분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] - 8월 2주차

알 수 없는 사용자 2021. 8. 13. 15:08

잉카인터넷 대응팀은 202186일부터 2021812일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 Divinity 2, 변종 랜섬웨어는 Zeppelin 6건이 발견됐다.

금주 랜섬웨어 관련 이슈로는 Conti 랜섬웨어 조직의 교육자료가 계열사에 의해 유출된 이슈가 있었다.

 

[표 1] 2021년 8월 2주차 신•변종 랜섬웨어 정리

 

202186

Conti 랜섬웨어 조직 교육자료 유출

최근 Conti 랜섬웨어 조직의 교육자료가 계열사에 의해 유출됐다. 유출된 정보에는 Cobalt Strike C2 서버의 IP 주소와 랜섬웨어 공격 수행에 필요한 도구 및 교육 자료가 포함됐다.

 

202187

Zeppelin 랜섬웨어

파일명에 .payfast500 .XXX-XXX-XXX 확장자를 추가하고 !!!ALL YOUT FILES ARE ENCRYPTED !!!.txt라는 랜섬노트를 생성하는 Zeppelin 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화 한다.

 

Divinity 랜섬웨어

파일명에 .divinity 확장자를 추가하고 HOW TO DECRYPT FILES.txt라는 랜섬노트를 생성하는 Divinity 랜섬웨어가 발견됐다.

 

[그림 1] Divinity 랜섬웨어 랜섬노트

 

202188

Conti 랜섬웨어

파일명에 .FEALC 확장자를 추가하고 readme.txt라는 랜섬노트를 생성하는 Divinity 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 C2 서버의 연결을 시도한다.

 

[그림 2] Conti 랜섬웨어 랜섬노트

 

MedusaLocker 랜섬웨어

파일명에 .gpay 확장자를 추가하고 README_LOCK.txt라는 랜섬노트를 생성하는 MedusaLocker 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 3] MedusaLocker 랜섬웨어 랜섬노트

 

WannaMad 랜섬웨어

파일을 삭제하고 [그림 4]의 랜섬노트를 생성하는 WannaMad 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자 실행을 차단하고 마우스 사용을 제한한다.

 

[그림 4] WannaMad 랜섬웨어 랜섬노트

 

202189

Haron 랜섬웨어

파일명에 .chaddad 확장자를 추가하고 RESTORE_FILES_INFO.txt라는 랜섬노트를 생성하는 Haron 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 프로세스 실행 차단과 서비스를 종료하고, 시스템 복원 무력 및 C2 서버 연결을 시도한다.

 

AvosLocker 랜섬웨어

파일명에 .avos 확장자를 추가하고 GET_YOUR_FILES_BACK라는 랜섬노트를 생성하는 AvosLocker 랜섬웨어의 변종이 발견됐다.

 

Stop 랜섬웨어

파일명에 .reqg 확장자를 추가하고 _readme.txt라는 랜섬노트를 생성하는 Stop 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 C2 서버 연결을 시도한다.

 

Dharma 랜섬웨어

파일명에 사용자 ID.[공격자 메일].JRB 확장자를 추가하고 [그림 5]의 랜섬노트를 생성하는 Dharma 랜섬웨어의 변종이 발견됐다.

 

[그림 5] Dharma 랜섬웨어 랜섬노트

 

2021년 8월 10일

Ulitsa 랜섬웨어

파일을 삭제하고 [그림 6]의 랜섬노트를 생성하는 Ulitsa 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자 실행을 차단하고 마우스 사용을 제한한다.

 

[그림 6] Ulitsa 랜섬웨어 랜섬노트