잉카인터넷 대응팀은 2021년 3월 5일부터 2021년 3월 11일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Hog” 외 6건, 변종 랜섬웨어는 “Makop” 외 5건이 발견됐다.
이 중, “Sarbloh” 랜섬웨어는 “2020년 인도 농업법”에 반대하는 세력이 유포했다고 추정되고, “DearCry” 랜섬웨어는 지난 메인 이슈였던 Microsoft Exchange Server 취약점을 악용하여 유포됐다.
2021년 3월 5일
Hog 랜섬웨어
“Hog” 랜섬웨어는 디스코드 사용자를 대상으로 파일을 암호화한다. 해당 랜섬웨어는 확장자를 ". hog"로 바꾸고, " DECRYPT-MY-FILES.exe" 라는 이름의 랜섬노트를 생성한다.
2021.03.17 - [최신 보안 동향] - 디스코드를 악용하는 악성코드
BleachGap 랜섬웨어
“BleachGap” 랜섬웨어는 디스코드 웹훅을 이용하여 감염된 PC에서 수집된 정보를 탈취한다. 해당 랜섬웨어는 확장자를 ".lck " 확장자를 바꾸고, " Pay2Decrypt.txt "라는 랜섬노트를 생성한다.
2021년 3월 6일
Makop 랜섬웨어
파일명에 ".vassago" 확장자를 추가하고 "readme-warning.txt"라는 랜섬노트를 생성하는 "Makop" 랜섬웨어 변종이 발견됐다.
2020.04.29 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] Makop 랜섬웨어
Sodinokibi (REvil) 랜섬웨어
Sodinokibi 랜섬웨어 운영진이 DDoS 공격과 VOIP 전화를 사용하여 랜섬머니를 지불하도록 요구하기 시작했다. 해당 랜섬웨어는 시스템 복원을 무력화하고 감염 로그 파일 생성 및 바탕화면을 변경한다.
2019.05.17 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석]견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의
2021년 3월 6일
MedusaLocker 랜섬웨어
파일명에 ".1btc" 확장자를 추가하고 "!!!HOW_TO_DECRYPT!!!.mht"라는 랜섬노트를 생성하는 "MedusaLocker" 랜섬웨어 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
2019.10.31 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] MedusaLocker 랜섬웨어 분석
2021년 3월 8일
Matrix 랜섬웨어
파일명에 "JDPR" 확장자를 추가하고 "JDPR_README.rtf"라는 랜섬노트를 생성하는 "Matrix" 랜섬웨어 변종이 발견됐다. 해당 랜섬웨어는 바탕화면을 변경한다.
2021.01.25 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] Matrix 랜섬웨어
Steel 랜섬웨어
확장자를 무작위 문자열로 생성하며, 'HOW_TO_RESTORE_FILES.txt"라는 랜섬노트를 생성하는 "Steel" 랜섬웨어가 발견됐다.
Sarbloh 랜섬웨어
"Sarbloh" 랜섬웨어는 랜섬머니를 요구하지 않고, 인도 농업 법안 철회를 요구하는 메시지를 전하는 새로운 시위 방법으로 등장했다. 해당 랜섬웨어는 확장자를 ".sarbloh"로 바꾸고, "README_SARBLOH.txt" 라는 이름의 랜섬노트를 생성한다. 또한, 볼륨 섀도우 복사본을 삭제하여 복구를 무력화한다.
2021.03.12 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] Sarbloh 랜섬웨어
2021년 3월 9일
Gopher 랜섬웨어
파일명에 ".gopher" 확장자를 추가하고 "BAD_GOPHER.txt"라는 랜섬노트를 생성하는 "Gopher" 랜섬웨어가 발견됐다.해당 랜섬웨어는 [그림 4]와 같이 바탕화면을 변경하고 시스템 복원을 무력화한다.
Avaddon 랜섬웨어
Avaddon 랜섬웨어 운영진이 2.0 버전을 출시하며 DDoS 공격을 통한 위협 전략에 참여했다고 알렸다. 해당 랜섬웨어는 확장자를 ".avdn"로 바꾸고, "[랜덤 숫자]-readme.html.txt" 라는 이름의 랜섬노트를 생성한다.
2020.06.11 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] Avaddon 랜섬웨어
2021년 3월 11일
Stealed 랜섬웨어
파일명에 ".stealed" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Stealed" 랜섬웨어가 발견됐다. 해당랜섬웨어는 볼륨 섀도우 복사본을 삭제하여 시스템 복원을 무력화한다.
DarkSide 랜섬웨어
"DarkSide" 랜섬웨어 운영진은 암호화 속도가 증가한 2.0 버전을 출시했다고 발표했다. 해당 랜섬웨어는 확장자에 무작위의 문자열을 추가하고, "README.[확장자].txt" 라는 이름의 랜섬노트를 생성한다.
2020.08.14 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] DarkSide 랜섬웨어
DearCry 랜섬웨어
"DearCry" 랜섬웨어는 최근 MS Exchange Server 취약점을 악용한 악성코드를 통해 유포되기 시작했다. 해당 랜섬웨어는 확장자를 ".CRYPT"를 추가하고, "readme.txt" 라는 이름의 랜섬노트를 생성한다.
2021.03.16 - [최신 보안 동향] - MS Exchange Server 취약점을 악용한 사이버 공격 발견
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| 추가 악성코드를 실행하는 랜섬웨어 (0) | 2021.03.24 |
|---|---|
| [주간 랜섬웨어 동향] – 3월 3주차 (0) | 2021.03.22 |
| [랜섬웨어 분석] Sarbloh 랜섬웨어 (0) | 2021.03.12 |
| [랜섬웨어 분석] HelloKitty 랜섬웨어 (0) | 2021.03.11 |
| [랜섬웨어 분석] HelloKitty 랜섬웨어 (0) | 2021.02.25 |