□ 개요
새로운 랜섬웨어가 계속 등장하는 요즘 또 다른 방식의 랜섬웨어가 등장하였다. 해당 랜섬웨어는 기존과 다르게 감염사실을 윈도우에서 정상적으로 전달하는 것처럼 위장하고 감염자로부터의 전자 메일 전송을 유도한다.
□ 내용
윈도우 위장 랜섬웨어에 감염 시 PC내 주요 파일들을 암호화하고 확장자를 ".기존확장자+dxxd"로 변경한다. 또한, 변경된 파일이 존재하는 폴더에는 텍스트 파일을 생성하여 사용자에게 위험 사실을 알리고 전자 메일을 보낼 것을 유도한다.
[그림 1] 변경된 확장자명
감염 후 윈도우로 위장하기 위해 레지스트리를 추가하여 사용자 로그인 시 화면을 변경한다.
[생성된 레지스트리]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption
"Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText
"When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software."
Trojan.Win32.Ransom