잉카인터넷 시큐리티대응센터 블로그

Zenis 랜섬웨어 감염 주의 1. 개요 본 보고서에서 다루게 될 제니스(Zenis) 랜섬웨어는 특정 조건의 파일을 암호화하거나 삭제한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화한 파일은 ‘Zenis-[임의의 값].[임의의 값]’으로 파일명을 변경한다. 특히 삭제 대상의 파일을 삭제 전 3번에 걸쳐 다른 값으로 덮어씀으로써 파일 복구를 어렵게 한다. 이번 보고서에는 제니스 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명iis_agent32.exe파일크기147,968byte악성동작파일 암호화 2-2. 동작 방식제니스 랜섬웨어는 몇가지 특정 조건에 부합했을 때 랜섬웨어 동작을 수행한다. 그 조건으로 자기 자신의 파일명이 ‘iis_agent32.exe’와 일..

다시 돌아온 GandCrab Ransomware 감염 주의 1. 개요 'GandCrab Ransomware' 는 ‘Exploit Kit’을 통해 취약한 웹사이트에 방문했을 때 감염된다고 알려져 있다.해당 랜섬웨어에 감염이 되면, 사용자의 정보를 수집하여 전송하고 감염 대상이 되는 파일 확장자를 비교하여 암호화 동작을 수행한다. 하지만, 최근에 발견 된 'GandCrab Ransomware V2.0' 는 이메일을 통하여 유포되고 있는 것으로 보이며 기존 버전과 큰 차이는 없지만 감염 대상이 되는 확장자를 따로 구분없이 모든 파일에 대해 암호화 동작을 수행하는 것으로 확인된다. 이번 보고서에서는 버전업이 되어 돌아온 'GandCrab Ransomware V2.0' 에 대해서 간략하게 알아보자. 2. 분석 정..

Hermes 랜섬웨어 변종 출현!, 초기 버전부터 변화과정 1. 개요 최근 랜섬웨어에 대한 피해 사례가 끊임없이 발생되고 있는 가운데, 새로운 랜섬웨어에 대한 내용보다 변종과 관련된 내용이 다수 차지하고 있다. 이는 여러가지 이유가 있겠지만, 그 중에 일부는 자동화 된 도구나 공개된 오픈 소스를 활용하기 때문인 것으로 추측된다. 이번에 발견 된 ‘Hermes’ 랜섬웨어도 지속적으로 업그레이드 되거나 변종이 계속해서 발견되고 있는데 최근 ‘Sundown Exploit Kit’ 을 통해 웹 서핑 도중 감염되는 변종이 확인 되었다. 해당 랜섬웨어는 기존에는 존재하지 않았던 암호화 제외 대상 목록이 존재하며 암호화 후 확장자를 변경시키지 않아 사용자가 감염 여부를 인지하기 어려울 것으로 예상된다. 이번 보고서에..

Qwerty 랜섬웨어 감염 주의 1. 개요 본 보고서에서 다루게 될 쿼티(Qwerty) 랜섬웨어는 ‘GPG’ 프로그램을 사용하여 파일을 암호화한다. ‘GPG’는 데이터와 통신을 암호화 시킬 수 있는 정상 프로그램으로 랜섬웨어에서 타 정상 프로그램을 사용하여 파일을 암호화하는 것은 드문 일이다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화된 파일의 확장자를 ‘.[임의의 값].qwerty’로 저장하고 원본 파일을 삭제하는 방식으로 랜섬웨어 기능을 수행한다. 이번 보고서에는 패키지로 구성된 쿼티 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명find.exe파일크기946,702byte진단명Ransom/W32.Qwerty.946702악성동작파일 암호화 2-2. 동작 ..

공포영화 애나벨을 모티브로 한 “Annabelle Ransomware” 유포 주의 1. 개요 최근, 애나벨이라는 공포영화를 모티브로 한 “Annabelle” 랜섬웨어가 발견 되었다. 해당 랜섬웨어에 감염이 될 경우 국내에서도 공포영화로 잘 알려진 '애나벨' 에 나오는 인형을 사용자에게 보여주어 공포심을 조장하고, 사용자 PC에 있는 파일을 암호화한다. 뿐만 아니라 사용자가 정상적으로 PC를 사용할 수 없도록 MBR까지 변조하기 때문에 사용자들의 주의를 요하고 있다.이번 보고서에서는 “Annabelle Ransomware”에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Annabelle.exe파일크기216,576 bytes진단명Ransom/W64.Annabelle.216576악성..

새로 생성되는 파일도 암호화 하는 Rapid 랜섬웨어 주의 1. 개요 2017년과 비교하였을 때 2018년에 랜섬웨어의 공격 빈도는 상대적으로 많이 줄어들었지만 꾸준히 발견되고 있다. 이번에 발견된 'rapid ransomware' 역시도 기존 랜섬웨어와 같이 파일 암호화를 진행하며 파일을 복호화 하기위해 공격자에게 이메일을 보내도록 유도한다. 'rapid ransomware' 만이 가지는 특징은 아니지만 해당 랜섬웨어는 암호화를 끝낸 뒤에 활성화 상태를 유지하며 암호화 동작을 반복적으로 시행한다. 이런 동작으로 인하여 새롭게 생성되는 파일 역시 암호화 된다.이번 보고서에서는 새롭게 생성되는 파일까지도 암호화 하는 'rapid ransomware' 에 대해 알아보자. 2. 분석 정보 2-1. 파일 정보구..

게임 파일 아이콘으로 위장한 한국어 랜섬웨어 감염 주의 1. 개요 이번에 발견 된 랜섬웨어는 '히든 티어(Hidden Tear)' 오픈 소스로 작성 된 랜섬웨어로 게임 파일로 위장하여 사용자들의 파일을 암호화하기 때문에 각별한 주의가 필요하다. 해당 랜섬웨어는 일전에 소개되어진 'Korean Locker' 랜섬웨어와 같이 유창한 한국어로 랜섬노트에 복호화 절차를 안내하고 있고, 금전을 요구하는 연락처 또한 'Korean Locker' 와 같기 때문에 같은 제작자에 의해 만들어진 것으로 보여진다. 이번 보고서에서는 게임 파일로 위장하면서 확장자를 '.암호화됨' 으로 변경하는 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 Minecraft.exe 파일크기 2,762..

한국인이 제작한 것으로 추정되는 ‘Korean Locker’ 랜섬웨어 유포 주의 1. 개요 최근, 유창한 한국어로 작성된 ‘Korean Locker’ 랜섬웨어가 발견되었다. 새롭게 발견된 ‘Korean Locker’ 랜섬웨어는 오픈소스 랜섬웨어인 '히든 티어(Hidden Tear)'를 활용한 ‘.NET’ 기반의 랜섬웨어다. 해당 랜섬웨어의 랜섬노트는 능숙한 한글로 기재 되어 있으며, 나무 위키 웹사이트 URL을 첨부하여 사용자에게 RSA 암호화 방식에 대한 내용을 제공한다. 또한 비트 코인을 지불하는 방법으로 한국 비트코인 거래소를 소개하는 점으로 보아 한국인 개발자가 제작한 것으로 추정된다. 이번 분석 보고서에서는 ‘Korean Locker’ 랜섬웨어에 대하여 간략하게 알아보고자 한다. 2. 분석 정보..

Triple M 랜섬웨어 유포 주의 1. 개요 최근, 가상화폐의 가치에 대한 사회적 관심이 높아지고 있는 가운데, 작년에 이어 올해도 다양한 형태의 랜섬웨어가 발견되고 있다. 사용자 PC에 있는 주요 파일을 암호화하고 금전을 요구하는 랜섬웨어는 거래 추적을 어렵게 하기 위해 가상 화폐를 이용하는데, 가상 화폐 가치가 늘어난 만큼 랜섬웨어 또한 기승을 부릴 것으로 보여진다. 이번 분석 보고서에서는 “Triple M” 랜섬웨어에 대하여 간략하게 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 mmm.exe 파일크기 32,256 bytes 악성 동작 파일 암호화, 금전 요구 2-2. 유포 경로정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 메일에 파일을 첨..

Hermes 2.1 랜섬웨어 감염 주의 1. 개요 ‘Hermes 2.1’ 랜섬웨어는 지정된 확장자를 대상으로 파일을 암호화한다. 일반적인 랜섬웨어와는 달리 암호화 후 확장자를 변경시키지 않아, 사용자가 자신이 랜섬웨어에 감염되었는지 파악하기 어려울 것으로 예상된다. 해당 랜섬웨어는 일반 사용자의 접근이 쉬운 국내 웹 사이트를 통해 유포되었기 때문에 각별한 주의가 필요하다. 이번 보고서에는 국내 웹 사이트를 통해 유포된 ‘Hermes 2.1’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 345,088 byte 진단명 Ransom/W32.Hermes.345088 악성동작 파일 암호화 2-2. 유포 경로‘Sundown Exploit..