분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] - 9월 5주차

알 수 없는 사용자 2021. 10. 1. 15:12

잉카인터넷 대응팀은 2021924일부터 2021930일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "HotCoffee" 1, 변종 랜섬웨어는 "Stop" 2건이 발견됐다.

 

금주 랜섬웨어 관련 이슈로는 BlackMatter 랜섬웨어와 DarkSide 랜섬웨어 사이의 유사점이 발견됐으며 "RansomEXX" 그룹의 Linux 랜섬웨어에서 오점을 발견했다.

 

[표 1] 2021년 9월 5주차 신•변종 랜섬웨어 정리

 

20219 24

Jigsaw 랜섬웨어

파일명에 ".fun" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "Jigsaw" 랜섬웨어의 변종이 발견됐다.

 

[그림 1] Jigsaw 랜섬웨어 랜섬노트

 

BlackMatter 랜섬웨어와 DarkSide 랜섬웨어 사이의 유사점 발견

20217월에 처음 등장한 "BlackMatter" 랜섬웨어가 "DarkSide" 랜섬웨어와 유사하다는 의견이 제시되고 있다. 연구원들은 두 샘플 사이의 코딩 스타일이 놀랄 정도로 비슷하며 파일 사이즈와 이미지의 사이즈가 일치 한다고 밝혔다.

 

20219 25

Stop 랜섬웨어

파일명에 ".koom" 확장자를 추가하고 랜섬노트를 생성하지 않는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다.

 

20219 26

AvosLocker 랜섬웨어

파일명에 ".avos2" 확장자를 추가하고 "GET_YOUR_FILES_BACK.txt"라는 랜섬노트를 생성하는 "AvosLocker" 랜섬웨어의 변종이 발견됐다.

 

[그림 2] AvosLocker 랜섬웨어 랜섬노트

 

20219 26

HotCoffee 랜섬웨어

파일명에 ".hotcoffee" 확장자를 추가하고 "HOT_COFFEE_README.txt"라는 랜섬노트를 생성하는 "HotCoffee" 랜섬웨어가 발견됐다.

 

[그림 3] HotCoffee 랜섬웨어 랜섬노트

 

2021930

RansomEXX 그룹의 Linux 랜섬웨어 오점 발견

최근 "RansomEXX" 그룹이 Linux용 랜섬웨어를 출시하였지만 파일을 올바르게 암호화하지 않아서 파일이 손상될 수 있다는 사실을 발견했다. 해당 문제가 발견된 샘플에서 파일 끝에 암호화되지 않은 데이터가 존재했기 때문이라고 주장했으며 이러한 오점을 이용해 한 연구원은 무료 복호화 툴을 제작하여 출시했다.