본문 바로가기

벌새::Analysis

Sodinokibi 랜섬웨어 감염 후 파일 다운로드 시 권한 부족으로 실패하는 원인 (2020.9.12)

국내에서 가장 많은 피해를 주는 대표적인 랜섬웨어(Ransomware) 1~2위는 Windows 7 운영 체제에서만 감염되는 Magniber 랜섬웨어와 감염될 경우 사실상 PC 포맷이 필요한 Sodinokibi 랜섬웨어라고 볼 수 있습니다.

 

그 중에서도 Sodinokibi 랜섬웨어의 경우 Windows 7, Windows 8.1 운영 체제에서 감염에 성공할 경우 Windows 재부팅에 실패할 수 있는 문제가 존재하며 특히 2020년 3월 16일경부터 감염 시 다수의 폴더 권한을 삭제하여 기존에 설치된 프로그램의 정상적인 동작에 영향을 줄 수도 있습니다.

 

Sodinokibi 랜섬웨어 유포 사이트 (네봄이)

ZIP 압축 파일 내 .js 스크립트 파일로 감염되는 Sodinokibi 랜섬웨어 주의 (2020.4.14)

 

가장 대표적인 감염 방식은 인터넷 검색을 통해 접속한 네봄이 사이트에서 다운로드한 ZIP 압축 파일에 존재하는 .js 스크립트 파일을 사용자가 직접 실행하여 Sodinokibi 랜섬웨어 감염으로 연결되는 경우입니다.

 

Sodinokibi 랜섬웨어에 의해 암호화된 파일

Sodinokibi 랜섬웨어에 의해 암호화된 파일은 .<5~10자리 Random 확장명> 패턴으로 변경되며, <암호화 확장명>-readme.txt 결제 안내 파일을 생성합니다.

 

권한 부족으로 다운로드 실패한 모습

그런데 Sodinokibi 랜섬웨어 감염이 발생한 PC 사용자가 Chrome 웹 브라우저를 이용하여 파일 다운로드를 시도할 경우 "실패 - 권한 부족" 메시지가 생성되면서 파일 다운로드가 이루어지지 않는 문제가 있습니다.

 

다운로드 폴더 권한 비교

Chrome 웹 브라우저의 다운로드 폴더를 확인해보면 Sodinokibi 랜섬웨어 감염 이전과 감염 이후의 폴더 권한이 변경된 것을 확인할 수 있으며, 해당 랜섬웨어는 다양한 폴더에서 기존에 등록된 그룹 또는 사용자를 모두 삭제하여 권한이 없는 폴더로 변경하는 기능이 포함되어 있습니다.

 

이로 인하여 Chrome 웹 브라우저에서 다운로드 폴더로 파일 다운로드를 시도할 경우 해당 폴더에 권한이 없어서 파일을 생성하지 못하는 문제가 발생합니다.

 

이런 경우 Chrome 웹 브라우저에서 파일 다운로드 시 이용하는 다운로드 폴더의 권한을 추가하는 방식으로 해결할 수 있습니다.

 

(1) 다운로드 폴더의 폴더 속성에서 보안탭을 클릭한 후 "편집" 버튼을 클릭하시기 바랍니다.

 

(2) 다운로드의 사용 권한 창에서 "추가" 버튼을 클릭하시기 바랍니다.

 

다운로드 폴더의 사용 권한 (보안)

(3) 사용자 또는 그룹 선택 창에서 "선택할 개체 이름을 입력하십시오." 공란에 다음과 같은 형태로 정보를 입력하시기 바랍니다.

 

사용자 또는 그룹 선택

해당 정보 입력 시 "찾을 위치를 선택하십시오."에 표시된 컴퓨터 이름과 현재 로그온한 Windows 사용자 계정명을 참고하여 "<컴퓨터 이름>\<사용자 계정명>" 형태로 입력한 후 확인 버튼을 클릭하시기 바랍니다.

 

(4) 다운로드의 사용 권한에 추가된 사용자의 사용 권한에서 "모든 권한 - 허용" 박스에 체크하시기 바랍니다.

 

다운로드 폴더의 사용 권한 (모든 권한 허용)

(5) 확인 버튼을 클릭할 경우 다음과 같은 "보안 적용 오류" 메시지 창이 다수 발생할 수 있으므로 "계속" 버튼을 클릭하시기 바랍니다.

 

보안 적용 오류 메시지 창

(6) 모든 절차가 완료된 경우 다운로드 폴더 속성에 현재 Windows 계정 사용자가 권한을 획득한 것을 확인할 수 있습니다.

 

다운로드 속성에 추가된 사용자 및 사용 권한

위와 같이 Chrome 웹 브라우저가 파일 다운로드를 통해 최종 저장되는 다운로드 폴더의 권한을 획득한 이후 실제 파일 다운로드를 진행해보면 다음과 같이 정상적으로 파일 다운로드 및 저장이 이루어지는 것을 확인할 수 있습니다.

 

Chrome 웹 브라우저의 파일 다운로드 성공

근본적으로 네봄이 사이트에서 다운로드한 파일을 정상적인 파일로 착각하여 .js 스크립트 파일을 실행하는 일이 없도록 해야겠지만, 만약 Sodinokibi 랜섬웨어 감염 이후 웹 브라우저를 통한 파일 다운로드조차 이루어지지 않는 문제로 고생할 경우에는 해당 내용을 참고하시기 바랍니다.

 

또한 Sodinokibi 랜섬웨어에 감염된 경우에는 다수의 폴더 권한 삭제로 인하여 일부 설치된 응용 프로그램 오류 등이 발생할 가능성이 있으므로 PC 포맷을 하시는 것을 권장합니다.