잉카인터넷 시큐리티대응센터 블로그

[주의] 네트워크를 통해 전파되는 Petya 변종 랜섬웨어 1. 개요 현지시간 기준 6월 27일부터 우크라이나를 비롯한 유럽 일부국가를 중심으로 ‘Petya 변종 랜섬웨어’에 의한 대규모 감염이 일어나고 있다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 벨기에, 브라질, 독일, 미국 등이다. 또한, 단순히 금전적인 이득이 목적이 아니라, 사이버 공격무기로 사용되었을 가능성도 있어 문제가 되고 있다. 2016년부터 발견 되었던 이전의 ‘petya 랜섬웨어’와 달리 네트워크 전파 기능이 추가되어 있어 많은 피해를 일으키고 있다. 네트워크 전파에 사용되고 있는 취약점은 최근 세계적인 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어에서 사용된 것과 동일한 SMB 취약점 (MS17-010) 이다. ..

‘Erebus 랜섬웨어’ 변종, 이젠 리눅스 서버도 안전하지 않다 1. 개요 지난 5월 윈도우 운영체제를 대상으로 공격을 감행하여 혼란을 야기하였던 ‘WannaCry’ 랜섬웨어가 화제라면 이번 6월의 주요 화제는 리눅스 서버를 대상으로 공격을 시도한 ‘Erebus’ 랜섬웨어 이다. ‘Erebus’ 랜섬웨어는 리눅스에서 감염 되기 이전부터 윈도우에서 주로 활동하던 랜섬웨어였다. 윈도우에서 공격을 하였던 시기에는 피해자가 개개인이었던 반면 이번에는 국내 유명 웹 호스팅 업체의 서버를 대상으로 시도하여 그 피해 사례가 상당한 것으로 알려지고 있다. 타 랜섬웨어들이 윈도우에서 주로 암호화를 수행하였기 때문에, 다른 운영체제를 사용하는 사용자 입장에선 평소 안심하고 생활했을 것이라 여긴다. 이번 사건을 계기로 윈..

전 세계를 공포에 떨게 한 ‘WannaCryptor 랜섬웨어’ 분석 1. 개요 지난 5월 전 세계를 동시다발적으로 혼란상태로 빠지게 만든 ‘WannaCryptor’ 랜섬웨어가 가장 큰 이슈의 도마 위에 오르게 되었다. 랜섬웨어로 인한 피해사례는 과거부터 수차례 언급되었지만 이번 공격처럼 전 세계적으로 짧은 시간에 빠르게 유포된 사례는 없었다. 기존 여타 랜섬웨어 같은 경우 출처가 불분명한 이메일 첨부파일이나 취약한 웹사이트 접속 시 감염되었는 데 반해, 해당 랜섬웨어는 Windows 취약점 SMB 프로토콜을 이용한 확산형 웜 형태로 네트워크를 통해서 유포되었기 때문에 피해 사례가 급속도로 늘어난 것으로 추정된다. Windows SMB 취약점은 이미 Microsoft에서 3월에 패치를 통해 해결된 상태이기..

피해자를 가해자로, PopcornTime 랜섬웨어 분석 1. 개요 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 사용자에게 금전을 요구하는 악성 프로그램을 말한다. 대부분의 랜섬웨어는 사용자의 파일을 암호화한 뒤 비트코인을 보내면 복호화를 해준다며 금전을 요구하는데 최근 복호화 방법으로 비트코인 지불 외에 다른 방법을 거론하는 ‘PopcornTime’ 랜섬웨어가 발견되었다. PopcornTime 랜섬웨어는 파일을 복호화 하기 위해 타 랜섬웨어와 같이 비트코인을 요구하지만 또 다른 복호화 방법을 사용자에게 알려준다. 그 방법은 랜섬웨어 피해자가 랜섬웨어를 유포하게 만드는 것이다. 랜섬웨어 감염자에게 무료 복호화 방안으로 본인을 제외한 다른 이 2명을 감염시키고 비트코인을..

부팅 막는 랜섬웨어, Petya의 변종 GoldenEye 1. 개요 2016년 3월 MBR 영역을 변조하여 PC 부팅 시 해골 화면을 띄우는 랜섬웨어인 Petya 가 모습을 드러냈다. 이 랜섬웨어에 감염되면 MBR 이 변조 되는 것뿐만 아니라 MFT 까지 암호화를 진행하여 사용자가 PC 를 사용할 수 없도록 한 뒤 비트코인을 요구하였다. 5월에는 Petya가 Micha 와 함께 다시 나타나 MBR 뿐만 아니라 사용자의 파일까지 암호화 시키는 동작을 수행하였다.최근 Petya 랜섬웨어의 새로운 변종이 새로이 유포되고 있는 것이 확인되었다. 랜섬웨어에 감염된 사용자 PC 화면에 노란해골 화면을 띄우는 GoldenEye 랜섬웨어를 본 보고서에서 다루고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명G..

영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 1. 개요 2015년 랜섬웨어가 확산된 시점부터 지금까지 신,변종의 랜섬웨어가 계속해서 등장하고 있으며, 랜섬웨어는 점차 현대 트렌드를 반영한 형태로 나타나기 시작했다. 모바일 게임인 Pokemon Go 가 출시 된 후, 그에 따른 PokemonGo 랜섬웨어가 나타났고, 미국 드라마 Mr.Robot 이 방송함에 따라 드라마 속 집단의 이름을 모방한 Fsociety 랜섬웨어가 나타났다. 이처럼 현대 트렌드를 반영한 랜섬웨어가 점차 많이 발견되고 있으므로, 이번 분석보고서에서는 영화 ‘더 퍼지’를 모티브로 한 Globe 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 trump.exe (임의의 파일명) 파일크기 155,6..

Hades Locker로 돌아온 WildFire 랜섬웨어 1. 개요 이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 update.exe 파일크기 510,026 byte 진단명 Ransom/W32.Hades.510026 ..

한국어 지원 Princess 랜섬웨어 분석 1. 개요 최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 nvsvc32.exe 파일크기 403,968 byte 진단명 Ransom/W32.Princess.403968 악성동작 파일 암호화 네트워크 4*****f*****3**m.onion.link – 공격자 서버 2-2...

지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 분석 1. 개요 일반적으로 랜섬웨어는 .ppt, .doc, .txt 와 같은 문서 파일의 확장자를 대상으로 한다. 이번에 분석한 Nullbyte 랜섬웨어는 파일 확장자를 기준으로 암호화 대상을 찾지 않고, 공격자가 지정한 경로의 모든 파일을 암호화 한다. 따라서, 주요 문서 파일의 암호화 뿐만 아니라 응용프로그램도 암호화하며, 확장자가 없는 파일 또한 암호화가 된다. 이렇듯 무차별적으로 파일을 암호화하는 Nullbyte 랜섬웨어에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보구분내용파일명encasvc.exe파일크기456,192 byte진단명Ransom/W32.Agent.456192악성동작파일 암호화네트워크31.***.***.116 2-2...

DLL 파일로 돌아온 Locky 랜섬웨어 주의 1. 개요 지난 8월 Locky의 변종인 Zepto가 유포되어 사용자를 위협했다. Zepto는 이메일에 첨부된 오피스 매크로를 통해 실행되어 파일을 암호화했으나, 최근 매크로가 아닌 다른 방식을 사용하는 새로운 변종이 발견되었다. 이 신규 변종은 자바스크립트를 통해 랜섬웨어 본체인 DLL 파일을 다운받고 실행시키는 특징을 보인다. 이번 보고서에서는 DLL 파일로 동작하는 변종 Locky 에 대하여 알아본다. *참고. Locky의 변종, Zepto 랜섬웨어 주의 보고서 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 locky.js (임의의 파일명) 파일크기 88,107 byte 진단명 Script/W32.Locky 악성동작 랜섬웨어 다운로더 네트워크 2..