잉카인터넷 시큐리티대응센터 블로그

4.0 버전으로 나타난 ‘DMA Locker 랜섬웨어’ 감염 주의 1. 개요 최근 전세계를 대상으로 공격을 감행한 ‘워너크라이’ 랜섬웨어로 인하여 어느때보다 언론 및 일반 PC사용자들이 악성코드에 대한 관심이 높아지고 있다. ‘DMA Locker 4.0’ 랜섬웨어는 새로 발견된 랜섬웨어는 아니지만, 아이콘이 PDF형태이고 원격지에서 암호화에 사용되는 공개키와 함께 명령문을 전달받아 동작을 수행하므로 사용자의 주의가 필요하다. 현재 분석시점에서는 원격지와의 연결이 원활하지 않아 암호화 동작을 수행하고 있지 않지만 감염된 PC에서 악성코드가 프로세스에 상주해 있기 때문에 원격지와 연결이 된다면 언제든지 암호화가 가능할 것으로 보인다. 이번 보고서에서는 ‘DMA Locker 4.0’ 랜섬웨어의 주요 동작을 알..

전 세계를 공포에 떨게 한 ‘WannaCryptor 랜섬웨어’ 분석 1. 개요 지난 5월 전 세계를 동시다발적으로 혼란상태로 빠지게 만든 ‘WannaCryptor’ 랜섬웨어가 가장 큰 이슈의 도마 위에 오르게 되었다. 랜섬웨어로 인한 피해사례는 과거부터 수차례 언급되었지만 이번 공격처럼 전 세계적으로 짧은 시간에 빠르게 유포된 사례는 없었다. 기존 여타 랜섬웨어 같은 경우 출처가 불분명한 이메일 첨부파일이나 취약한 웹사이트 접속 시 감염되었는 데 반해, 해당 랜섬웨어는 Windows 취약점 SMB 프로토콜을 이용한 확산형 웜 형태로 네트워크를 통해서 유포되었기 때문에 피해 사례가 급속도로 늘어난 것으로 추정된다. Windows SMB 취약점은 이미 Microsoft에서 3월에 패치를 통해 해결된 상태이기..

다시 돌아온 ‘Sage 2.2 랜섬웨어’ 감염 주의 1. 개요 전세계적으로 많은 피해를 일으키고 있는 랜섬웨어는 불과 몇 년 전까지만 해도 국내에서는 다른 악성코드에 비하여 많은 피해 신고가 접수되지 않았다. 그 이유 중 하나는, 주로 이메일에 첨부된 내용이 영문으로 작성되어 있기 때문에 사용자 입장에서는 확인을 하지 않고 무시하는 경우가 대부분 이었던 것으로 추정된다. 하지만 근래에는 ‘연말정산 안내’, ‘영수증 첨부’ 등 한글로 교묘하게 위장한 랜섬웨어들로 인하여 국내에서 피해신고가 매년 증가하는 추세이다. 최근 업데이트 된 ‘Sage 2.2 랜섬웨어’ 는 기존에 유포 된, ‘Sage 2.0 Ransomware’ 와 동일하게 .hwp 확장자 파일을 암호화한다는 점은 같다. 하지만, ‘Sage 2.2’..

Venus Locker의 변종, LLTP Locker 감염 주의 1. 개요 ‘사회공학 기법’ 이란 사람들의 심리를 이용하여 원하는 정보를 얻는 공격기법을 말한다. 보안 기술이 발달함에 따라 시스템의 보안성은 강화되고 있지만 사람의 심리를 이용한 공격은 시대의 흐름을 떠나 상당히 효과적이며 이를 이용하여 많은 대상에게 피해를 줄 수 있다. 지난해 12월부터 국내주요기관과 기업인들을 대상으로 유포된 ‘Venus Locker’ 는 연말연시에 내부 변동 사항이 많은 시점을 노려, 특정 제목으로 스팸메일을 발송하여 첨부파일을 열람하도록 유도한것으로 보인다. 그리고 불가 몇 달 만에 Venus Locker의 변종인 ‘LLTP Locker’ 랜섬웨어가 발견되었다. 이번 보고서에서는 Venus Locker의 변종, ‘..

게임 점수를 요구하는 ‘Rensenware’(련선웨어) 분석 1. 개요 일반적으로 랜섬웨어는 해당 PC에 저장되어 있는 데이터 파일들을 암호화하여 인질로 잡고, 이를 복구하기 위한 방법으로 금전적 요구를 하는 악성코드이다. 하지만 최근에 발견된 ‘Rensenware’(련선웨어) 의 경우 암호화된 파일을 복구하기 위해 금액 지불이 아닌 특정 게임에서 일정 점수 이상을 달성해야 한다. 해당 ‘Rensenware’ 는 국내 한 누리꾼이 재미를 위해 개발한 랜섬웨어로, 실행 파일이 직접적으로는 배포되지 않았다. 하지만 인터넷에 소스코드가 공개되어 악용의 소지가 있을 것으로 예상된다.사태의 심각성을 인지한 해당 개발자는 빠른 사과와 무력화 툴을 공개하였지만 유사한 악성코드가 발견될 수 있어 국내 사용자들에게 주의..

한국어 지원하는 ‘Revenge’ 랜섬웨어 감염 주의 1. 개요 ‘Revenge’ 랜섬웨어는 한국 사용자들이 복호화 비용을 지불할 수 있도록 한국어도 함께 지원하고 있다. 암호화 대상 확장자에는 국내에서 많이 사용되고 있는 .hwp 도 포함되어 있어 주의를 요한다.CrytoMix 또는 CryptFile2의 변종인 해당 랜섬웨어는 웹 브라우저 및 웹 브라우저 플러그인의 취약점을 공격하는 ‘RIG 익스플로잇 킷’ 을 통해 유포된다. 이 랜섬웨어에 감염 되면 감염 된 파일 확장자들이 .REVENGE 라는 확장자명으로 변경되고 파일명이 특정한 규칙에 의해 변경 된다.이번 보고서에는 한국인 사용자도 함께 겨냥한 ‘Revenge’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명r..

Spora 랜섬웨어 분석 보고서 1. 개요 몸값을 뜻하는 랜섬(Ransom)과 제품을 뜻하는 웨어(Ware)의 합성어인 랜섬웨어(Ransomware)는 사용자의 데이터를 동의없이 암호화하여 인질로 잡아 금전적 요구를 하는 악성 프로그램이다. 익명성이 보장되는 비트코인(Bitcoin)의 활용으로 이러한 랜섬웨어의 대금 지불이 용이하게 되어 가장 활발하게 활동하는 악성코드가 되었다. 해당 보고서에서 다루는 악성코드는 앞서 설명한 랜섬웨어의 일종이며, 최근 유명 악성코드 군에 합류한 랜섬웨어이다. 2. 분석 정보 2-1. 파일 정보구분내용파일명spora.exe파일크기77,824 byte진단명Ransom/W32.Spora.77824.L악성동작랜섬웨어해쉬(MD5)57484440F7BE94394FD851DE3E41..

2.0 버전으로 나타난 세이지 랜섬웨어 상세 분석 1. 개요 지난 12월 CryLocker의 변종인 Sage 랜섬웨어가 나타났다. 당시 여타 랜섬웨어에 비해 활동이 적은 것으로 보였으나, RIG 익스플로잇 킷에 의해 배포되고 있다는 것으로 파악되며 점차 큰 성장세를 엿볼 수가 있었다. 그리고 한달 만에 새로운 2.0 버전으로 다시 유포되기 시작하였다. 이번 분석보고서에서는 Sage 랜섬웨어 2.0 버전에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 sage.exe (임의의 파일명) 파일크기 352,328 bytes 진단명 Ransom/W32.SageCrypt.352328 악성동작 파일 암호화, 금전 요구 2-2. 유포 경로 해당 랜섬웨어는 스팸 메일을 통해 유포되고 있는..

피해자를 가해자로, PopcornTime 랜섬웨어 분석 1. 개요 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 사용자에게 금전을 요구하는 악성 프로그램을 말한다. 대부분의 랜섬웨어는 사용자의 파일을 암호화한 뒤 비트코인을 보내면 복호화를 해준다며 금전을 요구하는데 최근 복호화 방법으로 비트코인 지불 외에 다른 방법을 거론하는 ‘PopcornTime’ 랜섬웨어가 발견되었다. PopcornTime 랜섬웨어는 파일을 복호화 하기 위해 타 랜섬웨어와 같이 비트코인을 요구하지만 또 다른 복호화 방법을 사용자에게 알려준다. 그 방법은 랜섬웨어 피해자가 랜섬웨어를 유포하게 만드는 것이다. 랜섬웨어 감염자에게 무료 복호화 방안으로 본인을 제외한 다른 이 2명을 감염시키고 비트코인을..

크리스마스 이브에 유포된 DeriaLock 랜섬웨어 1. 개요 악성코드를 제작하거나 유포하는 이들은 사회적 이슈를 많이 활용한다. 특히 어떠한 큰 행사나 기념일과 같은 때에 더욱 기승을 부리기도 한다. 이번 크리스마스 역시 새로운 악성코드 DeriaLock 랜섬웨어가 나타났다. 이번 보고서에서는 DeriaLock 랜섬웨어에 대해 알아보자. 2. 분석 정보 2-1. 파일 정보구분내용파일명DeriaLock.exe (임의의 파일명)파일크기581,632 bytes진단명Ransom/W32.Derialock.581632악성동작파일 암호화, 금전 요구네트워크a*********e.b*****d.net 2-2. 유포 경로정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어가 크리스마스 이브에 유포되었다는 점에서 연말과 ..