[ LockShit BLACKED 랜섬웨어 ]

[ 바이러스/악성코드 활동 접수: LockShit BLACKED 랜섬웨어 ]

LockShit BLACKED 랜섬웨어 형태로 추정되는 침해사고 발생하여
이에 해당 상황에 대한 확인 및 주의보를 다음과 같이 전달 드립니다.

LockShit BLACKED 랜섬웨어

해당 랜섬웨어는 LockShit라고 하며 파일명.확장자.KJHEJgtkhn 모든 파일을 변경하고 있는 모습을 보이고 있습니다.

작동 방식

파일 버전

[그림1 랜섬웨어 실행 파일 컴파일러 정보 ]

[그림2 윈도우 속성의 파일 정보]

랜섬웨어 동작 특징

• 닷넷 기반 카오스 계열 랜섬웨어로 윈도우 현재 언어가 특정 지역 코드 “az-Latn-AZ”(아제르바이잔어-라틴어) 인 경우에는 램섬웨어가 실행되지 않으며, 최초 실행 실행 시 AppdataRoaming으로 복사 후 관리자 권한으로 재실행합니다. 실행되는 랜섬웨어 이름 확인을 통한 중복 실행 방지와 레지스트에 특정 값 등록을 통한 중복 암화화 기능이 적용 되어있고, 쉐도우 복사본과 백업 카탈로그를 삭제하고 윈도우 기본 복원 및 오류 알림과 작업관리자를 비활성화합니다. 백업관련 서비스를 확인하여 서비스 중지 명령 후 암호화를 진행하며 루트드라이버는 일부 폴더를 예외하고 추가 드라이브(네트워크 공유 포함)는 암호화 진행 및 랜섬웨어 실행 파일을 각각의 루트에 복사합니다.

  
  [그림3 특정 지역에서는 작동하지 않도록 처리된 정적 코드]

  
  [그림4 쉐도우 복사본 및 백업 카탈로그 삭제와 윈도우 기본 복구 및 오류알림 비활성화 정적 코드]

  
  [그림5 레지스트리에 특정 값 추가를 통한 작업관리자 비활성화 ]

  
  [그림6 백업 관련 서비스 목록 정적 코드]

  
  [그림7 루트 드라이브 암호화 시 예외된 항목 정적 코드]

감염결과

안내 파일은 각각의 경로에 < KJHEJgtkhn.READMEt.txt >가 생성 되며, 암호화 진행 시 <파일명.확장자.KJHEJgtkhn>으로 파일들을 변경합니다.

[그림8 감염결과]

화이트디펜더 대응

화이트디펜더 랜섬웨어의 악성 행위 및 차단 이전에 암호화가 진행될 파일에 대해서도 실시간으로 자동복원을 지원합니다.

[그림9 차단 메시지]

LockShit BLACKED 차단 영상 보러 가기