분석 정보/랜섬웨어 분석 정보 301

[랜섬웨어 분석] Ebed 랜섬웨어

Ebed Ransomware 감염 주의 최근 "Ebed" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 사용자 PC의 로케일(Locale) 정보를 확인하여 한국이면 파일을 암호화하며 기존의 확장자 뒤에 ".ebed"를 추가한다. 감염 전 사전 작업으로 로케일 정보(GetLcocaleInfoEx API)를 획득한 후, 한국이면 감염을 진행하고 중국이면 종료한다. 감염이 진행되면 “Ebed” 랜섬웨어는 폴더마다 ‘ATTENTION-ebed-README.txt’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 파일 암호화가 완료되면 기존의 확장자 뒤에 .ebed 확장자가 추가된다. 암호화 제외 항목은 [표 1]과 같으며, Program Files나 Windows 폴더와 같이 주요한 폴더는 제..

[랜섬웨어 분석] Makop 랜섬웨어

이력서로 위장한 Makop Ransomware 유포 주의 근래에 입사 지원서로 위장한 피싱 메일이 유포되고 있어 사용자의 주의가 필요하다. 첨부된 압축 파일을 해제하면 한글 문서 아이콘으로 위장한 ‘Makop’ 랜섬웨어가 존재한다. 해당 랜섬웨어는 파일 암호화를 진행하고 암호화된 파일의 원본 확장명에 ‘[XXXXXXXX].[이메일 주소].makop’ 형식으로 덧붙이고 ‘readme-warning.txt’ 랜섬 노트를 생성한다. 이번 보고서에서 알아본 ‘Makop’ 랜섬웨어는 입사 지원서로 위장한 피싱 메일로 유포되어 한글 문서 아이콘과 이력서 및 포트폴리오 관련 파일명으로 위장해 사용자의 클릭을 유도하는 특징을 갖고 있다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 ..

[랜섬웨어 분석] Sepsys 랜섬웨어

Sepsys 랜섬웨어 주의! 지난 4월 중순에 Sepsys 랜섬웨어가 등장하였다. 해당 랜섬웨어가 실행되면 볼륨 섀도우 복사본을 삭제하며, 특정 디렉토리 내에 모든 확장자에 대하여 암호화를 진행하기에 큰 주의가 필요하다. 이번 보고서에서는 SepSys 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 사용자가 감염된 PC를 복구할 수 없도록 사전에 볼륨 섀도우 복사본을 모두 삭제 한 뒤, 암호화 동작을 수행한다. 또한 사용자의 PC IP정보를 서버로 전달하고, 자동실행 레지스트리 값에 자가 복제된 파일과 랜섬노트를 추가하여 윈도우 재부팅 시에도 동작이 수행되도록 만든다. 하기의 이미지와 같이, 윈도우 재부팅 시 동작하도록 자가 복제 파일과 랜섬노트를 Run 레지스트리에 등록한다. C2서버에 연결하..

[랜섬웨어 분석] VoidCrypt 랜섬웨어

VoidCrypt Ransomware 감염 주의 최근 “VoidCrypt”라 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어에 감염될 경우 정상적인 시스템 기능을 비활성화하고, 사용자의 파일을 암호화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 주의가 필요하다. “VoidCrypt” 랜섬웨어가 실행되면, 원활한 악성 동작을 위해 다음 [표 1] 목록의 서비스 및 프로세스를 종료시킨다. 이후 [표 2]의 목록과 같이 윈도우 복구 모드 비활성화, 백업 카탈로그 삭제 및 방화벽을 비활성화 한다. 사용자 PC의 드라이브 목록을 검색한 뒤, 폴더 및 파일의 경로가 “Windows”인 경우를 제외한 모든 파일을 암호화한다. 암호화한 파일에는 Void 확장자를 덧붙이고, 랜섬노트를 생성한 뒤 실행하여 감염 사실과..

[랜섬웨어 분석] VHD 랜섬웨어

VHD Ransomware 감염 주의 최근 “VHD”라 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 메일과 그룹웨어 기능을 제공하는 Microsoft Exchange Server의 서비스를 종료하고, 사용자 시스템의 파일을 암호화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 사용자의 주의가 필요하다. “VHD” 랜섬웨어가 실행되면 휴지통의 파일을 전부 삭제하고, 원활한 악성 동작을 위해 아래 [그림 1]과 같이 서비스를 종료시킨다. 이후 바탕화면에 “HowToDecrypt.txt” 랜섬노트를 생성하고 사용자 시스템의 드라이브 목록과 타입을 검색한다. 검색된 드라이브가 [표 1]의 제외 대상이 아닌 경우 최상단 경로에 랜섬노트를 추가로 생성한다. 위 조건의 해당하는 드라이브의 파일들을 검색한 뒤,..

[랜섬웨어 분석] Nephilim 랜섬웨어

진화하는 Nephilim 랜섬웨어 최근 코로나 바이러스 등의 여파로 다양한 종류의 랜섬웨어가 등장하며, Nemty 랜섬웨어 2.5에서 변형된 형태로 Nefilim 랜섬웨어가 나타났다. 그리고 잇달아 Nefilim 랜섬웨어의 변형된 형태인 Nephilim 랜섬웨어가 나타났다. 해당 랜섬웨어는 Nefilim 랜섬웨어와 유사한 동작을 하나, 기업을 타겟으로 하며 암호화 대상의 범위가 확대되는 등의 변형이 있어 큰 주의가 필요하다. 이번 보고서에서는 Nephilim 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 특정 파일과 디렉토리를 제외하고 암호화 동작을 수행한 뒤, Root 아래에 랜섬노트를 생성한다. 그리고 %Temp%에 랜섬노트 이미지 파일을 드롭하여 배경화면으로 지정하여 사용자에게 랜섬웨어 ..

[랜섬웨어 분석] Nefilim 랜섬웨어

데이터를 공개하겠다고 협박하는 Nefilim Ransomware 감염 주의 최근 등장한 “Nefilim” 랜섬웨어는 “Nemty” 랜섬웨어의 새로운 버전으로 추정되고 있으며, 실행 시 사용자의 파일들을 암호화한다. 암호화된 파일의 대가로 금품을 요구하며 7일 내로 공격자의 요구에 응답하지 않으면 데이터를 공개하겠다고 협박하고 있어 사용자의 주의가 필요하다. “Nefilim” 랜섬웨어 실행 시, 뮤텍스를 생성하여 중복 실행을 방지하고 현재 디스크 드라이브 목록 및 타입을 검색한다. 만약 디스크 타입이 이동식 혹은 고정식이라면 해당 드라이브 최상위 경로에 랜섬 노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 이후 드라이브의 파일들을 검색한 뒤 [표 1]의 암호화 제외 경로 및 확장자 목록과 비..

[랜섬웨어 분석] CoronaVirus 랜섬웨어

CoronaVirus Ransomware 감염 주의 코로나19 바이러스 이슈를 악용한 ‘CoronaVirus’ 랜섬웨어가 등장했다. 해당 랜섬웨어는 시스템 최적화 유틸리티를 제공하는 해외 특정 웹 사이트와 유사한 가짜 웹 사이트를 제작해서 가짜 유틸리티를 다운받도록 유도하고, 다운로드된 파일을 실행할 경우 정보 탈취형 악성코드 ‘Kpot’와 ‘CoronaVirus’ 랜섬웨어를 다운 및 실행한다고 알려진다. ‘CoronaVirus 랜섬웨어’는 파일 암호화를 진행하고 암호화된 파일을 ‘coronaVi2022@이메일___원본 파일명.원본 확장명’ 형태로 변경하며 ‘CoronaVirus.txt’ 랜섬 노트를 생성한다. 또한 정상적인 복구를 무력화하기 위해 볼륨 섀도우 복사본을 삭제 하고, 디스크 이름을 ‘Cor..

[랜섬웨어 분석] Onix 랜섬웨어

Onix Ransomware 감염 주의 “Onix”로 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 확장자가 “.Onix”가 아닌 경우에는 지정된 형식에 따라 확장자를 변경하며, 볼륨 섀도우 복사본 삭제 및 복구 비활성화를 통해 복구를 무력화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 주의가 필요하다. 먼저, “Onix” 랜섬웨어는 폴더마다 ‘TRY_TO_READ.html’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 랜섬노트와 더불어 바탕화면을 [그림 2]와 같이 변경한다. “Onix” 랜섬웨어에 감염되어 암호화가 완료되면 확장자가 .ONIX가 아닌 파일의 확장자를 “{사용자 ID}.{메일}.ONIX”로 변경한다. 또한, 암호화 후 복구를 무력화 하기 위해 볼륨 섀..

[랜섬웨어 분석] Corona 랜섬웨어

새로 등장한 Corona Ransomware 감염 주의 최근 코로나 19 바이러스 이슈를 활용한 공격이 발견되고 있는 가운데, 자기자신을 “Corona” 라고 명시하고 있는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 “Hakbit” 랜섬웨어의 변종으로 알려져 있으며, 실행 시 사용자의 파일을 암호화하고 있어 주의가 필요하다. 이번 보고서에서는 “Corona” 랜섬웨어의 대해 간략하게 알아보고자 한다. “Corona” 랜섬웨어가 실행 되면, 원활한 악성 동작을 수행하기 위해 아래 [표 1] 목록을 대상으로 서비스 종료, 서비스 비활성화 및 프로세스를 종료한다. 추가적으로 정상적인 복구를 무력화하기 위해 볼륨 섀도우 복사본을 삭제한다. 이후 아래 [표 2]의 암호화 대상 목록과 비교하여, 조건에 일치하는 사용자..