분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 6월 5주차

알 수 없는 사용자 2021. 7. 2. 12:54

잉카인터넷 대응팀은 2021625일부터 202171일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 Spyro 6, 변종 랜섬웨어는 WannaCry 2건이 발견됐다.

 

또한, Sodinokibi 랜섬웨어가 NAS 환경에서 실행 가능하도록 제작한 리눅스 버전의 변종이 발견됐다.

 

[표 1] 2021년 6월 5주차  신•변종 랜섬웨어 정리

 

2021625

Spyro 랜섬웨어

파일명에 .[공격자 메일][사용자 ID].Spyro 확장자를 추가하는 Spyro 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템복원을 무력화한다.

 

Mishmash 랜섬웨어

파일명을 .txt 확장자로 변경하고 [그림 1]의 랜섬노트를 생성하는 Mishmash 랜섬웨어가 발견됐다.

 

[그림 1] Mishmash 랜섬웨어 랜섬노트

 

Poliex 랜섬웨어

파일명에 .Poliex 확장자를 추가하고 README.txt라는 랜섬노트를 생성하는 Poliex 랜섬웨어가 발견됐다.

 

[그림 2] Poliex 랜섬웨어 랜섬노트

 

Delta 랜섬웨어

파일명에 .[Delta][랜덤문자열] 확장자를 추가하고 [그림 3]의 랜섬노트를 생성하는 “Delta 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 3] Delta 랜섬웨어 랜섬노트

 

20216 26

Hive 랜섬웨어

파일명에 .[랜덤문자열]_FomU.hive 확장자를 추가하고 HOW_TO_DECRYPT.txt라는 랜섬노트를 생성하는 Hive 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템복원을 무력화하고, 자가 삭제한다.

 

[그림 4] Hive 랜섬웨어 랜섬노트

 

20216 27

F1 랜섬웨어

파일명에 .f1 확장자를 추가하고 f1-HELP.txt라는 랜섬노트를 생성하는 F1 랜섬웨어가 발견됐다.

 

[그림 5] F1 랜섬웨어 랜섬노트

 

20216 28

DEcovid19 랜섬웨어

파일명에 .[랜덤문자열].level1 확장자를 추가하고 ATTENTION!![숫자].txt라는 랜섬노트를 생성하는 DEcovid19 랜섬웨어의 변종이 발견됐다.

 

[그림 6] DEcovid19 랜섬웨어 랜섬노트

 

Sodinokibi 랜섬웨어

Sodinokibi 랜섬웨어 운영진이 Linux 버전의 변종을 공개했다. 해당 변종에는 Vmware ESXi 가상머신을 사용하는 환경에서도 파일 암호화가 가능하도록 기능이 추가됐다.

2021.06.30 - REvil 랜섬웨어 변종 등장

 

20216 29

Crytoy 랜섬웨어

파일명에 cryt0y 확장자를 추가하는 Crytoy 랜섬웨어가 발견됐다.

 

20216 30

NoCry 랜섬웨어

파일명에 .Cry 확장자를 추가하고 How To Decrypt My Files.html이라는 랜섬노트를 생성하는 NoCry 랜섬웨어의 변종이 발견됐다.

 

[그림 7] NoCry 랜섬웨어 랜섬노트

 

20217 1

WannaCry 랜섬웨어

파일명에 wannacry 확장자를 추가하고 @Pleas_Read_Me@.txt라는 랜섬노트를 생성하는 WannaCry 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕 화면 배경을 변경한다.

 

[그림 8] WannaCry 랜섬웨어 랜섬노트