[주간 랜섬웨어 동향] – 7월 2주차

잉카인터넷 대응팀은 2021년 7월 9일부터 2021년 7월 15일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Artis” 외 5건, 변종 랜섬웨어는 “Phobos” 외 4건이 발견됐다.

 

[표 1] 2021년 7월 2주차 신•변종 랜섬웨어 정리

 

2021년 7월 9일

Artis 랜섬웨어

파일명에 “.artis” 확장자를 추가하고 “How to decrypt files.txt”라는 랜섬노트를 생성하는 “Artis” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 1] Artis 랜섬웨어 랜섬노트

 

CovidLocker 랜섬웨어

파일명에 “.covid” 확장자를 추가하고 “How_To_Recover.mht”라는 랜섬노트를 생성하는 “CovidLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 2] CovidLocker 랜섬웨어 랜섬노트

 

2021년 7월 10일

InHorseWetRust 랜섬웨어

파일명에 “.sgINHORSEWETRUST” 확장자를 추가하고 “#Decrypt#.txt”라는 랜섬노트를 생성하는 “InHorseWetRust” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 3] InHorseWetRust 랜섬웨어 랜섬노트

 

2021년 7월 11일

Phobos 랜섬웨어

파일명에 “.id[사용자 ID].[ICQ_SAFEPLACE].LOWPRICE” 확장자를 추가하고 [그림 4]의 랜섬노트를 생성하는 “Phobos” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 4] Phobos 랜섬웨어 랜섬노트

 

2021년 7월 12일

Povlsomware 랜섬웨어

암호화한 파일명을 변경하지 않고 [그림 5]의 랜섬노트를 생성하는 “Povlsomware” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 자동실행 하도록 레지스트리를 등록하고, 시스템 복원을 무력화한다.

 

[그림 5] Povlsomware 랜섬웨어 랜섬노트

 

2021년 7월 13일

Cypress 랜섬웨어

파일명에 “.cypress” 확장자를 추가하고 [그림 6]의 랜섬노트를 생성하는 “Cypress” 랜섬웨어가 발견됐다.

 

[그림 6] Cypress 랜섬웨어 랜섬노트

 

Stop 랜섬웨어

파일명에 “.wwka” 확장자를 추가하고 “_readme.txt”라는 랜섬노트를 생성하는 “Stop” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.

 

2021년 7월 14일

Chaos 랜섬웨어

파일명에 “.teddy” 확장자를 추가하고 “read_it.txt”라는 랜섬노트를 생성하는 “Chaos” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 7] Chaos 랜섬웨어 랜섬노트

 

2021년 7월 15일

LockBit 랜섬웨어

파일명에 “.lockbit” 확장자를 추가하고 “Restore-My-Files.txt”라는 랜섬노트를 생성하는 “LockBit” 랜섬웨어의 변종이 발견됐다.

 

[그림 8] LockBit 랜섬웨어 랜섬노트

 

Mini 랜섬웨어

파일명에 “.maya” 확장자를 추가하고 “READ_ME.txt”라는 랜섬노트를 생성하는 “Mini” 랜섬웨어가 발견됐다.

 

[그림 9] Mini 랜섬웨어 랜섬노트

 

XiaoBa 랜섬웨어

파일명에 “.[공겨자 메일].XiaoBa” 확장자를 추가하고 [그림 10]의 랜섬노트를 생성하는 “XiaoBa” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고, 바탕 화면 배경을 변경한다.

 

[그림 10] XiaoBa 랜섬웨어 랜섬노트