2018/05 6

[랜섬웨어 분석]Sigrun 랜섬웨어 감염 주의

Sigrun 랜섬웨어 감염 주의 1. 개요 GandCrab 랜섬웨어가 활발히 유포되어 많은 사용자들의 피해가 속출하고 있다. 랜섬웨어에 대한 각별한 주의가 요해지고 있는 최근, 해외에서 유포되기 시작하여 국내에도 피해사례가 발생되고 있는 Sigrun 랜섬웨어가 등장하였다. 추후 버전업의 여지가 있어 보이는 Sigrun 랜섬웨어를 이번 분석 보고서에서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 48,640 byte 진단명 Ransom/W32.Sigrun.48640 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았으나, 이메일 등을 통해 국내의 불특정 다수를 대상으로 유포 되고 있는 것으로 추정된다. 2-3. 실행 과정 ..

[악성코드 분석] BlackHeart Ransomware 주의

BlackHeart Ransomware 주의 1. 개요 본 보고서에서 다루게 될 ‘BlackHeart Ransomware’ 는 주요 목적인 파일 암호화를 성공적으로 하기 위해, 정상적으로 사용되는 프로그램을 패키지로 묶어 함께 배포하고 있다. 함께 배포되는 정상프로그램은 원격 접속 프로그램으로 해당 랜섬웨어가 실행될 때 함께 실행되어, 사용자의 이목을 끄는 역할로 보여진다. 이번 보고서에서는 ‘BlackHeart Ransomware’ 는 어떤 동작을 수행하는지 간략하게 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 2,102,784 byte 진단명 Trojan/W32.HackTool.2102784 악성동작 악성파일 드롭 구분 내용 파일명 BLAC..

진화하는 GandCrab 랜섬웨어, 초기 버전부터 변화과정

진화하는 GandCrab 랜섬웨어, 초기 버전부터 변화과정 1. 개요 최근 입사지원서나 교통범칙금으로 위장한 랜섬웨어가 대규모로 유포 되어 이용자들의 피해가 속출하고 있다. 악성 URL 링크를 첨부하고 악성 압축파일을 내려 받도록 유도하는 방식이다. 내려 받은 악성파일에는 자바스크립트(*.js) 파일이 포함되어 있으며, 이 파일을 실행하면 자동으로 랜섬웨어가 사용자 PC에 설치된다. 이 랜섬웨어는 갠드크랩(GandCrab) 이며, 2018년 2월 처음 발견된 후 버전업을 통해 유포 방식부터 감염 방식까지 진화 중 이다. 이번 보고서에는 GandCrab 랜섬웨어의 초기 버전부터 3.0버전까지의 변화된 내용에 대해서 간략하게 알아보고자 한다. 2. 분석 정보 2-1. GandCrab 랜섬웨어의 변화 구분 특..

새롭게 발견된 Spartacus 랜섬웨어 감염 주의

새롭게 발견된 ‘Spartacus’ 랜섬웨어 감염 주의 1. 개요 최근, ‘Spartacus’ 라는 이름의 새로운 랜섬웨어가 발견되었다. 해외 한 보안사이트에 의하면 "Spartacus 랜섬웨어의 코드가 Satyr, Blackheart 랜섬웨어와 거의 동일하다” 고 언급하고 있다. ‘Spartacus’ 랜섬웨어는 실행 시 확장자 ‘.Spartacus’를 제외한 모든 확장자를 대상으로 암호화를 시도하며, 별도의 통신은 하지 않고 복호화를 빌미로 가상화폐를 요구한다. 이번 보고서에서는 새롭게 발견된 ‘Spartacus’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명SF.exe파일크기96,768 byte진단명Ransom/W32.Spartacus.96768악성동작파일 암호화..

[월간동향] 2018년 4월 악성코드 통계

2018년 4월 악성코드 통계 악성코드 Top20 2018년4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Backdoor (백도어) 유형이며 총 275,216건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Backdoor/W32.Orcus.9216 Backdoor 275,216 건 2위 Virus/W32.Ramnit.B Virus 53,941건 3위 Trojan-Dropper/W32.Inject.323584.D Trojan 34,677건 4위 Trojan/W32.Agent.534016.BS Trojan..

[악성코드 분석] 네트워크 전파 기능이 추가된 Satan 랜섬웨어 감염 주의

네트워크 전파 기능이 추가된 Satan 랜섬웨어 감염 주의 1. 개요 본 보고서에서 다루게 될 Satan 랜섬웨어는 비전문가도 쉽게 제작할 수 있는 서비스형 랜섬웨어(Ransomware as a Service)이다. 서비스형 랜섬웨어란 요청에 따라 제작 또는 배포된 랜섬웨어를 의미한다. 이번 Satan 랜섬웨어는 파일 암호화뿐만 아니라 이터널 블루(EternalBlue)를 통해 네트워크 전파 기능을 수행하고 있어 각별한 주의가 필요하다.이번 보고서에는 네트워크 전파 기능이 추가된 Satan 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명sts.exe파일크기30,208byte진단명Ransom/W32.Satan.30208악성동작파일 암호화 2-2. 동작 방식이번 Satan..