LegionLocker V3.0 랜섬웨어가 기존 LegionLocker 랜섬웨어와의 차이점은 V2.0 까지는 윈도우 부팅 시스템 파일 까지 삭제하여 암호화된 후 재부팅하면 정상 부팅이 않되게 되었는데 V3.0에서는 부팅 시스템 파일을 유지 합니다
또한 확장자 변경도 달라 졌는데 V2.0까지는 .Legion으로 변경 되었는데 V3.0에서는 .LGNLCKD로 변경 됩니다
그리고, 백업파일과 시스템 복원 지점을 삭제하여 복구 할 수 없도록 합니다
확장자 변경은 "문서.txt.LGNLCKD"로 변경 되며
결제 안내 파일은 "LegionReadMe.txt" 파일이 각 폴더 마다 생성 됩니다
WormLocker 랜섬웨어는 파일 암호화 뿐만 아니라 윈도우 로그온 파일(LogonUI.exe)을 악성 파일로 변경후에 윈도우 부팅, 종료 과정에서 메세지를 출력하여 정상적으로 윈도우를 사용 할 수 없도록하고 있습니다
특이한 점은 확장자 변경이나 파일 이름 변경없이 암호화가 되어 인지하기 쉽지 않다는 것입니다
그리고, 암호롸 이후 결제 안내 화면을 띄워서 비트코인 같은 암호화 화폐가 아닌 Paysafecard 서비스를 이용한 결제 방식을 이용 합니다
MountLocker 랜섬웨어 - 암호화된 파일의 아이콘을 탐색기 아이콘으로 변경
MountLocker 랜섬웨어는 사전에 시스템 내에 침투하여 악성 DLL 랜섬웨어 파일을 생성한 후 서비스 또는 작업 스케줄러에 자신을 등록하여 동작하는 방식 입니다
파일이 암호화 되면 아이콘이 윈도우 탐색기 모양의 아이콘으로 변경 됩니다
악성코드가 동작하게 되면 PowerShell 명령어를 통해 시스템 복원 기능을 무력화 시키고, 시스템이 MBR 기반인 경우 부팅 파일까지 암호화를 시켜서 윈도우 재부팅시 부팅을 할 수 없게 만듭니다
확장자 변경은 "문서.txt.ReadManual.9E2F3FE8"로 변경 되며
결제 안내 파일은 "RecoveryManual.html" 파일을 각 폴더마다 생성 합니다
WhiteBlackGroup 랜섬웨어 - 확장자를 대문자로 변경
WhiteBlackGroup 랜섬웨어는 파일의 확장자명이 소문자로 되어 있을 경우 대문자로 변경하는 특징이 있습니다
또한, 일반적인 랜섬웨어는 최초 실행후 수분후에 암호화가 진행되는 것과는 달리 최초 실행때는 자가 복제를 한 후에 자동 졸료 되어 암호화가 바로 진행되지 않습니다
대신 레지스트리 값을 추가해 윈도우 부팅시마다 복제된 랜섬웨어를 자동 실행되도록 구성 합니다
그래서, 언제 랜섬웨어에 감염 되었는지 특정하기가 어렵습니다
확장자 변경은 "문서.txt" 일 경우 "문서.TXT.encrpt3d"로 변경 되며
결제 안내 파일은 생성 되지 않으며 대신 파일 암호화가 완료되면 잠김화면 창을 생성하여 화면 전체를 가리는 방법으로 파일 암호화가 되었음을 알리고 특정 메일주소로 연락을 유도하고 있습니다