잉카인터넷 대응팀은 2021년 5월 14일부터 2021년 5월 20일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Sick” 외 3건, 변종 랜섬웨어는 “Nefilim” 외 3건이 발견됐다.
이 중, 연결된 네트워크를 감염할 수 있는 기능이 추가된 “MountLocker” 랜섬웨어가 발견됐고, 미 당국이 “DarkSide” 랜섬웨어 조직의 자원을 모두 압수해 해당 조직의 운영이 중단됐다.
2021년 5월 14일
Nefilim 랜섬웨어
파일명에 “.NEFILIM“ 확장자를 추가하고 “NEFILIM-HELP.txt"라는 랜섬노트를 생성하는 "Nefilim" 랜섬웨어의 변종이 발견됐다.
2020.03.27 - [랜섬웨어 분석] Nefilim 랜섬웨어
2021년 5월 17일
DarkSide 랜섬웨어
미 당국에 의해 DarkSide 랜섬웨어 조직의 운영이 중단되고 데이터 유출 사이트, 결제 서버 및 CDN 서버가 모두 압수 당했다. 미 당국에서 랜섬웨어 관련 내용을 발표한 다음날 REvil 랜섬웨어 측은 해킹 포럼을 통해 DarkSide 랜섬웨어 측의 운영 중단을 알렸다.
2020.08.14 - [랜섬웨어 분석] DarkSide 랜섬웨어
Sick 랜섬웨어
파일명에 ".sick” 확장자를 추가하고 “HELP.txt”라는 랜섬노트를 생성하는 "Sick" 랜섬웨어가 발견됐다.
Venus 랜섬웨어
파일명에 ".venus” 확장자를 추가하고 [그림 2]와 같이 바탕화면을 변경하는 “Venus” 랜섬웨어가 발견됐다. 해당 랜섬웨어에 감염되면 특정 프로세스의 실행이 차단되고, 바탕화면을 변경해 감염 사실을 알린다.
VashSorena 랜섬웨어
파일명에 “.Email=[공격자 이메일]ID=[임의의 문자열]” 확장자를 추가하고 “Decrypt_files.txt"라는 랜섬노트를 생성하는 "VashSorena" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 Go 언어로 작성됐으며, 원활한 감염을 위해 특정 서비스와 프로세스를 종료하고 파일을 암호화 한 뒤 아이콘을 변경한다.
2020.11.30 - [랜섬웨어 분석] Vash Sorena 랜섬웨어
2021년 5월 18일
Prometheus 랜섬웨어
파일명에 ".[3자리 숫자 - 3자리 영문 숫자값 - 4자리 영문 숫자값]” 확장자를 추가하고 “RESTORE_FILES_INFO.hta”라는 랜섬노트를 생성하는 "Prometheus" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스와 프로세스를 종료 및 차단한다.
Dharma 랜섬웨어
파일명에 “.[decryptmyfiles.top].사용자 ID“ 확장자를 추가하고 [그림 5]의 랜섬노트를 실행하는 "Dharma" 랜섬웨어의 변종이 발견됐다.
2020.03.05 - [랜섬웨어 분석] Dharma 랜섬웨어
2021년 5월 19일
Matryoshka 랜섬웨어
파일명에 ".matryoshka” 확장자를 추가하고 [그림 6]의 랜섬노트를 실행하는 “Matryoshka” 랜섬웨어가 발견됐다.
2021년 5월 20일
MountLocker 랜섬웨어
웜 공격 기능이 추가된 MountLocker 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 파일명에 ".ReadManual.사용자ID” 확장자를 추가하고 “RecoveryManual.html“이라는 랜섬노트를 생성하며 시스템 복원을 무력화한다.
2020.11.25 - [랜섬웨어 분석] MountLocker 랜섬웨어
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| 웜 기능이 추가된 MountLocker 랜섬웨어 (0) | 2021.05.28 |
|---|---|
| [주간 랜섬웨어 동향] – 5월 4주차 (0) | 2021.05.27 |
| [주간 랜섬웨어 동향] – 5월 2주차 (0) | 2021.05.13 |
| [주간 랜섬웨어 동향] – 5월 1주차 (0) | 2021.05.07 |
| [주간 랜섬웨어 동향] – 4월 4주차 (0) | 2021.04.30 |