잉카인터넷 시큐리티대응센터 블로그

Avaddon Ransomware 감염 주의 최근 해외 보안업체에 따르면 Avaddon 랜섬웨어가 악성 메일의 첨부파일을 통해 유포된다고 알려진다. 해당 첨부파일에는 Avaddon 랜섬웨어를 다운 및 실행할 수 있는 자바스크립트 파일이 존재하는데 사용자가 이를 실행 할 경우, 해당 랜섬웨어에 감염될 수 있기 때문에 사용자의 주의가 필요하다. 이번 보고서에서는 ‘Avaddon 랜섬웨어’의 주요 악성 동작에 대해 알아본다. ‘Avaddon’ 랜섬웨어는 먼저 시스템 복구를 무력화하기 위해 아래의 명령어를 실행한다. 이후 특정 폴더와 확장자를 제외하고 모든 파일에 대해 암호화를 진행하고 ‘.avdn’ 확장자를 덧붙인다. 파일이 암호화된 경로마다 “랜덤숫자-readme.html” 랜섬노트를 생성하고, 바탕화면 변..

DualShot Ransomware 감염 주의 최근 “DualShot” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 Windows 구성 프로그램인 ICS Unattend Utility로 위장하여 사용자가 정상적인 프로그램으로 착각하게 만들고, 사용자의 파일을 암호화하고 있어 주의가 필요하다. 이번 보고서에서는 “DualShot” 랜섬웨어에 대해 간략하게 알아보고자 한다. “DualShot” 랜섬웨어는 인자 값에 따라 동작이 달라지며, 인자 값 없이 실행되었다면 ‘%AppData%\Local’ 경로에 “DSNWIN+(1000~9999 중 랜덤한 4자리).exe” 파일명으로 원본파일을 복사한 뒤 “/inin” 인자 값으로 실행시킨다. “/inin” 인자 값으로 실행되었다면, 다음 [표 1]의 암호화 대상 폴더 및..