잉카인터넷 대응팀은 2021년 4월 16일부터 2021년 4월 22일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Wiper” 외 4건, 변종 랜섬웨어는 “Xorist” 외 2건이 발견됐다.
이 중, 랜섬머니로 Discord Nitro 서비스 코드를 요구하는 “Nitro” 랜섬웨어가 발견됐고, 7zip을 이용해 QNAP 장치를 암호화 하는 “Qlocker” 랜섬웨어가 발견됐다.
2021년 4월 17일
Wiper 랜섬웨어
파일명에 “.id-[ID].[공격자 메일].combo13“ 확장자를 추가하고 “FILES ENCRYPTED.txt"라는 랜섬노트를 생성하는 "Wiper" 랜섬웨어가 발견됐다.
Zeoticus 랜섬웨어
파일명에 “[해시 값].[공격자 메일].pandora” 확장자를 추가하고 [그림 1]과 같이 배경화면을 변경하며 “README.html”라는 랜섬노트를 생성하는 "Zeoticus" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스를 종료한다.
2021년 4월 18일
Nitro 랜섬웨어
파일명에 ”.givemenitro” 확장자를 추가하고 [그림 3]의 랜섬노트를 띄우는 "Nitro" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 Discord Nitro 서비스 코드를 요구하고, 감염된 사용자의 Discord 토큰을 탈취한다.
2021.04.22 - Discord Nitro 월정액 서비스를 요구하는 랜섬웨어 (Nitro 랜섬웨어)
2021년 4월 19일
Xorist 랜섬웨어
파일명에 ”.btCry_zip" 확장자를 추가하고 “HOW TO DECRYPT FILES.txt"라는 랜섬노트를 생성하는 "Xorist" 랜섬웨어의 변종이 발견됐다.
2021.02.22 - [랜섬웨어 분석] Xorist 랜섬웨어
Suncrypt 랜섬웨어
파일명에 “.[해시 값]“ 확장자를 추가하고 “YOUR_FILES_ARE_ENCRYPTED.HTML"라는 랜섬노트를 생성하는 "Suncrypt" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
2021년 4월 20일
Qlocker 랜섬웨어
QNAP 장치를 표적으로 QNAP 장치의 SQL 삽입 취약점인 CVE-2020-36195를 악용하여 암호로 잠긴 7zip 아카이브로 파일을 저장하는 “Qlocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 파일명에 “.7z“ 확장자를 추가하고 “!!!READ_ME.txt"라는 랜섬노트를 생성하며 시스템 복원을 무력화한다.
2021년 4월 21일
Stonks 랜섬웨어
파일명에 “.NotStonks“ 확장자를 추가하고 [그림 5]의 랜섬노트를 띄우는 "Stonks" 랜섬웨어가 발견됐다.
Nefilim 랜섬웨어
파일명에 “.BENTLEY“ 확장자를 추가하고 “BENTLEY-HELP.txt"라는 랜섬노트를 생성하는 "Nefilim" 랜섬웨어의 변종이 발견됐다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| AstroLocker로 변경된 MountLocker 랜섬웨어 (0) | 2021.04.30 |
|---|---|
| 랜섬 카르텔 분석 보고서 (0) | 2021.04.27 |
| Discord Nitro 월정액 서비스를 요구하는 랜섬웨어 (Nitro 랜섬웨어) (0) | 2021.04.22 |
| [주간 랜섬웨어 동향] – 4월 2주차 (0) | 2021.04.16 |
| 안전모드에서 감염하는 Sodinokibi 랜섬웨어 변종 (0) | 2021.04.13 |