분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 3월 5주차

 

잉카인터넷 대응팀은 2021 3 26일부터 2021 4 1일까지 랜섬웨어 신변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Hanta” 5, 변종 랜섬웨어는 “BlackKingdom” 2건이 발견됐다.

이 중, “BlackKingdom” 랜섬웨어는 MS Exchange Server 취약점을 악용한 1,500개의 웹 셸을 통해 유포되었다. 또한, 새롭게 등장한 “Hades” 랜섬웨어와 “PhoenixLocker” 랜섬웨어는 “WastedLocker” 랜섬웨어로 유명한 Evil Corp 사이버 공격 그룹과 연관이 있는 것으로 추정된다고 밝혔다.

 

[표 1] 2021년 3월 5주차 신 • 변종 랜섬웨어 정리

 

  2021 3 26

    BlackKingdom 랜섬웨어

BlackKingdom” 랜섬웨어와 관련된 1,500개의 웹 셸이 MS Exchange Server 취약점을 악용한 것으로 알려졌다. 해당 랜섬웨어는 확장자를 ".DEMON"으로 바꾸고 “README.TXT"라는 랜섬노트를 생성한다.

2020.12.17 - [랜섬웨어 분석] BlackKingdom 랜섬웨어

 

    Hanta 랜섬웨어

파일명에 ".hanta" 확장자를 추가하고 “how_to_recover.txt"라는 랜섬노트를 생성하는 "Hanta" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 자동실행 레지스트리에 원본 파일을 등록하고, [그림 1]과 같이 바탕화면을 변경한다.

 

 [그림 1] Hanta 랜섬웨어 바탕화면

 

    Hades 랜섬웨어

Evil Corp 사이버 공격 그룹과 연관이 있는 것으로 추정되는 “Hades” 랜섬웨어가 등장했다. 해당 랜섬웨어는 “WastedLocker” 랜섬웨어와 유사하며 64비트 운영체제에서 실행 가능하다. 또한, 확장자를 ". gn9cj"으로 바꾸고 “HOW-TO-DECRYPT-gn9cj.txt"라는 랜섬노트를 생성한다.

 

    PhoenixLocker 랜섬웨어

Evil Corp 사이버 공격 그룹과 연관이 있는 것으로 추정되는 “PhoenixLocker” 랜섬웨어가 새롭게 등장했다. 해당 랜섬웨어는 확장자를 ". phoenix"으로 바꾸고 “PHOENIX-HELP.txt"라는 랜섬노트를 생성한다.

 [그림 2] PhoenixLocker 랜섬웨어 랜섬노트

 

  2021 3 31

    Bagli 랜섬웨어

파일명에 ".bagli" 확장자를 추가하고 “out.txt"라는 랜섬노트를 생성하는 "Bagli" 랜섬웨어가 발견됐다.

 

    Stop 랜섬웨어

파일명에 ".ytbn" 확장자를 추가하고 “_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다.

2019.01.15 - [랜섬웨어 분석]12월 랜섬웨어 동향 및 Stop 랜섬웨어

 

    Friday 랜섬웨어

파일명에 확장자를 변경하지 않고 “FridayProject0"라는 이름의 윈도우 창을 띄우는 "Friday" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 프로세스를 제외한 다수의 프로세스를 종료한다.

 

[그림 3] Friday 랜섬웨어 랜섬노트

 

 

 

댓글

댓글쓰기