬웨어의 악성 행위 차단 이전에 암호화가 진행될 파일에 대해서도 실시간으로 자동복원을 지원합니다.

그림 7. WhiteDefender Detect Viewer 탐지 로그: Ransomware Behavior‑Detect 탐지 및 Execution Block / Quarantine / Restore 기록

그림 8. WhiteDefender 차단 알림 팝업: Process has been blocked due to malicious activity (Sepsis.exe)