잉카인터넷 시큐리티대응센터 블로그

부팅 막는 랜섬웨어, Petya의 변종 GoldenEye 1. 개요 2016년 3월 MBR 영역을 변조하여 PC 부팅 시 해골 화면을 띄우는 랜섬웨어인 Petya 가 모습을 드러냈다. 이 랜섬웨어에 감염되면 MBR 이 변조 되는 것뿐만 아니라 MFT 까지 암호화를 진행하여 사용자가 PC 를 사용할 수 없도록 한 뒤 비트코인을 요구하였다. 5월에는 Petya가 Micha 와 함께 다시 나타나 MBR 뿐만 아니라 사용자의 파일까지 암호화 시키는 동작을 수행하였다.최근 Petya 랜섬웨어의 새로운 변종이 새로이 유포되고 있는 것이 확인되었다. 랜섬웨어에 감염된 사용자 PC 화면에 노란해골 화면을 띄우는 GoldenEye 랜섬웨어를 본 보고서에서 다루고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명G..

샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어 1. 개요 지난 11월 샌프란시스코 철도 시스템(일명 Muni)의 2,112 대 컴퓨터가 랜섬웨어에 감염되었다. 이로 인해 해당 역의 결제 시스템과 스케줄링 시스템을 사용할 수 없게 되었으며, 결국 전철을 임시로 무료 개방하는 상황에 이르렀다. 이번 사태에 이용된 랜섬웨어는 바로 Mamba(또는 HDDCryptor) 랜섬웨어다. 해당 랜섬웨어는 파일을 암호화하는 것이 아니라 하드 디스크를 암호화하기 때문에 부팅 시 지정된 암호를 입력해야만 PC 를 부팅할 수 있게 된다. 이번 분석보고서에서는 Mamba 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명mamba.exe (임의의 파일명)파일크기2,415,104 byte진단..

‘Park Geun-hye Resigns’ 링크 주의, 이슈를 이용해 유포된 Cerber 랜섬웨어 1. 개요 악성코드 유포 방법은 다양한데, 이 중 하나로 사회적 이슈를 이용하는 방법이 있다. 사회적 이슈와 관련된 웹 페이지나 파일 등에 악성코드를 첨부하여 사용자가 접근했을 때 악성코드를 다운로드하고 감염을 시작한다. 최근엔 국내 가장 큰 이슈에 맞춰, 박근혜 대통령 이슈를 이용해 유포되는 랜섬웨어가 등장하였다. 하루에도 수 많은 관련 기사들이 나오고 대부분의 사람들이 관심 갖는 이슈인 만큼 감염되기 쉽다는 것이 큰 특징이다. 이번 보고서에선 ‘Park Geun-hye Resigns’이라는 자극적인 제목의 가짜 기사 링크로 접속을 유도하여, 사용자 PC를 감염시킨 Cerber 랜섬웨어에 대해 자세히 알아..

영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 1. 개요 2015년 랜섬웨어가 확산된 시점부터 지금까지 신,변종의 랜섬웨어가 계속해서 등장하고 있으며, 랜섬웨어는 점차 현대 트렌드를 반영한 형태로 나타나기 시작했다. 모바일 게임인 Pokemon Go 가 출시 된 후, 그에 따른 PokemonGo 랜섬웨어가 나타났고, 미국 드라마 Mr.Robot 이 방송함에 따라 드라마 속 집단의 이름을 모방한 Fsociety 랜섬웨어가 나타났다. 이처럼 현대 트렌드를 반영한 랜섬웨어가 점차 많이 발견되고 있으므로, 이번 분석보고서에서는 영화 ‘더 퍼지’를 모티브로 한 Globe 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 trump.exe (임의의 파일명) 파일크기 155,6..

Hades Locker로 돌아온 WildFire 랜섬웨어 1. 개요 이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 update.exe 파일크기 510,026 byte 진단명 Ransom/W32.Hades.510026 ..

한국어 지원 Princess 랜섬웨어 분석 1. 개요 최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 nvsvc32.exe 파일크기 403,968 byte 진단명 Ransom/W32.Princess.403968 악성동작 파일 암호화 네트워크 4*****f*****3**m.onion.link – 공격자 서버 2-2...

지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 분석 1. 개요 일반적으로 랜섬웨어는 .ppt, .doc, .txt 와 같은 문서 파일의 확장자를 대상으로 한다. 이번에 분석한 Nullbyte 랜섬웨어는 파일 확장자를 기준으로 암호화 대상을 찾지 않고, 공격자가 지정한 경로의 모든 파일을 암호화 한다. 따라서, 주요 문서 파일의 암호화 뿐만 아니라 응용프로그램도 암호화하며, 확장자가 없는 파일 또한 암호화가 된다. 이렇듯 무차별적으로 파일을 암호화하는 Nullbyte 랜섬웨어에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보구분내용파일명encasvc.exe파일크기456,192 byte진단명Ransom/W32.Agent.456192악성동작파일 암호화네트워크31.***.***.116 2-2...

DLL 파일로 돌아온 Locky 랜섬웨어 주의 1. 개요 지난 8월 Locky의 변종인 Zepto가 유포되어 사용자를 위협했다. Zepto는 이메일에 첨부된 오피스 매크로를 통해 실행되어 파일을 암호화했으나, 최근 매크로가 아닌 다른 방식을 사용하는 새로운 변종이 발견되었다. 이 신규 변종은 자바스크립트를 통해 랜섬웨어 본체인 DLL 파일을 다운받고 실행시키는 특징을 보인다. 이번 보고서에서는 DLL 파일로 동작하는 변종 Locky 에 대하여 알아본다. *참고. Locky의 변종, Zepto 랜섬웨어 주의 보고서 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 locky.js (임의의 파일명) 파일크기 88,107 byte 진단명 Script/W32.Locky 악성동작 랜섬웨어 다운로더 네트워크 2..

말하는 랜섬웨어 Cerber 2 분석 보고서 1. 개요 말하는 랜섬웨어로 유명한 Cerber 랜섬웨어는 파일 암호화가 완료되면 .vbs 파일을 통해 사용자에게 암호화 사실을 알려준다. 2016년 4월에서 5월 중에 CryptoWall 과 Locky 랜섬웨어 다음으로 많이 유포되었던 Cerber 렌섬웨어(출처 Fortinet Blog)는 최근 새로운 버전으로 다시 유포되기 시작했는데, 기존과는 다르게 확장자가 ‘.cerber2’로 변경되어 있다. 이번 분석 보고서에서는 새로운 버전으로 나타난 Cerber2 랜섬웨어에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 cerber2.exe (임의의 파일명) 파일크기 248,965 byte 진단명 Ransom/W32.Cerber.2..

국내 메신저로 위장한 랜섬웨어 분석 보고서 1. 개요 교육용 오픈소스 랜섬웨어 히든-티어(Hidden-Tear)를 변형한 랜섬웨어가 발견되었다. 다른 랜섬웨어와 다르게 주목할만한 점은 해당 랜섬웨어가 암호화한 파일의 확장자를 “.암호화됨”으로 변경하고, 파일 아이콘이 국내 유명 메신저로 위장하는 등 여러 부분에서 한국인이 제작했을 가능성이 높아 보인다. 분석 결과 해당 랜섬웨어는 히든-티어의 소스 전체를 그대로 가져다 쓰고 랜섬노트 출력만 추가한 것으로 보이며, 랜섬웨어 동작에 필요한 다수 기능이 아직 구현되지 않은 개발 초기 단계로 보인다. 해당 랜섬웨어는 아직 유포가 되지않아 제작 목적이 개인 연구용인지 유포용인지 알 수 없다. 하지만 아래와 같이 토르(Tor-project)를 이용하여 익명의 암호 ..