랜섬웨어 분석 76

[랜섬웨어 분석] MyRansom 랜섬웨어

MyRansom 랜섬웨어 주의 최근 PDX 아이콘과 “청년인턴.pdf.exe” 파일명으로 위장한 “MyRansom” 랜섬웨어가 발견되어 사용자의 주의가 필요하다. 해당 파일의 내부에는 정상 pdf 파일(org.pdf)과 MyRansom 랜섬웨어 실행 파일(result.exe)이 존재하며 정상 pdf 파일에는 국토교통부를 사칭한 청년 인턴 합격자 발표 내용이 적혀있다. 사용자가 청년 인턴 관련 내용으로 착각해 “청년인턴.pdf.exe” 파일을 실행할 경우, 정상 pdf 파일과 함께 “MyRansom” 랜섬웨어가 실행된다. 해당 랜섬웨어는 ‘%USERPROFILE%’ 경로에서 아래 [표 1]과 같은 확장자에 대해 파일 암호화를 진행한다. 암호화된 파일은 일반적인 랜섬웨어와 다르게 확장자 변경이 없지만, 파일..

[랜섬웨어 분석]윈도우 취약점 이용하여 권한 상승하는 Sodinokibi 랜섬웨어 감염 주의

윈도우 취약점 이용하여 권한 상승하는 Sodinokibi 랜섬웨어 감염 주의 1. 개요 최근 발견된 Sodinokibi 랜섬웨어는 기존의 랜섬웨어 동작과 다르게 윈도우 취약점(CVE-2018-8453)을 통해 권한을 상승시켜 랜섬 동작을 수행하는 방식을 사용하고 있다. 해당 공격방식은 취약한 시스템에 있어 치명적인 피해를 발생시킬 수 있으며, 공격방식의 변화를 예상할 수 있어 사용자의 각별한 주의가 필요하다. 잉카인터넷에서는 해당 랜섬웨어에 대한 분석 정보를 게시하였다. "견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의" - https://isarc.tachyonlab.com/2306 이번 보고서에서는 윈도우 취약점을 이용하여 권한을 상승시키는 Sodinokibi 랜섬웨어에 대..

[랜섬웨어 분석]바로가기 파일로 위장하여 악성파일 다운로드하는 Cephalo 랜섬웨어 감염 주의

바로가기 파일로 위장하여 악성파일 다운로드하는 Cephalo 랜섬웨어 감염 주의 1. 개요 최근 발견된 Cephalo 랜섬웨어는 바로가기(.lnk) 파일을 정상인 것처럼 위장하여 사용자의 실행을 유도하고 있으며, 실행 시 악성파일을 다운로드 하고 실행하여 악성 동작을 수행하는 방식을 사용하고 있다. 이러한 방식은 사용자로 하여금 의심없이 파일을 실행시킬 수 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다. 이번 보고서에서는 .ceph 감염 확장자를 사용하는 Cephalo 랜섬웨어에 대해 간략하게 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].lnk 파일크키 3,205 bytes 진단명 - 악성 동작 파일 다운로드 구분 내용 파일명 Cep..

[랜섬웨어 분석]RIG Exploit Kit으로 유포되는 Buran 랜섬웨어 감염 주의

RIG Exploit Kit으로 유포되는 Buran 랜섬웨어 감염 주의 1. 개요 최근 Internet Explorer 취약점을 악용해 RIG Exploit Kit 공격으로 유포되는 Buran 랜섬웨어가 발견되었다고 알려진다. RIG Exploit Kit은 주로 Internet Explorer, Adobe Flash Player, Java의 보안 취약점을 악용한 악성코드 유포 도구로 이용되며, 해당 공격 도구를 이용해 사용자 PC에 Buran 랜섬웨어를 다운 및 실행시킬 수 있기 때문에 주의가 필요하다. 이번 보고서에서는 Buran 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크키 796,160 bytes 진단명 Rans..

5월 랜섬웨어 동향 및 Maze 랜섬웨어 분석보고서

5월 랜섬웨어 동향 및 Maze 랜섬웨어 분석보고서 1. 5월 랜섬웨어 동향 2019년 5월(5월 01일 ~ 5월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 학원 관리 시스템 개발업체가 랜섬웨어 공격을 받아 해당 시스템을 이용하는 여러 학원들이 피해를 받았다. 또한, 국내 여러 기업들을 대상으로 메일을 통한 랜섬웨어 유포가 이루어진 사건이 있었고, 해외에서는 미국 볼티모어 시청이 랜섬웨어 공격을 받은 사건이 있었다. 이번 보고서에서는 5월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 5월 등장한 Maze 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 학원 관리 시스템 개발업체 랜섬웨어 피해 사례 5월 11일 새벽, 국내 학원 관리 시스템 개..

[랜섬웨어 분석]공유 폴더 통해 전파되는 GetCrypt 랜섬웨어 주의

공유 폴더 통해 전파되는 GetCrypt 랜섬웨어 주의 1. 개요 최근 공유 폴더를 통해 타 시스템까지 암호화하는 GetCrypt 랜섬웨어가 유포되고 있다. 해당 랜섬웨어는 일반적으로 자주 사용되는 취약한 계정 및 암호 목록을 이용하여 접속 가능한 타 시스템에 접속을 시도한다. 접속에 성공하면 기존 감염 시스템과 마찬가지로 암호화 대상 파일을 암호화한다. 이로 인해 취약한 계정, 암호를 사용하는 네트워크는 피해가 확산될 수 있어 주의가 필요하다. 이번 보고서에서는 GetCrypt 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크키 18,432 bytes 진단명 Ransom/W32.GetCrypt.18432 악성 동작 파일 ..

4월 랜섬웨어 동향 및 BigBobRoss 랜섬웨어 분석보고서

4월 랜섬웨어 동향 및 BigBobRoss 랜섬웨어 분석보고서 1. 4월 랜섬웨어 동향 2019년 4월(4월 01일 ~ 4월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 새롭게 등장한 Sodinokibi 랜섬웨어가 다양한 유포방식을 통해 국내 사용자들에게 피해를 입혔고, 해외에서는 미국 플로리다의 스튜어트시에서 트릭봇과 연계된 랜섬웨어 공격이 있었으며, 미국 노스캐롤라이나 그린빌은 도시 네트워크망이 랜섬웨어 공격을 받아 업무가 마비되는 사건이 있었다. 이번 보고서에서는 4월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 4월 등장한 BogBobRoss 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 Sodinokibi 랜섬웨어 피해 사례 국내에서..

[랜섬웨어 분석]견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의

견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의 1. 개요 최근 견적 요청서와 관련된 메일을 통해 Sodinokibi 랜섬웨어가 유포되고 있다. 첨부된 압축 파일 내부에는 doc 확장자로 위장한 랜섬웨어 실행 파일이 있으며, 사용자가 문서 파일로 착각해 이를 실행하면 랜섬웨어에 감염된다. 이와 같이 이메일의 첨부파일과 이중확장자를 이용한 방법은 GandCrab 랜섬웨어와 흡사한 특징을 갖고 있기 때문에 사용자의 각별한 주의가 필요하다. 이번 보고서에서는 Sodinokibi 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 견적요청.doc.exe 파일크키 667,648 bytes 진단명 Ransom/W32.Sodinokibi 악성..

[랜섬웨어 분석]키릴문자 'Я' 파일을 생성하는 GEFEST 랜섬웨어 감염 주의

키릴문자 'Я' 파일을 생성하는 GEFEST 랜섬웨어 감염 주의 1. 개요 GEFEST 랜섬웨어는 수십 여개의 변종으로 발견되는 Scarab 랜섬웨어 계열의 후속 작으로, 발견 시기마다 암호화 파일 확장자의 변화와 일부 변종에서는 암호화 대상 폴더에 키릴문자 'Я'을 이름으로 한 파일을 생성하는 특징을 발견할 수 있다. 이러한 특징은 GEFEST 랜섬웨어에서도 확인할 수 있으며, 해당 랜섬웨어는 최근 암호화 파일 확장자가 새롭게 변화하여 발견되고 있기 때문에 사용자들의 주의가 필요하다. 이번 보고서에서는 .GFS 감염 확장자를 사용하는 GEFEST 랜섬웨어에 대해 간략하게 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크키 176,128 bytes 진..

[랜섬웨어 분석]모든 파일을 암호화하는 Blind 랜섬웨어 감염 주의

모든 파일을 암호화하는 Blind 랜섬웨어 감염 주의 1. 개요 2017년 하반기에 발견된 Blind 랜섬웨어는 다양한 변종으로 변화하고 있으며, 최근에도 유포되고 있다. Blind 랜섬 웨어는 변종 마다 감염 파일에 덧붙이는 확장자를 변경하고 있는데, 최근에 발견된 버전에서는 .skeleton 이라는 확장자를 사용하고 있다. 해당 랜섬웨어는 수년 간 여러 변종이 발견되고 있으며 최근까지 유포되고 있기 때문에 사용자들의 주의가 필요하다. 이번 보고서에서는 .skeleton감염 확장자를 사용하는 Blind 랜섬웨어에 대해 간략하게 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크키 651,264 bytes 진단명 Ransom/W32.Blind.65126..