LCRYX 랜섬웨어, 시스템 도구 차단 및 고급 은폐 기술로 Windows 시스템 공격

LCRYX Ransomware Attacks Windows Machines by Blocking Registry Editor and Task Manager

LCRYX Ransomware Attacks Windows Machines by Blocking Registry Editor and Task Manager

 

• LCRYX 랜섬웨어 개요
  • LCRYX는 VBScript 기반의 랜섬웨어로, 2024년 11월 처음 등장한 이후 2025년 2월 재등장
  • 감염된 파일을 .lcryx 확장자로 암호화하며, 복호화 비용으로 500달러 상당의 비트코인(Bitcoin)을 요구
  • 시스템 제어를 차단하고 탐지 회피를 위한 고급 기법을 사용
• 시스템 도구 비활성화 및 권한 상승
  • 관리자 권한으로 실행을 보장하며 필요 시 재실행
  • 주요 시스템 도구 비활성화
    • 작업 관리자(Task Manager)
    • 명령 프롬프트(Command Prompt)
    • 레지스트리 편집기(Registry Editor)
    • 제어판(Control Panel) 접근 차단
  • 사용자 계정 컨트롤(UAC) 메시지 비활성화
    • 관리자 권한 명령어를 방해 없이 실행
  • 진단 도구 차단
    • msconfig.exe, gpedit.msc, procexp.exe 실행 방지
    • 사용자 분석 및 프로세스 종료 시도 차단
  • 비활성화 타임아웃 기능 끄기
    • 시스템 활성 상태 유지로 악성 활동 지속
• 지속성 유지 및 파일 암호화 방법
  • 기본 셸 및 디버거를 자신으로 설정하여 cmd.exe와 같은 주요 시스템 프로세스 제어
  • 레지스트리 설정 수정을 통해 HTTP 및 HTTPS 링크 실행 시 자동 작동
  • 키보드 키 재배치 및 마우스 버튼 전환으로 사용자 인터페이스 방해
  • 암호화 기법
    • 카이사르 암호(Caesar Cipher)와 XOR 암호화 결합
    • 원본 파일을 암호화된 파일로 대체, 백업 및 그림자 복사본 삭제
    • vssadmin, wbadmin 명령어 활용
  • Windows Management Instrumentation (WMI) 사용
    • 작업 관리자 및 레지스트리 편집기 주기적으로 종료
  • PowerShell 명령어 활용
    • 마스터 부트 레코드(MBR)를 악성 콘텐츠로 덮어쓰기
    • 특수 복구 도구 없이는 시스템 부팅 불가능
• 탐지 회피 기술
  • 주요 백신 프로그램의 실시간 모니터링 기능 비활성화
    • Windows Defender, Bitdefender, Kaspersky 포함
  • 파일 속성을 숨김(Hidden), 시스템(System), 읽기 전용(Read-only)으로 설정하여 은폐
  • 감염 후 데스크탑에 랜섬 노트 생성
    • 지정된 웹사이트 접속 및 비트코인 결제 요구
  • 심리적 압박 기법
    • IP 주소 표시, 계산기(Calculator) 등 무관한 프로그램 실행
• 결론
  • 고급 VBScript 기반 위협이 증가하는 상황에서 강력한 보안 체계 필요
  • 사용자 권장 조치
    • 포괄적인 보안 솔루션(예: K7 Total Security) 도입
    • 정기적인 데이터 백업 유지
    • 시스템 도구 비활성화 방지를 위한 정책 강화
    • 관리자 권한을 요구하는 의심스러운 스크립트 실행 차단