분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 6월 3주차

잉카인터넷 대응팀은 2021611일부터 2021617일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Slam" 3, 변종 랜섬웨어는 "Nefilim" 1건이 발견됐다.

 

이 중, 류크 랜섬웨어 빌더로 주장하는 악성 빌더가 발견됐고, "Avaddon" 랜섬웨어 운영진이 운영 중단을 위해 복호화 키를 공개했다. 또한, 러시아어를 사용하는 해킹 포럼에 "Paradise" 랜섬웨어의 소스 코드가 공개됐고, 우크라이나 경찰이 "Clop" 랜섬웨어 운영진을 체포한 사건이 있었다.

 

[표 1] 2021년 6월 3주차 신•변종 랜섬웨어 정리

 

2021611

Slam 랜섬웨어

파일명에 ".SLAM" 확장자를 추가하고 [그림 1]의 랜섬노트를 생성하는 "Slam" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자 실행을 차단한다.

 

[그림 1] Slam 랜섬웨어 랜섬노트

 

Bam 랜섬웨어

파일명에 ".bam!" 확장자를 추가하고 [그림 2]와 같이 바탕화면을 변경하는 "Bam" 랜섬웨어가 발견됐다.

 

[그림 2] Bam 랜섬웨어 랜섬노트

 

20216 12

랜섬웨어 빌더 발견

한 제작자가 러시아어를 사용하는 포럼에 .NET으로 제작한 새로운 랜섬웨어 빌더를 공개했다. 제작자는 해당 빌더를 사용해 "Ryuk" 랜섬웨어를 만들 수 있다고 주장했으나 실제로 "Ryuk" 랜섬웨어와 비교해본 결과 유사점이 발견되지 않았다.

 

[그림 3] 랜섬웨어 빌더

 

ChupaCabra 랜섬웨어

파일명에 ".ChupaCabra" 확장자를 추가하고 "HowToDecrypt.txt"라는 랜섬노트를 생성하는 "ChupaCabra" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 랜섬노트와 동일한 내용이 작성된 팝업창을 추가로 띄운다.

 

[그림 4] ChupaCabra 랜섬웨어 랜섬노트

 

Nefilim 랜섬웨어

파일명에 ".KIANO" 확장자를 추가하고 "KIANO-HELP.txt"라는 랜섬노트를 생성하는 "Nefilim" 랜섬웨어의 변종이 발견됐다.

 

[그림 5] Nefilim 랜섬웨어 랜섬노트

 

20216 13

Stop 랜섬웨어

파일명에 ".qscx" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 실행 파일을 작업 스케줄러에 등록하고, 윈도우 디펜더를 무력화한다.

2019.01.15 - [랜섬웨어 분석]12월 랜섬웨어 동향 및 Stop 랜섬웨어

 

Avaddon 랜섬웨어 운영 중단

"Avaddon" 랜섬웨어 운영진이 운영을 중단하고자 피해자들의 복호화 키를 공개했다. 해당 조직이 공개한 파일에는 총 2,934개의 복호화 키가 포함됐으며, Emsisoft에서 복호화 키 자료를 사용해 "Avaddon" 랜섬웨어 무료 디크립터를 제작 및 배포했다.

 

20216 16

Tohnichi 랜섬웨어

파일명에 ".tohnichi" 확장자를 추가하고 "How to decrypt files.txt"라는 랜섬노트를 생성하는 "Tohnichi" 랜섬웨어가 발견됐다.

 

[그림 6] Tohnichi 랜섬웨어 랜섬노트

 

Paradise 랜섬웨어 소스 코드 공개

"Paradise" 랜섬웨어의 소스 코드가 러시아어를 사용하는 해킹 포럼에 공개됐다. 해당 코드를 컴파일하면 빌더, 랜섬웨어 및 디크립터를 획득할 수 있으며, 빌더에서 사용자 지정 명령 및 제어 서버, 암호화 된 파일 확장자 및 이메일 주소 등을 수정할 수 있다.

2019.11.08 - 10월 랜섬웨어 동향 및 Paradise 랜섬웨어 분석보고서

                            

20216 17

"Clop" 랜섬웨어 운영진 체포 우크라이나 법집행 기관이 "Clop" 랜섬웨어와 관련된 사이버 범죄자들을 체포하고 이들 조직이 운영하던 서버를 폐쇄했다. 하지만 "Clop" 랜섬웨어 운영진 중 핵심 인물은 다른 국가에 거주하고 있을 것으로 추정돼 체포가 되지 않았다고 한다.

 

 

 

댓글

댓글쓰기