벌새::Analysis
2020. 11. 18. 19:43
백신에서 차단하지만 치료하지 못하는 레지스트리 방식의 Sodinokibi 랜섬웨어 문제 (2020.11.18)
2018년 여름경부터 네봄이 사이트를 통해 다운로드된 ZIP 압축 파일 내의 .js 스크립트 파일 실행을 통해 감염되는 GandCrab 랜섬웨어는 현재 동일한 방식으로 Sodinokibi 랜섬웨어 유포에 꾸준히 활용되고 있습니다. ▷ ZIP 압축 파일 내 .js 스크립트 파일로 감염되는 Sodinokibi 랜섬웨어 주의 (2020.4.14) 그런데 2020년 10월 13일경부터 기존의 파일(File) 기반이 아닌 레지스트리(Registry) 방식의 Fileless 기반으로 변화하면서 감염된 PC에서는 백신에서 Windows 부팅 시마다 랜섬웨어(Ransomware) 동작이 시작될 경우 PowerShell.exe 파일을 탐지하지만 레지스트리에 추가된 랜섬웨어 코드를 삭제하지 못하여 매번 탐지되는 문제가 발..