잉카인터넷 시큐리티대응센터 블로그

RagnarLocker 랜섬웨어 감염 주의 “RagnarLocker”로 불리며 관리 서비스 제공업체(MSP)를 표적 공격하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 원격 모니터링 및 관리 소프트웨어(RMM)를 종료하며, 감염되면 문서 등의 중요한 파일은 사용할 수 없게 된다. 또한, 파일을 복구하기 위해서는 고액의 몸값을 지급해야 하므로 주의가 필요하다. 이번 보고서에서는 “RagnarLocker” 랜섬웨어의 대해 간략하게 알아보고자 한다. “RagnarLocker” 랜섬웨어 실행 시 [표 1]의 목록을 제외한 사용자의 모든 파일을 암호화한다. 서비스는 주로 원격 관리 소프트웨어와 복구 관련 서비스를 종료한다. 파일 암호화가 완료되면, 해당 파일의 끝에 “_RAGNAR_”라는 시그니처를 추가한다. 또한,..

정상 프로그램으로 위장한 Mailto Ransomware 분석 보고서 “Mailto” 랜섬웨어는 2019년 8월에 등장하였으며, 최근 해외기업을 대상으로 공격한 사례가 발견되고 있다. 해당 랜섬웨어는 “Netwalker”라는 이름으로도 명명되고 있으며, “Sticky Password”라는 정상 프로그램으로 위장하여 사용자가 랜섬웨어를 실행시키도록 유도하고 있다. 만약 랜섬웨어가 실행된다면 사용자 시스템의 파일들을 암호화한다. 이번 보고서에서는 “Mailto” 랜섬웨어의 대해 간략하게 알아보고자 한다. . “Mailto” 랜섬웨어 실행 시 [표 1]의 암호화 제외 대상과 비교하여, 조건에 일치하는 사용자의 모든 파일을 암호화한다. 파일 암호화 동작 후 파일의 확장자를 .mailto[].으로 변경하고, {I..