분석 정보/랜섬웨어 분석 정보 295

[주간 랜섬웨어 동향] – 3월 5주차

잉카인터넷 대응팀은 2022년 3월 25일부터 2022년 3월 31일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "DoubleZero" 1건, 변종 랜섬웨어는 "Conti" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "Lapsus$" 랜섬웨어 그룹 구성원 일부를 체포했으며 "Hive" 랜섬웨어 그룹이 변종 랜섬웨어를 Rust 프로그래밍 언어로 변환한 이슈가 있었다. 2022년 3월 25일 Conti 랜섬웨어 파일명에 ".tq6ou" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스를 종료한다. Lapsus$ 랜섬웨어 그룹 구성원 일부 체포 최근 런던시 ..

[주간 랜섬웨어 동향] – 3월 4주차

잉카인터넷 대응팀은 2022년 3월 18일부터 2022년 3월 24일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "GoodWill" 1건, 변종 랜섬웨어는 "CryptoJoker" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 우크라이나의 연구원이 "Conti" 랜섬웨어와 관련해서 소스 코드를 유출한 이슈가 있었다. 2022년 3월 19일 CryptoJoker 랜섬웨어 파일명에 ".fully.fucked" 또는 ".partially.fucked" 확장자를 추가하고 "CAD Recovery Information.txt"라는 랜섬노트를 생성하는 "CryptoJoker" 랜섬웨어의 변종이 발견됐다. Hive 랜섬웨어 파일명에 ".key.4g3j7" 확장자를 추가하고 "x..

[주간 랜섬웨어 동향] – 3월 3주차

잉카인터넷 대응팀은 2022년 3월 11일부터 2022년 3월 17일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Encry" 외 4건, 변종 랜섬웨어는 "BlackCat"외 2건이 발견됐다. 2022년 3월 11일 BlackCat 랜섬웨어 파일명에 ".iz5zhcr" 확장자를 추가하고 "RECOVER-iz5zhcr-FILES.txt"라는 랜섬노트를 생성하는 "BlackCat" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕화면의 배경을 [그림 2]로 변경한다. Stop 랜섬웨어 파일명에 ".ii" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다. Nok..

[주간 랜섬웨어 동향] – 3월 2주차

잉카인터넷 대응팀은 2022년 3월 4일부터 2022년 3월 10일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "Lockbit"외 6건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 미국의 CISA가 "Conti" 랜섬웨어에 대한 경고와 함께 침해 지표(IOC)를 공개하는 이슈가 있었다. 2022년 3월 4일 Lockbit 랜섬웨어 파일명에 ".lockbit" 확장자를 추가하고 "Restore-My-Files.txt"라는 랜섬노트를 생성하는 "Lockbit" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다. Hive 랜섬웨어 파일명에 ".[키 값].3w1gm" 확장자를 추가하고 "JPjx_HOW_TO_DECRYPT.txt"라는 랜섬노트를 생성하는 "H..

[주간 랜섬웨어 동향] – 3월 1주차

잉카인터넷 대응팀은 2022년 2월 25일부터 2022년 3월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "Conti" 외 4건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 우크라이나의 연구원이 Conti 랜섬웨어 관련 내부 자료를 공개한 이슈가 있었다. 2022년 2월 25일 Conti 랜섬웨어 파일명에 ".VJBZF" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 2022년 2월 27일 Avaddon 랜섬웨어 파일명에 ".BbcDaDdbAD" 확장자를 추가하고 "9gycj_readme_.txt"라는 랜섬노트를 생성하는 "Avaddon" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다..

[주간 랜섬웨어 동향] – 2월 4주차

잉카인터넷 대응팀은 2022년 2월 18일부터 2022년 2월 24일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “TargetCompany" 1건, 변종 랜섬웨어는 "Hive" 외 3건이 발견됐다. 2022년 2월 18일 Hive 랜섬웨어 파일명에 ".key.qmam4" 확장자를 추가하고 "C3QW_HOW_TO_DECRYPT.txt"라는 랜섬노트를 생성하는 "Hive" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 서비스를 종료하고 시스템 복원을 무력화한다. 2022년 2월 20일 Stop 랜섬웨어 파일명에 ".gcyi" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에..

[주간 랜섬웨어 동향] - 2월 3주차

잉카인터넷 대응팀은 2022년 2월 11일부터 2022년 2월 17일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Sodinokibi" 외 3건, 변종 랜섬웨어는 "Nokoyawa"외 4건이 발견됐다. 2022년 2월 11일 Sodinokibi 랜섬웨어 파일명에 ".4agrfsh5tx7" 확장자를 추가하고 "4agrfsh5tx7-HOW-TO-DECRYPT.txt"라는 랜섬노트를 생성하는 "Sodinokibi" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화하고, 자동실행 레지스트리에 등록한다. 또한, 바탕화면의 배경을 변경한다. 2022년 2월 12일 WannaCry 랜섬웨어 파일명에 ".WNCRY" 확장자를 추가하고 "Wana Decrypt0r.e..

[주간 랜섬웨어 동향] - 2월 2주차

잉카인터넷 대응팀은 2022년 2월 4일부터 2022년 2월 10일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Scorpio" 외 1건, 변종 랜섬웨어는 "Stop" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 보안 업체 Avast에서 "argetCompany" 랜섬웨어의 디크립터를 공개했으며, "NetWalker" 랜섬웨어 공격에 연루된 캐나다인이 징역을 선고받은 이슈가 있었다. 2022년 2월 7일 Stop 랜섬웨어 파일명에 ".cuag" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다. 2022년 2월 8일 TargetCompany 랜섬웨어 디..

[주간 랜섬웨어 동향] – 2월 1주차

잉카인터넷 대응팀은 2022년 1월 28일부터 2022년 2월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Farattack" 외 2건, 변종 랜섬웨어는 "Lockbit"외 3건이 발견됐다. 2022년 1월 28일 Lockbit 랜섬웨어 파일명에 ".lockbit" 확장자를 추가하고 "Restore-My-Files.txt"라는 랜섬노트를 생성하는 "Lockbit" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다. Ryuk 랜섬웨어 파일명에 ".RYK" 확장자를 추가하고 "RyukReadMe.html"이라는 랜섬노트를 생성하는 "Ryuk" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 서비스를 종료한다. Farattack 랜섬웨어 파일명에..

[주간 랜섬웨어 동향] – 1월 4주차

잉카인터넷 대응팀은 2022년 1월 21일부터 2022년 1월 27일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Exploit" 1건, 변종 랜섬웨어는 "Phobos"외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 FBI가 Diavol 랜섬웨어와 TrickBot의 관계를 발표한 이슈가 있었다. 2022년 1월 21일 Phobos 랜섬웨어 파일명에 ".id[사용자 ID].[공격자 메일].ELBOW" 확장자를 추가하고 [그림 1]의 랜섬노트를 생성하는 "Phobos" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. Makop 랜섬웨어 파일명에 ".[공격자 메일].factfull" 확장자를 추가하고 "readme-warning.txt"라는 랜섬노트..