분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] - 2월 3주차

2022. 2. 18. 16:04

잉카인터넷 대응팀은 2022211일부터 2022217일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Sodinokibi" 3, 변종 랜섬웨어는 "Nokoyawa"4건이 발견됐다.

 

[표 1] 2022년 2월 3주차 신•변종 랜섬웨어 정리

 

2022211

Sodinokibi 랜섬웨어

파일명에 ".4agrfsh5tx7" 확장자를 추가하고 "4agrfsh5tx7-HOW-TO-DECRYPT.txt"라는 랜섬노트를 생성하는 "Sodinokibi" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화하고, 자동실행 레지스트리에 등록한다. 또한, 바탕화면의 배경을 변경한다.

 

2022 2 12

WannaCry 랜섬웨어

파일명에 ".WNCRY" 확장자를 추가하고 "Wana Decrypt0r.exe"라는 랜섬노트를 실행하는 "WannaCry" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도하고, [그림 2]과 같이 바탕화면의 배경을 변경한다.

 

[그림 1] WannaCry 랜섬웨어 랜섬노트

 

[그림 2] WannaCry 랜섬웨어 배경화면

 

2022 2 13

Nokoyawa 랜섬웨어

파일명에 ".NOKOYAWA" 확장자를 추가하고 "NOKOYAWA_readme.txt"라는 랜섬노트를 생성하는 "Nokoyawa" 랜섬웨어가 발견됐다.

 

[그림 3] Nokoyawa 랜섬웨어 랜섬노트

 

2022 2 14

GlobeImposter 랜섬웨어

파일명에 ".Globeimposter-Alpha666qqz" 확장자를 추가하고 "HOW TO BACK YOUR FILES.txt"라는 랜섬노트를 생성하는 "GlobeImposter" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.

 

2022 2 15

LockDown 랜섬웨어

파일명에 ".cantopen" 확장자를 추가하고 "HELP_DECRYPT_YOUR_FILES.txt"라는 랜섬노트를 생성하는 "LockDown" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다.

 

[그림 4] LockDown 랜섬웨어 랜섬노트

 

EvilNominatus 랜섬웨어

파일명에 "-Locked-Locked-Locked-Locked" 확장자를 추가하고 [그림 0]의 랜섬노트를 실행하는 "EvilNominatus" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다.

 

[그림 5] EvilNominatus 랜섬웨어 랜섬노트

 

Carone 랜섬웨어

파일명에 ".carone" 확장자를 추가하고 "How to decrypt files.txt"라는 랜섬노트를 생성하는 "Carone" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다.

 

[그림 6] Carone 랜섬웨어 랜섬노트

 

2022 216

TankiX 랜섬웨어

파일을 암호화 하지 않고 [그림 7]의 랜섬노트를 실행하는 "TankiX" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행을 차단한다.

 

[그림 7] TankiX 랜섬웨어 랜섬노트

 

2022 2 17

Dharma 랜섬웨어

파일명에 ".id[사용자 ID].[공격자 메일].dewar" 확장자를 추가하고 "info.txt"라는 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다.

 

[그림 8] Dharma 랜섬웨어 랜섬노트