분석 정보/랜섬웨어 분석 정보 301

[랜섬웨어 분석] Hakbit 랜섬웨어 분석

최근 등장한 Hakbit 랜섬웨어 1. 개요 금전적인 이득을 취할 수 있는 랜섬웨어가 기승을 부리는 요즘, Hakbit 랜섬웨어가 새로 발견되었다. 해당 랜섬웨어는 특정 확장자에 대하여 드라이브 아래의 모든 영역에 암호화를 실시하고, 볼륨 백업 복사본을 삭제한다. 그렇기 때문에 복구가 어렵고 시스템 손상이 클것으로 예상되어 주의가 필요하다. 이번 보고서에는 최근 발견된 Hakbit 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 해당 랜섬웨어는 실행되면 자가 복사를 하여 서비스 프로세스와 유사한 이름의 파일을 생성하고, 원본 파일은 삭제..

[랜섬웨어 분석] FuxSocy 랜섬웨어 분석

파일 이름도 변경시키는 FuxSocy 감염 주의 1. 개요 최근 등장한 “FuxSocy” 랜섬웨어는 사용자의 파일을 암호화하고, 파일이름을 임의의 문자열로 변경 후 추가적으로 확장자를 덧붙이고 있다. 해당 랜섬웨어는 작업 스케줄러 등록을 통해 공격의 지속성도 유지하고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 “FuxSocy” 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “FoxSocy” 랜섬웨어 실행 시 볼륨섀도우 복사본을 삭제하고, ‘AppData\Roaming’ 폴더에 “FoxSocy” 원본파일을 복사 후 실행시키며 작업스케줄러에 등록하여 지속적으로 실행되도록 설정한다. 이후 암호화 대상을 선별하여 파일을 암호화하며, 랜섬노트와 바탕화면 변경을 통..

[랜섬웨어 분석] GO-SPORT 랜섬웨어 분석

GO-SPORT Ransomware 주의 1. 개요 최근 ‘GO-SPORT’라고 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 10월경 발견되었으며, 아직 정확한 유포 경로나 피해사례는 구체적으로 알려지지 않았다. ‘GO-SPORT Ransomware’의 특징 중 하나는 시스템 복원 무력화 관련 배치파일의 내용이 헤르메스 랜섬웨어에서 사용되었던 배치파일의 내용과 같다. 이번 보고서에서는 ‘GO-SPORT Ransomware’에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 현재 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일, P2P 사이트를 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 해당 랜섬웨어가 실행되면 사용자 PC에서 ..

[랜섬웨어 분석] MedusaLocker 랜섬웨어 분석

레지스트리를 변경하는 MedusaLocker 랜섬웨어 감염 주의 1. 개요 최근 사용자 계정 컨트롤(UAC) 관련 레지스트리를 변경하는 MedusaLocker 랜섬웨어가 발견되었다. 10월 초, 중국 서버 중 한 곳이 피해를 당한 것으로 알려졌으며, 국내에서는 최근에 지속적으로 발견되고 있는 것으로 알려져 주의를 기울일 필요가 있다. 이번 보고서에는 최근에 유포 되고 있는 MedusaLocker 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 MedusaLocker 랜섬웨어 실행 시, ‘관리자 권한’을 사용하여 악성 동작을 실행하기 위해 사용자 계정 컨트롤(UAC)..

[랜섬웨어 분석] Mike 랜섬웨어 분석

Mike 랜섬웨어 주의! 1. 개요 최근 10월에 볼륨 섀도우를 삭제하는 Mike 랜섬웨어가 등장하였다. 해당 랜섬웨어는 볼륨 섀도우의 복사본을 삭제하고, Windows 오류 복구 기능을 비활성화한다. 그리고 특정 대상 파일에 대해 AES 와 RSA 로 암호화를 하여 사용자에게 금전적인 요구를 하므로 주의가 필요하다. 이번 보고서에는 최근 발견된 Mike 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 랜섬웨어가 실행되면 암호화가 시작되기 전, “vssadmin.exe” 를 통해 드라이브에서 섀도우 복사본을 모두 삭제한다. 그리고SQL과..

[랜섬웨어 분석] lostfile 랜섬웨어 분석

보안 스캐너를 가장한 랜섬웨어 1. 개요 최근, ‘Windows Security Scanner’를 가장한 랜섬웨어가 등장하였다. 이는 이메일을 통해 유포되었으며, Zip 파일이 첨부되어 압축을 해제하면 실행파일이 있고, 숨김 속성으로 ‘Resource’ 폴더가 나타난다. 해당 실행파일을 실행하면 ‘Resource’ 폴더 내에 숨김 파일들이 실행되며, 스캐너 로딩 이미지를 통해 정상 파일처럼 보이도록 하지만 악성 동작을 수행한다. 사용자 PC의 보안을 경고하여 사용자가 이에 속아 직접 실행하도록 하기에 주의가 요구된다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 이메일을 통해 유포되며, Microsoft 사의 공식 메일을 모방한다. 2-3. 실행 과정 스팸 메일에 첨부된 파일은 Zip 형태로,..

[랜섬웨어 분석] PyCrypter 랜섬웨어 분석

보안 로그까지 삭제하는 PyCrypter감염 주의 1. 개요 최근 Python 모듈을 사용하는 PyCrypter 랜섬웨어가 발견되었다. 해당 랜섬웨어는 6월에 발견된 SystemCrypter 랜섬웨어의 계통으로 알려져 있으며, 감염 시 파일 암호화 뿐만 아니라 일부 시스템 기능을 비활성화하여 정상적인 작업을 불가능하게 만들기 때문에 주의가 필요하다. 이번 보고서에서는 PyCrypter 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 "PyCrypter 랜섬웨어" 는 실행 시, 악성 행위에 사용되는 다수의 Python 모듈을 드랍 후 '작업관리자' 레지스트리를 비활성..

[랜섬웨어 분석] Ordinypt 랜섬웨어 분석 보고서

파일을 파괴하는 Ordinypt 랜섬웨어 1. 개요 사용자 PC에 접근하여 파일을 암호화하고 그에 대한 대가를 요구하는 것이 일반적인 랜섬웨어의 특징이다. 하지만 최근 등장한 Ordinypt 랜섬웨어는 파일에 비정상적인 데이터를 삽입하여 훼손한 뒤, 거짓으로 복구를 약속하며 금전을 요구한다. 이러한 모습의 악성코드는 추후에 지속적으로 등장할 수 있기에 주의가 필요하다. 이번 보고서에서는 Ordinypt 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 Ordinpyt 랜섬웨어가 실행되면, 시스템 폴더를 제외한 모든 경로에 있는 파일들의 확..

[랜섬웨어 분석] TFlower 랜섬웨어 분석 보고서

기업을 노리는 TFlower 랜섬웨어 감염 주의 1. 개요 최근 랜섬웨어 개발자들이 기업과 정부 기관을 공격해서 막대한 돈을 번 사례가 많았기 때문에, 기업을 대상으로 하는 랜섬웨어가 많이 발견되고 있다. 그 중 TFlower 랜섬웨어는 8월 초부터 해커들이 실제 공격에 사용하기 시작한 랜섬웨어로, 기업의 원격 데스크톱 서비스(RDP)를 해킹하여 유포된다고 알려졌다. 해당 랜섬웨어는 감염 후 확장자를 변경하지 않기 때문에 사용자가 감염 여부를 인지하고 대응하는데 시간이 지연될 것으로 예상된다. 이번 보고서에는 최근에 발견 된 TFlower 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 기업을 대상으로 원격 데스크톱 서비스(RDP)를 해킹해서 유포..

[랜섬웨어 분석] Is 랜섬웨어 분석 보고서

Is Ransomware 감염 주의 1. 개요 지난 9월에 Is라고 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이력서 pdf 파일 형태로 위장하여 유포된 것으로 알려져 있으며, 최근 문서로 위장한 형태의 랜섬웨어가 다수 발견되고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 Is 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 Is 랜섬웨어는 실행파일을 Eva Richter의 이력서 pdf파일로 위장하여 유포된 것으로 알려져 있다. 2-3. 실행 과정 Is 랜섬웨어 실행 시 암호화 제외 대상을 확인 후 암호화 대상 파일을 선별하여 암호화하며, 이동식 드라이브 또한 암호화한다. 이후 랜섬노트를 생성하고 시작프로그램으로 등록한다. 마지막으로 볼륨 섀도우..