분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 4월 3주차

 

잉카인터넷 대응팀은 2021 4 16일부터 2021 4 22일까지 랜섬웨어 신변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Wiper” 4, 변종 랜섬웨어는 “Xorist” 2건이 발견됐다.

이 중, 랜섬머니로 Discord Nitro 서비스 코드를 요구하는 “Nitro” 랜섬웨어가 발견됐고, 7zip을 이용해 QNAP 장치를 암호화 하는 “Qlocker” 랜섬웨어가 발견됐다.

 

[표 1] 2021년 4월 3주차 신•변종 랜섬웨어 정리

 

 

2021 4 17

Wiper 랜섬웨어

파일명에 “.id-[ID].[공격자 메일].combo13“ 확장자를 추가하고 “FILES ENCRYPTED.txt"라는 랜섬노트를 생성하는 "Wiper" 랜섬웨어가 발견됐다.

 

Zeoticus 랜섬웨어

파일명에 “[해시 값].[공격자 메일].pandora” 확장자를 추가하고 [그림 1]과 같이 배경화면을 변경하며 “README.html”라는 랜섬노트를 생성하는 "Zeoticus" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스를 종료한다.

          

[그림 1] Zeoticus 랜섬웨어 배경화면

 

[그림 2] Zeoticus 랜섬노트

 

 

2021 4 18

Nitro 랜섬웨어

파일명에 ”.givemenitro” 확장자를 추가하고 [그림 3]의 랜섬노트를 띄우는 "Nitro" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 Discord Nitro 서비스 코드를 요구하고, 감염된 사용자의 Discord 토큰을 탈취한다.

 

[그림 3] Nitro 랜섬웨어 랜섬노트

2021.04.22 - Discord Nitro 월정액 서비스를 요구하는 랜섬웨어 (Nitro 랜섬웨어)

 

2021 4 19

Xorist 랜섬웨어

파일명에 ”.btCry_zip" 확장자를 추가하고 “HOW TO DECRYPT FILES.txt"라는 랜섬노트를 생성하는 "Xorist" 랜섬웨어의 변종이 발견됐다.

2021.02.22 - [랜섬웨어 분석] Xorist 랜섬웨어

 

Suncrypt 랜섬웨어

파일명에 “.[해시 값]“ 확장자를 추가하고 “YOUR_FILES_ARE_ENCRYPTED.HTML"라는 랜섬노트를 생성하는 "Suncrypt" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

 

2021 4 20

Qlocker 랜섬웨어

QNAP 장치를 표적으로 QNAP 장치의 SQL 삽입 취약점인 CVE-2020-36195를 악용하여 암호로 잠긴 7zip 아카이브로 파일을 저장하는 “Qlocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 파일명에 “.7z“ 확장자를 추가하고 “!!!READ_ME.txt"라는 랜섬노트를 생성하며 시스템 복원을 무력화한다.

 

[그림 4] Qlocker 랜섬웨어 랜섬노트

 

2021 4 21

Stonks 랜섬웨어

파일명에 “.NotStonks“ 확장자를 추가하고 [그림 5]의 랜섬노트를 띄우는 "Stonks" 랜섬웨어가 발견됐다.

 

[그림 5] Stonks 랜섬웨어 랜섬노트

 

Nefilim 랜섬웨어

파일명에 “.BENTLEY“ 확장자를 추가하고 “BENTLEY-HELP.txt"라는 랜섬노트를 생성하는 "Nefilim" 랜섬웨어의 변종이 발견됐다.

 

 

 

댓글

댓글쓰기