잉카인터넷 시큐리티대응센터 블로그

‘Magniber’ 랜섬웨어 재등장 감염 주의 1. 개요 지난해 등장해서 파일 암호화를 수행하던 Magniber 랜섬웨어가 올해 6월 다시 등장해 활동을 시작했다. 해당 랜섬웨어는 MyRansom 이라고도 불리며, 한국어 환경의 운영체제에서만 파일 암호화를 수행하기 때문에 국내 사용자들의 각별한 주의가 요구되고 있다. 이번 보고서에서는 지난해 등장했던 Magniber 랜섬웨어와 비교했을 때 변화된 내용에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].dll 파일크기 82,944 byte 진단명 Trojan/W32.Inject.82944.U 악성동작 파일 암호화 2-2. Magniber 이전 버전 분석 정보 지난해 등장했던 Magniber 랜섬웨어와 비교했..

오프라인 환경에서 암호화하는 GandCrab 4 버전 감염 주의 1. 개요 올해 상반기에 유행했던 GandCrab 랜섬웨어가 버전 4로 업그레이드되어 돌아왔다. 많은 부분이 이전 버전과 동일하지만, C&C 서버와 통신을 시도하지 않고 암호화 과정을 진행한다는 점에서 차이가 있다. 이로 인해 오프라인이나 폐쇄된 네트워크 환경에서도 곧바로 암호화가 진행되기 때문에 주의가 필요하다. 이번 보고서에서는 GandCrab 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 210,432 byte 진단명 Ransom/W32.GandCrab.210432 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 해당..

Crybrazil Ransomware 감염 주의 1. 개요 본 보고서에서 다루게 될 'Crybrazil Ransomware' 는 파일 암호화 동작을 수행한다. 정확한 유포경로는 밝혀지지 않았으며, 해외의 한 보안연구원에 의해 발견됐다. 해당 랜섬웨어는 'Ransomware' 오픈 소스인 'HiddenTear' 를 기반으로 작성되었으며, 감염된 PC 의 바탕화면을 즐겁게 웃는 광대 이미지로 변경하여 사용자에게 감염된 사실을 통보한다. 이번 보고서에서는 오픈소스 기반의 'Crybrazil Ransomware' 에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 222,720 byte 진단명 Ransom/W32.HiddenTear.222720 악..

Rotor 랜섬웨어 변종 감염 주의 1. 개요 최근 Rotor 또는 RotorCrypt라고 불리는 랜섬웨어의 변종이 나타나 유포되고 있다. 기존의 Rotor 랜섬웨어는 공격자와 접촉할 수 있는 이메일 주소를 암호화 파일 확장자로 사용해왔다. 하지만 이번에 유포된 변종은 파일 확장자를 바꾸지 않은 채 암호화를 진행하여 사용자가 감염 사실을 알아차리기 어렵게 한다. 이번 보고서에서는 Rotor 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 71,168 bytes 진단명 Ransom/W32.Rotor.71168 악성 동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지..