* 출처는 안랩입니다.
파일이 하나둘 잠기고, 원격 접속 도구마저 멈춘다면 이미 랜섬웨어 감염이 진행된 상태일 수 있다. 최근 확인된 WhiteLock 랜섬웨어는 Windows 환경에서 주요 파일을 암호화한 뒤 랜섬노트를 생성해 금전을 요구한다. 암호화 과정에서 외부 서버와 통신하고, AnyDesk와 TeamViewer 등 원격 접속 도구 관련 서비스를 종료해 피해자의 원격 대응을 방해하는 점이 특징이다. 이번 글에서는 WhiteLock 랜섬웨어의 주요 동작 방식과 랜섬웨어 대응 시 확인해야 할 보안 포인트를 살펴보자.
파일이 하나둘 잠기고, 원격 접속 도구마저 멈춘다면 이미 랜섬웨어 감염이 진행된 상태일 수 있다. 최근 확인된 WhiteLock 랜섬웨어는 Windows 환경에서 주요 파일을 암호화한 뒤 랜섬노트를 생성해 금전을 요구한다. 암호화 과정에서 외부 서버와 통신하고, AnyDesk와 TeamViewer 등 원격 접속 도구 관련 서비스를 종료해 피해자의 원격 대응을 방해하는 점이 특징이다. 이번 글에서는 WhiteLock 랜섬웨어의 주요 동작 방식과 랜섬웨어 대응 시 확인해야 할 보안 포인트를 살펴보자.

WhiteLock은 피해 시스템의 파일을 암호화한 뒤 복호화 대가를 요구하는 전형적인 랜섬웨어다. 암호화된 파일에는 .fbin 확장자가 추가되며, 감염 시스템에는 c0ntact.txt 랜섬노트가 생성된다.
WhiteLock 랜섬노트에서는 피해자에게 제한 시간 내 금전을 지불하도록 요구하며, Tor 기반 협상 페이지 접속 방법과 피해자 식별 정보 입력 절차를 안내한다. 공격자는 복호화 대가를 요구하는 동시에, 기한 내 연락하지 않거나 지불하지 않을 경우 복구가 불가능하다는 식으로 피해자를 압박한다.
WhiteLock은 특정 위협 활동과의 관련성도 언급되고 있다. 일부 보고에서는 정보탈취형 악성코드가 선행 침투에 사용된 뒤 WhiteLock 랜섬웨어가 후속 배포된 사례가 확인되기도 했다. 이처럼 WhiteLock은 단독 실행 파일 형태로만 볼 것이 아니라, 초기 침투 - 정보탈취 - 내부 확산 이후 배포될 수 있는 랜섬웨어 위협으로 이해할 필요가 있다.
따라서 WhiteLock 대응을 위해서는 랜섬웨어 파일 자체에 대한 탐지뿐만 아니라 피싱, 계정 탈취, 원격 접속 악용, 비정상 외부 통신, 내부 확산 정황에 대한 지속적인 모니터링이 필요하다.
1. 분석 내용
1.1 초기 루틴
WhiteLock 랜섬웨어는 실행 시 피해 기기의 MAC 주소를 수집한다. 이후 수집된 MAC 주소는 SHA-256 해시값으로 변환되며, 생성된 해시값은 피해 기기 식별 용도로 외부 서버와의 통신에 사용된다.
* 전체내용은 아래에서 확인하세요.







