2020/06 8

[랜섬웨어 분석] ZorgoCry 랜섬웨어

ZorgoCry Ransomware 감염 주의 최근 "ZorgoCry" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 사용자 프로필(%USERPROFILE%) 경로 및 다수의 확장자를 대상으로 파일 암호화가 진행되므로 사용자의 주의가 필요하다. 이번 보고서에서는 “ZorgoCry” 랜섬웨어에 대해 간략하게 알아보고자 한다. “ZorgoCry” 랜섬웨어에 감염되면 바탕화면에 ‘READ_ME.txt’란 이름의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 원본 파일은 감염 동작 전에 ‘C:\사용자 이름\Rand123\local.exe’ 로 옮겨지며, 암호화 된 파일 끝에는 “.projectzorgo” 확장자가 붙는다. “ZorgoCry”의 감염 대상은 ‘%USERPROFILE%’ 아래의 모든 폴..

[랜섬웨어 분석] Snake 랜섬웨어

기업을 노리는 Snake Ransomware 감염 주의 Snake 랜섬웨어는 1월에 발견되어 산업용 제어 시스템(ICS)과 관련된 프로세스를 종료시키고 랜섬노트에 기업 네트워크를 언급해 기업을 겨냥하는 랜섬웨어로 알려졌다. 그리고 지난 5월 독일의 신장 투석 회사인 Fresenius Group에서 Snake 랜섬웨어의 공격을 받았고 최근 6월에는 혼다와 유럽의 에너지 회사인 Enel Group을 목표로 한 공격이 발견되었다고 알려진다. 이번 보고서에서는 Snake 랜섬웨어의 악성 동작에 대해 간략하게 알아본다. 해당 랜섬웨어는 산업용 제어 시스템과 관련된 프로세스뿐만 아니라 네트워크 관리 프로세스, 가상 머신 관련 프로세스, 안티바이러스 관련 프로세스 등 여러 프로세스를 종료시킨다. 그리고 시스템 관련 ..

[TACHYON 엔진] 2020년 06월 16일 (02) 16개의 악성코드가 추가되었습니다.

안녕하십니까? 잉카인터넷 TACHYON 입니다. 2020년 06월 16일자 두번째 업데이트 안내문입니다. 금일 정기 업데이트에서는 총 15개 악성코드에 대한 진단/치료가 안티 바이러스에 업데이트 되었습니다. 1. 안티 바이러스 업데이트 안내 1-1. 안티 바이러스 업데이트 버전 : 2020-06-16.02 1-2. 다음 15개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다. Backdoor/W32.Hupigon.909422 Backdoor/W32.Poison.1536 Trojan-Downloader/W32.FraudLoad.5408 Trojan-Downloader/W32.Upatre.71912.B Trojan-Dropper/W32.Agentoit.2119168.B Trojan-Spy/W32..

카테고리 없음 2020.06.16

[랜섬웨어 분석] Zorab 랜섬웨어

암호 해독기를 가장한 Zorab 랜섬웨어 2018년에 등장한STOP Djvu 랜섬웨어는 다양한 변종으로 지금까지도 꾸준히 모습을 보이고 있다. 그런데 최근, 이 랜섬웨어의 해독기를 가장한 Zorab 랜섬웨어가 등장하였다. 해당 랜섬웨어는 “Decrypter DJVU”라는 이름으로 유포되고 있으며, 실행 시 파일을 드롭하여 악성 동작을 수행한다. 이번 보고서에서는 Zorab 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 하기의 이미지와 같이, 암호해독기의 모습을 가장하고 “Start Scan”을 실행하면 악성 파일이 드롭되어 %PERSONALUSER% 폴더에 대해 감염 동작을 실행한다. 악성 동작 이후에는 자가 삭제를 하여 사용자가 악성 동작이 수행되는 것을 눈치채지 못하도록 한다. 해당 실행 ..

[랜섬웨어 분석] Avaddon 랜섬웨어

Avaddon Ransomware 감염 주의 최근 해외 보안업체에 따르면 Avaddon 랜섬웨어가 악성 메일의 첨부파일을 통해 유포된다고 알려진다. 해당 첨부파일에는 Avaddon 랜섬웨어를 다운 및 실행할 수 있는 자바스크립트 파일이 존재하는데 사용자가 이를 실행 할 경우, 해당 랜섬웨어에 감염될 수 있기 때문에 사용자의 주의가 필요하다. 이번 보고서에서는 ‘Avaddon 랜섬웨어’의 주요 악성 동작에 대해 알아본다. ‘Avaddon’ 랜섬웨어는 먼저 시스템 복구를 무력화하기 위해 아래의 명령어를 실행한다. 이후 특정 폴더와 확장자를 제외하고 모든 파일에 대해 암호화를 진행하고 ‘.avdn’ 확장자를 덧붙인다. 파일이 암호화된 경로마다 “랜덤숫자-readme.html” 랜섬노트를 생성하고, 바탕화면 변..

[랜섬웨어 분석] DualShot 랜섬웨어

DualShot Ransomware 감염 주의 최근 “DualShot” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 Windows 구성 프로그램인 ICS Unattend Utility로 위장하여 사용자가 정상적인 프로그램으로 착각하게 만들고, 사용자의 파일을 암호화하고 있어 주의가 필요하다. 이번 보고서에서는 “DualShot” 랜섬웨어에 대해 간략하게 알아보고자 한다. “DualShot” 랜섬웨어는 인자 값에 따라 동작이 달라지며, 인자 값 없이 실행되었다면 ‘%AppData%\Local’ 경로에 “DSNWIN+(1000~9999 중 랜덤한 4자리).exe” 파일명으로 원본파일을 복사한 뒤 “/inin” 인자 값으로 실행시킨다. “/inin” 인자 값으로 실행되었다면, 다음 [표 1]의 암호화 대상 폴더 및..

5월 랜섬웨어 동향 및 UnluckyWare 랜섬웨어 분석보고서

악성코드 분석보고서 1. 5월 랜섬웨어 동향 2020년 5월(5월 01일 ~ 5월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내에서는 공정거래위원회를 사칭한 Nemty 랜섬웨어가 다수 유포되었다. 해외에서는 미국 보험 업계의 마젤란 헬스가 Maze 랜섬웨어 공격을 받았으며, 독일의 신장 투석 회사인 Fresenius Medical Care Center가 Snake 랜섬웨어에 공격받아 데이터가 유출된 사건이 있었다. 이번 보고서에서는 5월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 5월 등장한 UnluckyWare 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 공정거래위원회를 사칭한 Nemty 랜섬웨어 유포 사례 5월 초, 국내에서 공정거래위원회를 사칭한 피싱 ..

[랜섬웨어 분석] Immuni 랜섬웨어

Immuni Ransomware 감염 주의 코로나 바이러스 이슈를 악용한 악성 코드가 지속적으로 등장하고 있는 가운데 최근 사회공학 기법을 이용한 “Immuni”라는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 “FuckUnicorn” 이름으로도 불리우고 있으며, 최근 이탈리아 약사 주문 연합(Federazione Ordini Farmacisti Italiani)의 웹 사이트(fofi)와 유사한 가짜 웹 사이트(fofl)를 제작하고, “Immuni”라는 코로나 추적 애플리케이션 PC 버전 다운로드를 요청하는 메일을 통해 가짜 웹 사이트에서 파일을 다운로드 받도록 유도하고 있는 것으로 알려져 있다. 만약 다운로드 된 파일을 실행하면 사용자의 파일을 암호화하기 때문에 주의가 필요하다. 이번 보고서에서는 “Immu..