동향 리포트/년간 동향 리포트

2021년 상반기 랜섬웨어 동향

알 수 없는 사용자 2021. 7. 19. 16:06

1. 랜섬웨어 통계

2021년 상반기(1 1 ~ 6 30) 동안 잉카인터넷 대응팀은 랜섬웨어 신변종 현황을 조사하였으며, 상반기에 발견된 신변종 랜섬웨어의 건수는 [그림 1]과 같다. 상반기에는 월 평균 31건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 6월과 4월에 가장 많이 발견됐다.

 

[그림 1] 2021년 상반기 월별 신•변종 랜섬웨어 비교

 

2021년 상반기(1 1 ~ 6 30) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고, 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다.

 

[그림 2] 2021년 상반기 월별 랜섬머니 비교

 

2021년 상반기(1 1 ~ 6 30) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 31%로가장 많았고, 랜섬머니를 요구하지 않는 경우와 모네로(XMR)를 요구하는 경우는 각각 5%2% 비율을 차지했다.

 

[그림 3] 2021년 상반기 랜섬머니 통계

 

2021년 상반기(1 1 ~ 6 30) 동안의 신변종 랜섬웨어는 아래 표와 같고, 신종은 푸른색, 변종은 붉은색으로 표시했다. 이외에 표시된 색상은 상반기 내 신변종이 5건 이상인 랜섬웨어이다.

 

[그림 4] 2021년 상반기 월별 신•변종 랜섬웨어

 

2. /변종 랜섬웨어

1

BabukLocker 랜섬웨어

파일명에 .__NIST_K571__" 확장자를 추가하고 How To Restore Your Files.txt"라는 랜섬노트를 생성하는 " BabukLocker " 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 5] BabukLocker 랜섬웨어 랜섬노트  

 

Judge 랜섬웨어

파일명에 [공격자 메일].judge" 확장자를 추가하고 "info.txt"라는 랜섬노트를 생성하는 Judge 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕 화면 배경을 변경한다.

 

[그림 6] Judge 랜섬웨어 랜섬노트

 

Solaso 랜섬웨어

파일명에 ".solaso" 확장자를 추가하고 _READ_ME_TO_RECOVER_YOUR_FILES.txt"라는 랜섬노트를 생성하는 Solaso 랜섬웨어가 발견됐다.

 

[그림 7] Solaso 랜섬웨어 랜섬노트

 

Sopora 랜섬웨어

파일명에 ".zip" 확장자를 추가하고 " [Persnal Key ].html라는 랜섬노트를 생성하는 Sopora 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 8] Sopora 랜섬웨어 랜섬노트

 

2

Namaste 랜섬웨어

파일명에 "._enc" 확장자를 추가하고 [그림 9]의 랜섬노트를 생성하는 Namaste 랜섬웨어가 발견됐다. 해당 랜섬웨어는 윈도우 기능을 비활성화하고 바탕 화면 배경을 변경한다. 또한, 특정 프로세스 실행을 차단한다.

 

[그림 9] Namaste 랜섬웨어 랜섬노트

 

JCrypt 랜섬웨어

파일명에 ".Jcrypt" 확장자를 추가하고 [그림 10]의 랜섬노트를 생성하는 JCrypt 랜섬웨어가 발견됐다.

 

[그림 10] JCrypt 랜섬웨어 랜섬노트

 

BleachGap 랜섬웨어

파일명에 ".lck" 확장자를 추가하고 "Pay2Decrypt.txt라는 랜섬노트를 생성하는 BleachGap 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고, 윈도우 기능을 비활성화한다.

 

[그림 11] BleachGap 랜섬웨어 랜섬노트

 

Repter 랜섬웨어

파일명에 ".repter" 확장자를 추가하고 HOW TO DECRYPT FILE.hta라는 랜섬노트를 생성하는 Repter 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 작업관리자와 윈도우 디펜더를 비활성화한다. 또한, 작업스케줄러를 등록해 PC를 재부팅 했을 때 실행되도록 설정한다.

 

[그림 12] Repter 랜섬웨어 랜섬노트

 

3

Sarbloh 랜섬웨어

"Sarbloh" 랜섬웨어는 랜섬머니를 요구하지 않고, 인도 농업 법안 철회를 요구하는 메시지를 전하는 새로운 시위 방법으로 등장했다. 해당 랜섬웨어는 확장자를 ".sarbloh"로 바꾸고, "README_SARBLOH.txt" 라는 이름의 랜섬노트를 생성한다. 또한, 볼륨 섀도우 복사본을 삭제하여 복구를 무력화한다.

 

[그림 13] Sarbloh 랜섬웨어 랜섬노트

 

NASACry 랜섬웨어

파일명을 "[파일명 Base64].NASACry"로 바꾸고 "READ_TO_DECRYPT.html"라는 랜섬노트를 생성하는 NASACry 랜섬웨어가 발견됐다.

 

[그림 14] NASACry 랜섬웨어 랜섬노트

 

AIDSNT 랜섬웨어

AIDS_NT_Instructions.txt"라는 랜섬노트를 생성하는 "AIDSNT" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업관리자 등을 사용하지 못하도록 레지스트리를 수정한 후, 20초마다 시스템을 재부팅한다.

 

[그림 15] AIDSNT 랜섬웨어 랜섬노트

 

Hanta 랜섬웨어

파일명에 ".hanta" 확장자를 추가하고 how_to_recover.txt"라는 랜섬노트를 생성하는 "Hanta" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 자동실행 레지스트리에 원본 파일을 등록하고, [그림 16]과 같이 바탕화면을 변경한다.

 

[그림 16] Hanta 랜섬웨어 바탕화면

 

4

Dharma 랜섬웨어

파일명에 .id-[사용자 ID].[공격자 메일].ctpl 확장자를 추가하고 [그림 17]의 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 서비스를 종료하고 시스템 복원을 무력화한다.

                                       

[그림 17] Dharma 랜섬웨어 랜섬노트

 

Gehenna 랜섬웨어

파일명에 .gehenna 확장자를 추가하고 "GEHENNA-README-WARNING.html"라는 랜섬노트를 생성하는 "Gehenna" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행을 차단하고 시스템 복원을 무력화한다.

 

[그림 18] Gehenna 랜섬웨어 랜섬노트

 

Nitro 랜섬웨어

파일명에 .givemenitro 확장자를 추가하고 [그림 19]의 랜섬노트를 띄우는 "Nitro" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 Discord Nitro 서비스 코드를 요구하고, 감염된 사용자의 Discord 토큰을 탈취한다.

 

[그림 19] Nitro 랜섬웨어 랜섬노트

 

Conti 랜섬웨어

파일명에 .ALNBR 확장자를 추가하고 readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 20] Conti 랜섬웨어 랜섬노트

 

5

SunCrypt 랜섬웨어

파일명에 .[랜덤 문자열] 확장자를 추가하고 YOUR_FILES_ARE_ENCRYPTED.HTML"라는 랜섬노트를 생성하는 "SunCrypt" 랜섬웨어의 변종이 발견됐다.

 

[그림 21] SunCrypt 랜섬웨어 랜섬노트

 

FuxSocy 랜섬웨어

파일명에 [랜덤 문자열].fse_[ID] 확장자를 추가하고 [ID]__READ_THIS__[ID].jpg"라는 랜섬노트를 생성하는 "FuxSocy" 랜섬웨어의 변종이 발견됐다.

 

[그림 22] FuxSocy 랜섬웨어 랜섬노트

 

Prometheus 랜섬웨어

파일명에 ".[3자리 숫자 - 3자리 영문 숫자값 - 4자리 영문 숫자값] 확장자를 추가하고 RESTORE_FILES_INFO.hta라는 랜섬노트를 생성하는 "Prometheus" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스와 프로세스를 종료 및 차단한다.

 

[그림 23] Prometheus 랜섬웨어 랜섬노트

 

HiddenTear 랜섬웨어

파일명에 [랜덤 숫자] 확장자를 추가하고 [그림 24]의 랜섬노트를 실행하는 "HiddenTear" 랜섬웨어의 변종이 발견됐다.

 

[그림 24] HiddenTear 랜섬웨어 랜섬노트

 

6

Matrix 랜섬웨어

파일명에 [공격자 메일].랜덤문자열-랜덤문자열.MMTA 확장자를 추가하고 #MMTA_README#.rtf라는 랜섬노트를 생성하는 Matrix 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕화면 배경을 변경하며 시스템 복원을 무력화한다.

 

[그림 25] Matrix 랜섬웨어 랜섬노트

 

Punisher 랜섬웨어

확장자를 변경하지 않고 [그림 26]의 랜섬노트를 실행하는 "Punisher" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행을 차단한다.

 

[그림 26] Punisher 랜섬웨어 랜섬노트

 

Tohnichi 랜섬웨어

파일명에 .tohnichi 확장자를 추가하고 How to decrypt files.txt라는 랜섬노트를 생성하는 Tohnichi 랜섬웨어가 발견됐다.

 

[그림 27] Tohnichi 랜섬웨어 랜섬노트

 

Poteston 랜섬웨어

파일명에 .poteston 확장자를 추가하고 readme.txt라는 랜섬노트를 생성하는 Poteston 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 28] Poteston 랜섬웨어 랜섬노트

 

Delta 랜섬웨어

파일명에 .[Delta][랜덤문자열] 확장자를 추가하고 [그림 29]의 랜섬노트를 생성하는 Delta 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 29] Delta 랜섬웨어 랜섬노트