분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 3월 3주차

잉카인터넷 대응팀은 2021 3 12일부터 2021 3 18일까지 랜섬웨어 신변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “RunExeMemory” 4, 변종 랜섬웨어는 “Dharma” 2건이 발견됐다.

이 중, FBI가 교육 기관을 대상으로 공격하는 “Mespinoza” 랜섬웨어의 활동이 증가했다고 경고했다

 

[표 1] 2021년 3월 3주차 신 • 변종 랜섬웨어 정리

 

  2021 3 13

    Dharma 랜섬웨어

파일명에 ".id-[사용자 ID].[공격자 메일].pirat" 확장자를 추가하고 "FILES ENCRYPTED.txt"라는 랜섬노트를 생성하는 " Dharma" 랜섬웨어의 변종이 발견됐다.

2020.03.05 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] Dharma 랜섬웨어

 

  2021 3 16

    RunExeMemory 랜섬웨어

파일명에 ".[랜덤 6자리 문자열]" 확장자를 추가하고 “Read me, if you want to recover your files.txt"라는 랜섬노트를 생성하는 "RunExeMemory" 랜섬웨어가 발견됐다.

 

[그림 1] RunExeMemory 랜섬웨어 랜섬노트

    Mespinoza 랜섬웨어

FBI가 교육 기관을 대상으로 공격하는 “Mespinoza” 랜섬웨어의 활동이 증가했다고 경고했다. 해당 랜섬웨어는 확장자를 ".pysa"로 바꾸고 “Readme.README"라는 랜섬노트를 생성한다..

2020.01.06 - [동향 리포트/월간 동향 리포트] - 12월 랜섬웨어 동향 및 Mespinoza랜섬웨어 분석보고서

 

  2021 3 17

    NASACry 랜섬웨어

파일명을 "[파일명 Base64].NASACry"로 바꾸고 "READ_TO_DECRYPT.html"라는 랜섬노트를 생성하는 “NASACry” 랜섬웨어가 발견됐다.

 

[그림 2] NASACry 랜섬웨어 랜섬노트

    Maurigo 랜섬웨어

파일명에 ".aulmhwpbpzi" 확장자를 추가하고 “HOW TO RESTORE YOUR FILES.TXT"라는 랜섬노트를 생성하는 "Maurigo" 랜섬웨어가 발견됐다.

 

    YourData 랜섬웨어

파일명에 ".zuadr" 확장자를 추가하고 “RESTORE_FILES_INFO.hta"라는 랜섬노트를 생성하는 "YourData" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 프로세스를 제외한 다수의 프로세스를 종료한다.

 

[그림 3] YourData 랜섬웨어 랜섬노트

 

    Prom 랜섬웨어

파일명에 ".PROM[공격자 메일]" 확장자를 추가하고 “RESTORE_FILES_INFO.hta"라는 랜섬노트를 생성하는 "Prom" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 프로세스를 제외한 다수의 프로세스를 종료한다.

 

    Ryuk 랜섬웨어

파일명에 ".RYK" 확장자를 추가하고 “RyukReadMe.html"라는 랜섬노트를 생성하는 "Ryuk" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 지정된 서비스를 종료한다.

2018.09.20 - [동향 리포트/월간 동향 리포트] - [랜섬웨어 분석]8월 랜섬웨어 동향 및 Ryuk 랜섬웨어

 

 

 

댓글

댓글쓰기