소디노키비 랜섬웨어 (sodinokibi ransomware) 이걸 보고 확인해 보세요.

현재 수많은 종류의 랜섬웨어가 있지만 가장 활발하게 그리고 많은 피해를 보고 있는 것이 매그니베르와 소디노키비 두 종류 입니다. 대부분의 랜섬웨어 감염 증상이 확장자가 변한다는 건 알겠는데 다른 특징이 없는지 어떤 종류에 감염이 되었는지는 어떻게 확인을 해봐야 될까요? 소디노키비 랜섬웨어의 경우는 어떤 특징을 가지고 있을까요? 한번 알아 보도록 하겠습니다. 

 

소디노키비의 경우 가장 큰 특징은 바탕화면이 파란색으로 바뀌고 All of your files are encrypted! Find [바뀐 확장자]-readme.txt and follow instuctions 라는 문구가 있습니다. 버전에 따라 영어만 나오는 경우도 있고 한글과 중국어도 같이 나오는 경우가 있습니다. 그리고 이렇게 바뀌지 않고 그냥 그대로인 경우도 있다고 합니다.

 

대부분 랜섬웨어가 그렇듯 확장자가 바뀌게 되는데 소디노키비의 경우 임의의 [영문+숫자 조합]으로 바뀌게 됩니다. 이 확장자 이름만으로는 확인이 불가능한게 매일 새롭게 생성이 되기 때문에 아무런 정보가 없을 수 있기 때문입니다. 이렇게 [바뀐 확장자]-readme.txt 파일이 생성이 되는데 이걸 확인해봐야 확실하게 알 수 있습니다. 비슷한 확장자 패턴이나 랜섬노트(감염 후 생성되는 파일로 어떻게 하면 되는지 설명해 놓은 문서) 이름을 가진 것도 있어 확인을 하기 전까지는 확답을 할 수 없는게 흠이긴 합니다. 그래도 대부분 영문+숫자 조합 확장자에 [바뀐확장자]-readme.txt 확장자가 있으면 대부분 sodinokibi ransomware라고 보시면 됩니다.

 

소디노키비 랜섬웨어 특징이 바탕화면이 파랗게 변하는게 가장 큰 특징인데 가끔 바탕화면이 변하지 않는게 있는데 이때에는 확장자가 임의의 [영문+숫자]로 바뀌었는지 그리고 [이렇게 바뀐 확장자]-readme.txt 메모장이 생성이 되어 있는지 확인을 해보면 됩니다. 반면 매그니베르의 경우 확장자가 임의의 영문자열로 바뀌고 readme.txt 메모장만 생성이 되는게 특징이라 바로 알아보기 힘들 수 있습니다. 

 

11.29 매그니베르 랜섬웨어에 감염이 되어 변경된 확장자 리스트 

bnidjyo cwlmmrdo duyiwncwl jkajffhh lasxiva lhcevniz ltbqofjb mgbwtzq oesvwwqxb onbnljar pyjqoox qcoocubdg qexslowic urvnrybti vfoalde vjhiovrtj wcnkhycxeb wxrefthcr zuiixwsg 등이 있습니다.