분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] - 1월 2주차

2022. 1. 14. 17:58

잉카인터넷 대응팀은 202217일부터 2022113일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "SFile"2건이 발견됐다.

 

금주 랜섬웨어 관련 이슈로는 "NightSky" 랜섬웨어 발견됐으며, "BlackMatter" 랜섬웨어의 논리 오류 발견과 "AvosLocker" 및 "TellYouThePass' 랜섬웨어의 변종이 발견된 이슈가 있었다.

 

[표 1] 2021년 1월 2주차 신•변종 랜섬웨어 정리

 

202217

NightSky 랜섬웨어 발견

파일명에 ".nightsky" 확장자를 추가하고 "NightSkyRadMe.hta"라는 이름의 랜섬노트를 생성하는 "NightSky" 랜섬웨어가 발견됐다. 외신에 따르면 "NightSky" 랜섬웨어 측은 약 80만 달러의 랜섬머니를 사용자에게 요구한 것으로 알려졌다.

 

2022 1 9

SFile 랜섬웨어

파일명에 ".XML.AFR-6fyvilv" 확장자를 추가하고 "readme_to AFR.log.txt"라는 랜섬노트를 생성하는 "SFile" 랜섬웨어의 변종이 발견됐다.

 

[그림 1] SFile 랜섬웨어 랜섬노트

 

2022 1 10

BlackMatter 랜섬웨어 논리 오류 발견

여러 나라의 주요 사회 기반 시설들을 공격한 BlackMatter 랜섬웨어에 논리 오류가 발견됐다. 보안 업체 일루시브(Illusive)BlackMatter 랜섬웨어가 dNSHostName이라는 속성을 확인한 후, 해당 내용이 없으면 컴퓨터 속성 정보 수집 단계를 아예 중단시키므로 논리 오류가 발생한다고 발표했다. 또한, 해당 특성을 활용해 dNSHostName 속성이 없는 컴퓨터 계정을 만들면 원격 공유 자원의 암호화를 방지할 수 있다고 언급했다.

2022 1 11

AvosLocker 랜섬웨어 변종 발견

최근 VMware ESXi 가상 머신을 대상으로 공격할 수 있는 기능을 추가한 "AvosLocker" 랜섬웨어의 리눅스 변종이 발견됐다. 외신에 따르면 해당 랜섬웨어는 esxcli 명령을 사용해 서버의 모든 VMware ESXi 시스템을 종료한 후, 암호화한 파일에 ".avoslinux" 확장자를 추가한다.

 

2022 1 12

JCrypt 랜섬웨어

파일명에 ".JEBAĆ_BYDGOSZCZ!!!" 확장자를 추가하고 "_#ODZYSKAJ_PLIKI--.JEBAĆ_BYDGOSZCZ!!!.txt"라는 랜섬노트를 생성하는 "JCrypt" 랜섬웨어의 변종이 발견됐다.

 

Stop 랜섬웨어

파일명에 ".zaqi" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다.

 

2022 1 13

TellYouThePass 랜섬웨어 변종 발견

Golang으로 작성한 "TellYouThePass" 랜섬웨어의 변종이 발견됐다. 보안 업체 Crowdstrike는 "TellYouThePass" 랜섬웨어의 리눅스와 윈도우 버전의 코드 유사성이 높다고 언급했으며, 사용자 PC의 파일을 암호화 한 후 랜섬노트를 생성하고 0.05 비트코인을 요구한다고 알렸다.