분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 6월 1주차

잉카인터넷 대응팀은 2021528일부터 202163일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 TeslaRVNG2 3, 변종 랜섬웨어는 Matrix 1건이 발견됐다.

이 중, Microsoft Exchange 서버의 취약점을 악용하고 다수의 파워셸 스크립트를 활용하는 Epsilon Red 랜섬웨어가 발견됐다.

 

[표 1] 2021년 6월 1주차 신•변종 랜섬웨어 정리

 

 

2021528

TeslaRVNG2 랜섬웨어

파일명에 .id[사용자 ID].[공격자 메일].[파일명].tesla 확장자를 추가하고 TeslaRVNG2.hta라는 랜섬노트를 생성하는 TeslaRVNG2 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 1] TeslaRVNG2 랜섬웨어 랜섬노트

 

20215 29

Matrix 랜섬웨어

파일명에 [공격자 메일].랜덤문자열-랜덤문자열.MMTA 확장자를 추가하고 #MMTA_README#.rtf라는 랜섬노트를 생성하는 Matrix 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕화면 배경을 변경하며 시스템 복원을 무력화한다.

 

[그림 2] Matrix 랜섬웨어 랜섬노트

 

20215 30

Stop 랜섬웨어

파일명에 .pass 확장자를 추가하고 _readme.txt라는 랜섬노트를 생성하는 Stop 랜섬웨어의 변종이 발견됐다

 

20215 31

Kelly 랜섬웨어

파일명에 .locky 확장자를 추가하고 [그림 3]의 랜섬노트를 생성하는 Kelly 랜섬웨어가 발견됐다

 

[그림 3] Kelly 랜섬웨어 랜섬노트

 

Epsilon Red 랜섬웨어

파일명에 .epsilonred 확장자를 추가하는 Epsilon Red 랜섬웨어가 발견됐다. 해당 랜섬웨어는 Golang으로 작성됐으며, 다수의 파워셸 스크립트를 사용해 시스템 복원 무력화, 작업 스케줄러 등록 등을 수행한다.

 

20216 1

SplinterJoke 랜섬웨어

파일명에 .SplinterJoke 확장자를 추가하고 ransom_note.txt라는 랜섬노트를 생성하는 SplinterJoke 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 바탕화면을 변경한다.

 

[그림 4] SplinterJoke 랜섬웨어 바탕화면 변경

 

20216 3

TaRRak 랜섬웨어

파일명에 .TaRRaK 확장자를 추가하고 Note fom TaRRaK.txt라는 랜섬노트를 생성하는 TaRRak 랜섬웨어가 발견됐다. 해당 랜섬웨어는 자동실행 되도록 레지스트리를 등록하고 사용자 계정 컨트롤을 무력화한다. 또한, 아이콘과 바탕화면 배경을 변경한다.

 

[그림 5] TaRRak 랜섬웨어 바탕화면 변경

 

 

 

 

 

댓글

댓글쓰기