Yashma랜섬웨어란?

안티랜섬웨어 화이트디펜더에서 사이버 보안 위협을 조사하며 발견한 이번 랜섬웨어는 [야시마 랜섬웨어(Yashma Ransomware)]입니다.
이를 분석한 결과 Chaos Ransomware(카오스 랜섬웨어)의 변종 랜섬웨어로 나타났습니다.

화이트디펜더의 실시간 보호 기능을 OFF로 해두고 야시마 랜섬웨어를 실행 테스트를 해보았습니다.
내부 데이터를 손상시키지 않으면서 대용량의 파일(2MB 이상)을 암호화 합니다. 암호화는 AES-256을 사용하여 암호 해독키 없이 복원을 불가능하게 만듭니다.

이 악성 랜섬웨어는 감염된 장치의 파일을 암호화 하고, 파일명에 4개의 임의 문자로 된 확장자를 추가합니다.
예를 들면 원본 파일인 "photo.jpg"파일을 "photo.jpg.개별랜덤값"으로, "2.png" 파일을 "2.png.개별랜덤값"으로 암호화 시키는 모습입니다.

그 후 Yashma 랜섬웨어는 바탕화면 이미지를 변경하고 랜섬노트(금전 요구) 파일인 [read_it.txt] 파일을 생성합니다.
랜섬노트 메모에는 이 PC는 Yashma 랜섬웨어에 감염되어 모든 파일이 암호화 되었음을 알려주고, 이를 해독, 복구 하려면 암호 해독 소프트웨어를 구입해야 하고 결제는 비트코인으로만 가능하다고 합니다.
바탕화면의 랜섬노트 정보와 "read_it.txt"의 파일에는 해독을 위한 금액이 다르게 표시 되어 있습니다.