잉카인터넷 대응팀은 2021년 3월 26일부터 2021년 4월 1일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Hanta” 외 5건, 변종 랜섬웨어는 “BlackKingdom” 외 2건이 발견됐다.
이 중, “BlackKingdom” 랜섬웨어는 MS Exchange Server 취약점을 악용한 1,500개의 웹 셸을 통해 유포되었다. 또한, 새롭게 등장한 “Hades” 랜섬웨어와 “PhoenixLocker” 랜섬웨어는 “WastedLocker” 랜섬웨어로 유명한 Evil Corp 사이버 공격 그룹과 연관이 있는 것으로 추정된다고 밝혔다.
2021년 3월 26일
BlackKingdom 랜섬웨어
“BlackKingdom” 랜섬웨어와 관련된 1,500개의 웹 셸이 MS Exchange Server 취약점을 악용한 것으로 알려졌다. 해당 랜섬웨어는 확장자를 ".DEMON"으로 바꾸고 “README.TXT"라는 랜섬노트를 생성한다.
2020.12.17 - [랜섬웨어 분석] BlackKingdom 랜섬웨어
Hanta 랜섬웨어
파일명에 ".hanta" 확장자를 추가하고 “how_to_recover.txt"라는 랜섬노트를 생성하는 "Hanta" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 자동실행 레지스트리에 원본 파일을 등록하고, [그림 1]과 같이 바탕화면을 변경한다.
Hades 랜섬웨어
Evil Corp 사이버 공격 그룹과 연관이 있는 것으로 추정되는 “Hades” 랜섬웨어가 등장했다. 해당 랜섬웨어는 “WastedLocker” 랜섬웨어와 유사하며 64비트 운영체제에서 실행 가능하다. 또한, 확장자를 ". gn9cj"으로 바꾸고 “HOW-TO-DECRYPT-gn9cj.txt"라는 랜섬노트를 생성한다.
PhoenixLocker 랜섬웨어
Evil Corp 사이버 공격 그룹과 연관이 있는 것으로 추정되는 “PhoenixLocker” 랜섬웨어가 새롭게 등장했다. 해당 랜섬웨어는 확장자를 ". phoenix"으로 바꾸고 “PHOENIX-HELP.txt"라는 랜섬노트를 생성한다.
2021년 3월 31일
Bagli 랜섬웨어
파일명에 ".bagli" 확장자를 추가하고 “out.txt"라는 랜섬노트를 생성하는 "Bagli" 랜섬웨어가 발견됐다.
Stop 랜섬웨어
파일명에 ".ytbn" 확장자를 추가하고 “_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다.
2019.01.15 - [랜섬웨어 분석]12월 랜섬웨어 동향 및 Stop 랜섬웨어
Friday 랜섬웨어
파일명에 확장자를 변경하지 않고 “FridayProject0"라는 이름의 윈도우 창을 띄우는 "Friday" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 프로세스를 제외한 다수의 프로세스를 종료한다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| 안전모드에서 감염하는 Sodinokibi 랜섬웨어 변종 (0) | 2021.04.13 |
|---|---|
| [주간 랜섬웨어 동향] – 4월 1주차 (0) | 2021.04.08 |
| [주간 랜섬웨어 동향] – 3월 4주차 (0) | 2021.03.25 |
| 추가 악성코드를 실행하는 랜섬웨어 (0) | 2021.03.24 |
| [주간 랜섬웨어 동향] – 3월 3주차 (0) | 2021.03.22 |