
최근 전 세계의 교육, 군사 및 의료 등 다양한 분야를 대상으로 하는 “Rhysida” 랜섬웨어의 공격 사례가 잇따라 발견되고 있다. 공격자는 피싱 이메일로 사용자 PC에 접근한 후, 코발트 스트라이크(Cobalt Strike)와 같은 명령 및 제어 프레임워크를 이용해 해당 랜섬웨어를 다운로드한다. 이후, 원격 제어 프로그램 “Psexec”를 이용해 다운로드한 랜섬웨어를 실행한다.
“Rhysida” 랜섬웨어는 사용자 PC의 파일을 암호화하고, “CriticalBreachDetected.pdf”란 이름의 랜섬노트를 생성한다.

[그림 1] 랜섬노트
해당 랜섬웨어는 암호화된 파일의 파일명에 “[.rhysida]” 확장자를 추가한다.

[그림 2] 암호화 결과
암호화는 랜섬웨어 실행 시 대상 폴더를 지정할 수 있으며, 대상 폴더를 생략하면 시스템 전체를 대상으로 암호화를 진행한다. 단, [표 1]의 암호화 제외 폴더와 암호화 제외 확장자를 지닌 파일은 암호화하지 않는다.

[표 1] 암호화 제외 폴더 및 확장자
암호화를 완료한 후, PowerShell의 “Remove-Item” 명령어를 사용해 자가 삭제를 수행한다.

[그림 3] 자가 삭제 명령어 실행
또한, 랜섬노트의 내용이 담긴 사진으로 바탕화면 배경을 변경해 사용자에게 랜섬웨어 감염 사실을 알린다.

[그림 4] 바탕화면 배경 변경
“Rhysida” 랜섬웨어는 피싱 이메일을 이용해 유포되며, 감염된 PC의 파일을 암호화한다. 또한, 현재까지 밝혀진 공격 사례에서 다양한 국가와 분야를 대상으로 삼는 등 해당 랜섬웨어의 공격 대상을 특정할 수 없어 주의가 필요하다. 따라서, 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 백신 프로그램과 OS를 항상 최신버전으로 유지할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면
