바이러스 제로 시즌 2 보안 카페 회원 중에서 임시 폴더(%Temp%)에 생성된 svchost.exe 파일이 랜섬웨어(Ransomware)와 관련된 파일이 아닌가 의심하는 글이 올라와서 확인을 해보았습니다.
생성된 "C:\Users\%UserName%\AppData\Local\Temp\svchost.exe" 파일의 특이점을 살펴보면 숨김(H) / 읽기 전용(R) 속성값을 가지고 있으며 28 바이트(Bytes)의 사실상 실행되어도 아무런 기능을 하지 않을 가능성이 있습니다.
특히 읽기 전용(R) 속성값으로 인하여 의심스러운 svchost.exe 파일을 VirusTotal에 업로드도 이루어지지 않기에 더욱 의심을 한 것 같습니다.
하지만 바이러스 제로 시즌 2 보안 카페 매니저님이 해당 파일이 하우리(Hauri) 보안 업체에서 제공하는 랜섬웨어 예방툴(RansomProtector)이 적용된 경우 생성되는 파일로 보인다고 언급해 주셔서 확인해 보았습니다.
랜섬웨어 예방툴(RansomProtector)은 CryptXXX, Locky 랜섬웨어에 대하여 트릭(Trick)을 통해 감염되지 않도록 개발된 예방툴입니다.
다운로드한 랜섬웨어 예방툴(RansomProtector)을 실행할 경우 임의의 파일 생성 및 레지스트리 값 추가를 통해 CryptXXX, Locky 랜섬웨어 감염 시 사전에 감염된 PC 또는 특정 환경처럼 속이는 역할을 수행합니다.
이 과정에서 생성된 파일 중 하나가 "C:\Users\%UserName%\AppData\Local\Temp\svchost.exe" 파일이며, 이런 부분을 몰랐을 경우 악성 파일에 감염된 것이 아닌가 의심을 할 수 있습니다.
랜섬웨어 예방툴(RansomProtector)은 분명 일부 랜섬웨어(Ransomware) 감염으로부터 회피할 수 있는 방법 중의 하나는 분명하지만 변종 또는 다른 계열의 랜섬웨어인 경우에는 효과가 없으며, 프로그램 구조 자체가 새로운 업데이트가 존재할 경우 사용자가 파일을 재다운로드하여 설치해야합니다.