분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 3월 2주차

TACHYON & ISARC 2021. 3. 19. 16:29

잉카인터넷 대응팀은 2021 3 5일부터 2021 3 11일까지 랜섬웨어 신변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Hog” 6, 변종 랜섬웨어는 “Makop” 5건이 발견됐다.

이 중, “Sarbloh” 랜섬웨어는 “2020년 인도 농업법에 반대하는 세력이 유포했다고 추정되고, “DearCry” 랜섬웨어는 지난 메인 이슈였던 Microsoft Exchange Server 취약점을 악용하여 유포됐다.

 

[표 1] 2021년 3월 2주차 신•변종 랜섬웨어 정리

 

  2021 3 5

    Hog 랜섬웨어

Hog” 랜섬웨어는 디스코드 사용자를 대상으로 파일을 암호화한다. 해당 랜섬웨어는 확장자를 ". hog"로 바꾸고, " DECRYPT-MY-FILES.exe" 라는 이름의 랜섬노트를 생성한다.

2021.03.17 - [최신 보안 동향] - 디스코드를 악용하는 악성코드

 

    BleachGap 랜섬웨어

BleachGap” 랜섬웨어는 디스코드 웹훅을 이용하여 감염된 PC에서 수집된 정보를 탈취한다. 해당 랜섬웨어는 확장자를 ".lck " 확장자를 바꾸고, " Pay2Decrypt.txt "라는 랜섬노트를 생성한다.

 

  2021 3 6

    Makop 랜섬웨어

파일명에 ".vassago" 확장자를 추가하고 "readme-warning.txt"라는 랜섬노트를 생성하는 "Makop" 랜섬웨어 변종이 발견됐다.

2020.04.29 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] Makop 랜섬웨어

 

    Sodinokibi (REvil) 랜섬웨어

Sodinokibi 랜섬웨어 운영진이 DDoS 공격과 VOIP 전화를 사용하여 랜섬머니를 지불하도록 요구하기 시작했다. 해당 랜섬웨어는 시스템 복원을 무력화하고 감염 로그 파일 생성 및 바탕화면을 변경한다.

2019.05.17 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석]견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의

 

[그림 1] Sodinokibi 랜섬웨어 DDoS 공격 관련 게시글

 

  2021 3 6

    MedusaLocker 랜섬웨어

파일명에 ".1btc" 확장자를 추가하고 "!!!HOW_TO_DECRYPT!!!.mht"라는 랜섬노트를 생성하는 "MedusaLocker" 랜섬웨어 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

2019.10.31 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] MedusaLocker 랜섬웨어 분석

 

  2021 3 8

    Matrix 랜섬웨어

파일명에 "JDPR" 확장자를 추가하고 "JDPR_README.rtf"라는 랜섬노트를 생성하는 "Matrix" 랜섬웨어 변종이 발견됐다. 해당 랜섬웨어는 바탕화면을 변경한다.

2021.01.25 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] Matrix 랜섬웨어

 

    Steel 랜섬웨어

확장자를 무작위 문자열로 생성하며, 'HOW_TO_RESTORE_FILES.txt"라는 랜섬노트를 생성하는 "Steel" 랜섬웨어가 발견됐다.

 

[그림 2] Steel 랜섬웨어 랜섬노트

 

    Sarbloh 랜섬웨어

"Sarbloh" 랜섬웨어는 랜섬머니를 요구하지 않고, 인도 농업 법안 철회를 요구하는 메시지를 전하는 새로운 시위 방법으로 등장했다. 해당 랜섬웨어는 확장자를 ".sarbloh"로 바꾸고, "README_SARBLOH.txt" 라는 이름의 랜섬노트를 생성한다. 또한, 볼륨 섀도우 복사본을 삭제하여 복구를 무력화한다.

2021.03.12 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] Sarbloh 랜섬웨어

 

[그림 3] Sarbloh 랜섬웨어 랜섬노트

 

  2021 3 9

    Gopher 랜섬웨어

파일명에 ".gopher" 확장자를 추가하고 "BAD_GOPHER.txt"라는 랜섬노트를 생성하는 "Gopher" 랜섬웨어가 발견됐다.해당 랜섬웨어는 [그림 4]와 같이 바탕화면을 변경하고 시스템 복원을 무력화한다.

 

[그림 4] Gopher 랜섬웨어 랜섬노트

 

    Avaddon 랜섬웨어

Avaddon 랜섬웨어 운영진이 2.0 버전을 출시하며 DDoS 공격을 통한 위협 전략에 참여했다고 알렸다. 해당 랜섬웨어는 확장자를 ".avdn"로 바꾸고, "[랜덤 숫자]-readme.html.txt" 라는 이름의 랜섬노트를 생성한다.

2020.06.11 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] Avaddon 랜섬웨어

 

[그림 5] Avaddon 랜섬웨어 DDoS 공격 관련 게시글

 

  2021 3 11

    Stealed 랜섬웨어

파일명에 ".stealed" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Stealed" 랜섬웨어가 발견됐다. 해당랜섬웨어는 볼륨 섀도우 복사본을 삭제하여 시스템 복원을 무력화한다.

 

    DarkSide 랜섬웨어

"DarkSide" 랜섬웨어 운영진은 암호화 속도가 증가한 2.0 버전을 출시했다고 발표했다. 해당 랜섬웨어는 확장자에 무작위의 문자열을 추가하고, "README.[확장자].txt" 라는 이름의 랜섬노트를 생성한다.

2020.08.14 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] DarkSide 랜섬웨어

 

[그림 6] DarkSide 랜섬웨어 랜섬노트

 

    DearCry 랜섬웨어

"DearCry" 랜섬웨어는 최근 MS Exchange Server 취약점을 악용한 악성코드를 통해 유포되기 시작했다. 해당 랜섬웨어는 확장자를 ".CRYPT"를 추가하고, "readme.txt" 라는 이름의 랜섬노트를 생성한다.

2021.03.16 - [최신 보안 동향] - MS Exchange Server 취약점을 악용한 사이버 공격 발견