잉카인터넷 시큐리티대응센터 블로그

오픈소스로 제작된 CryptoWire 랜섬웨어 감염 주의 1. 개요 CryptoWire 랜섬웨어는 2016년도에 오픈소스 코딩 사이트 GitHub에 익명의 사용자로부터 원본 소스 코드가 공개되고 나서 CryptoWire 랜섬웨어의 변종인 Lomix, UltraLocker 랜섬웨어가 만들어졌다고 알려진다. 2018년 현재까지도 제작 및 유포되고 있기 때문에, 이번 보고서에서는 CryptoWire 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 870,912 bytes 진단명 Ransom/W32.CryptoWire.870912 악성동작 파일 암호화 2-2. 유포 경로 피싱 메일의 첨부파일, 파일 공유 사이트 등 일반적인 형..

다시 등장한 GlobeImposter 랜섬웨어 감염 주의 1. 개요 2017년 하반기 이메일의 첨부파일 형태로 위장하여 유포 되었던, GlobeImposter 랜섬웨어가 최근 다시 등장하기 시작하였다. 해당 랜섬웨어는 RDP(원격 데스크톱 서비스)를 이용하거나 이메일 첨부 등 다양한 유포방식을 사용하고 있기 때문에 중요한 파일이 손실되지 않도록 주의가 필요하다. 이번 보고서에는 최근에 발견 된 GlobeImposter 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 516,096 bytes 진단명 Ransom/W32.GlobeImposter.516096 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 메일 첨부파일 형태로 ..

Python 모듈 사용하는 Dablio 랜섬웨어 감염 주의 1. 개요 최근 Dablio라는 이름의 Python 코드로 작성된 랜섬웨어가 유포되고 있다. 해당 랜섬웨어에 감염 시 중요 파일을 암호화시킬 뿐만 아니라 일부 시스템 기능을 비활성화하여 정상적인 작업도 불가능하게 만들기 때문에 주의가 필요하다. 이번 보고서에서는 Dablio 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 12,662,402 bytes 진단명 Ransom/W32.Dablio.12662402 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Dablio 랜섬..

서비스형 랜섬웨어 FilesLocker Ransomware 주의 1. 개요 최근 서비스형 랜섬웨어로 알려진 “FilesLocker”가 유포되고 있어 주의가 필요하다. 서비스형 랜섬웨어(Ransomware as a Service)는 랜섬웨어 제작자가 랜섬웨어를 공격자에게 판매하고, 피해자들로부터 얻은 수익금은 제작자와 공격자가 나눠 갖는 구조로 되어있다. 이번 보고서에서는 “FilesLocker Ransomware”에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 201,216 byte 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포경로와 비슷할 것으로 추정된다. 2-3. 실행 과정 해당 랜..

한국어를 지원하는 Kraken Cryptor 랜섬웨어 감염 주의 1. 개요 'Kraken Cryptor' 랜섬웨어는 올해 8월경부터 유포되어 최근 v2.0.7 버전까지 발견되었다. 파일 암호화 이후에는 감염된 PC의 바탕화면을 사용자 언어에 맞춰 변경하여 감염된 사실을 통보하며, 정상적인 파일 삭제 유틸리티를 다운로드해 원본 파일의 흔적까지 삭제하는 방식을 갖고 있다. 앞으로 버전 업의 여지가 있어 보이는 'KraKenCryptor' 랜섬웨어를 이번 분석 보고서에서 알아보도록 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 147,456 byte 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포 경로와 ..

다양한 확장자를 가진 Dharma Ransomware 변종 유포 주의 1. 개요 Dharma 랜섬웨어는 Crysis 랜섬웨어의 후속작으로, 변종마다 서로 다른 암호화 확장자를 사용하는 특징을 가지고 있다. 일부 변종에 대해서는 암호화된 파일을 복구할 수 있는 툴이 배포되고 있는 만큼 정확한 상황 파악과 대응이 필요하다. 이번 보고서에서는 Dharma 랜섬웨어의 변종 중 하나인 “.btc” 확장자 샘플의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 278,528 bytes 진단명 Ransom/W32.VB-Dharma.278528 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로..

무료 복구 툴이 개발된 CryptoNar 랜섬웨어 1. 개요 최근 발견 된 'CryptoNar' 랜섬웨어는 'CryptoJoker' 랜섬웨어의 변종으로 알려져 있다. 변종으로 보여지는 이유로 파일 암호화 시, 정상 파일의 확장자를 비교하여 각기 다른 두 종류의 확장자를 추가로 덧붙이는데 비교하는 대상 확장자의 기준이 동일하기 때문인것으로 보여진다. 이번 보고서에서는 ‘CryptoNar’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 512,512 bytes 진단명 Ransom/W32.CryptoNar 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일 또는 변조된 웹 ..

복호화 키를 저장하는 ‘Termite’ 랜섬웨어 감염 주의 1. 개요 본 보고서에서 다루게 될 ‘Termite’ 랜섬웨어는 파일을 암호화하고 랜섬노트를 통해 중국의 특정 블로그 주소를 안내한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 랜섬웨어 버전에 따라 암호화한 파일에 ‘.aaaaaa’, ‘.Xiak’ 등의 문자열을 덧붙여 확장자를 변경한다. 추가적으로 복호화 키를 레지스트리에 저장하기 때문에 해당 키를 사용하여 복구를 시도해 볼 수 있다. 이번 보고서에서는 최근 발견된 ‘Termite’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 599,040 bytes 진단명 Ransom/W32.Termite.1957888 악성..

서비스형 랜섬웨어 “Princess Evolution Ransomware” 유포 주의 1. 개요 최근, Princess 랜섬웨어의 변종인 “Princess Evolution”의 이름의 랜섬웨어가 유포되고 있어 주의가 필요하다. 해당 랜섬웨어의 제작자는 파일을 배포하여 감염 시키는 활동만 할뿐 아니라, 배포를 함께 할 협력자를 모집하고 있다는 내용과 피해자의 이윤을 배분하겠다고 범죄 사이트를 통해 활발히 활동하고 있는 것으로 확인 된다. 이번 보고서에서는 서비스형 랜섬웨어인 “Princess Evolution Ransomware”에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 305,152 bytes 진단명 Ransom/W32.Prince..

‘Desu’ 랜섬웨어 감염 주의 1. 개요 본 보고서에서 다루게 될 ‘Desu’ 랜섬웨어는 특정 확장자 파일을 암호화하고 MBR을 변조하여 운영체제의 정상적인 부팅을 방해한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화한 파일은 ‘.desu’ 라는 문자열을 덧붙여 확장자를 변경한다. 또한, 드라이버 전체를 대상으로 암호화를 진행하기 때문에 감염 시 피해가 클 것으로 예상한다. 이번 보고서에서는 ‘Desu’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 260,608 byte 진단명 Ransom/W32.Desu.260608 악성동작 파일 암호화 2-2. 실행 과정 Desu’ 랜섬웨어는 MBR 변조 후 연결된 논리 드라..