[ Invader 랜섬웨어 ]

[ 바이러스/악성코드 활동 접수: Invader 랜섬웨어 ]

Invader 랜섬웨어 형태로 추정되는 침해사고 발생하여
이에 해당 상황에 대한 확인 및 주의보를 다음과 같이 전달 드립니다.

Invader 랜섬웨어

해당 랜섬웨어는 Invader라고 하며 파일명.확장자.invader으로 모든 파일을 변경하고 있는 모습을 보이고 있습니다.

작동 방식

파일 버전

[그림1 랜섬웨어 실행 파일 컴파일러 정보 ]

[그림2 윈도우 속성의 파일 정보]

랜섬웨어 동작 특징

• 실행 파일 난독화 및 고정된 키값 사용

  닷넷 VB 기간 제작되었으며, 다른 사용자가 내부를 보기 어렵도록 상용을 이용한 난독화 기능이 적용되었습니다.. 추가 드라이는 공격하지 않으며, 오직 사용자 라이브러리와 OnDrive 저장 위치를 대상으로 작동됩니다. 랜덤한 값을 사용 후 해당 키 값을 공격자 서버로 전송하는 랜섬웨어와 달리 오직 읽은 파일 값을 Base64를 리버스한 값으로 저장합니다. 랜섬노트는 존재하지 않으며 바탕화면에 공개 도메인을 명시한 상태로 일반 적인 사용자를 이용한 무작위 배포가 아닌 특정 기업을 대상으로 공격할 확률이 높아 보입니다.

  
  [그림3 내부 코드가 난독화 되어 있는 (좌)와 복호화 후 (우)]

  
  [그림4 내부 난독화 되어있는 정적 코드 ]

  
  [그림5 사용자 라이브러리 및 OnDrive를 공격하는 정적 코드 ]

  
  [그림6 예외 처리되는 확장자 및 암호화 정적 코드 ]

  
  [그림7 Base64로 저장되었기 때문에 Hex값은 일반적인 파일 형태로 저장되어 있지 않는 모습 ]

감염결과

노트는 따로 존재하지 않으며 변경된 바탕화면에 관련 내용이 있습니다. 암호화 진행 시 < 파일명.확장자.invader >으로 파일들을 변경합니다.

[그림8 감염결과]

화이트디펜더 대응

화이트디펜더 랜섬웨어의 악성 행위 및 차단 이전에 암호화가 진행될 파일에 대해서도 실시간으로 자동복원을 지원합니다.

[그림9 차단 메시지]

Invader 차단 영상 보러 가기