분석 정보/랜섬웨어 분석 정보307 [랜섬웨어 분석] JSWorm 랜섬웨어 분석 보고서 업데이트된 JSWorm 4.0.2 랜섬웨어 1. 개요 2019년 초기에 등장한 JSWorm 랜섬웨어는 최근 4.0.2 버전으로 등장하였다. 해당 버전의 경우, 일반적인 랜섬웨어와 동일하게 암호화 동작을 하고, 백업 섀도우 볼륨을 삭제한다. 그러나 JSWorm 랜섬웨어의 경우, 꾸준히 업그레이드하고 있어 더 큰 피해를 초래할 수 있기 때문에 지속적인 주의를 필요로 한다. 이번 보고서에서는 JSWorm 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 JSWorm 랜섬웨어는 시스템 디렉토리 및 특정 확장자를 제외하고 파일을 암호화하며, 모든 .. 2019. 9. 10. [랜섬웨어 분석] Maze 랜섬웨어 분석 보고서 한국어를 사용하는 Maze Ransomware 감염 주의 1. 개요 최근 발견된 Maze 랜섬웨어는 5월에 유포되었던 버전과 다르게 랜섬노트에 한국어 안내문이 포함되어있으며, 파일 내부에 김정은과 관련한 문자열이 포함되어 있다. 이러한 변화는 한국을 대상으로 추가적인 공격 가능성이 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다. 이번 보고서에서는 한국어를 사용하는 Maze 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 Maze 랜섬웨어 실행 시 암호화 제외 대상을 확인 후 암호화 대상 파일을 선별하여 암호화한다. 만약 공유 폴더가 존재한다면 해당 위치에 두개의 링크 폴더을 생성하며, 추가적으로 C&C 서버로 연결을 시도한다. 마지막으로.. 2019. 8. 26. [랜섬웨어 분석] syrk 랜섬웨어 분석 보고서 새로이 나타난 syrk 랜섬웨어 1. 개요 지난 8월 1일 syrk 랜섬웨어가 처음 등장하였다. 해당 랜섬웨어는 파일을 암호화 한다는 점에서는 일반적인 랜섬웨어와 동일하지만, 복호화 키를 감염된 사용자 PC내에 저장하는 것으로 보아 현재 개발 단계 중이거나, 제작자의 실수로 보여진다. 하지만, 랜섬웨어의 특성 상 파일 암호화 시 물질적, 금전적 피해가 커지기 때문에 지속적인 주의를 기울일 필요가 있다. 이번 보고서에서는 syrk 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 syrk 랜섬웨어를 실행하면 C:\Users\Public\Do.. 2019. 8. 20. [랜섬웨어 분석] BoooamCrypt 랜섬웨어 감염 주의 BoooamCrypt 랜섬웨어 감염 주의 1. 개요 최근 BoooamCrypt 라고 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 7월초 처음 발견되었으며, 아직 정확한 유포 경로나 피해사례는 알려지지 않았다. 이번 보고서에는 최근에 발견 된 BoooamCrypt 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 BoooamCrypt 랜섬웨어 실행 시, 자신을 특정 경로에 복제한 뒤 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다. 또한 대상이 되는 암호화 파일을 선별한 뒤 ‘.boooam@cock_li’ 라는 확장자를.. 2019. 8. 2. [랜섬웨어 분석]윈도우 취약점 이용하여 권한 상승하는 Sodinokibi 랜섬웨어 감염 주의 윈도우 취약점 이용하여 권한 상승하는 Sodinokibi 랜섬웨어 감염 주의 1. 개요 최근 발견된 Sodinokibi 랜섬웨어는 기존의 랜섬웨어 동작과 다르게 윈도우 취약점(CVE-2018-8453)을 통해 권한을 상승시켜 랜섬 동작을 수행하는 방식을 사용하고 있다. 해당 공격방식은 취약한 시스템에 있어 치명적인 피해를 발생시킬 수 있으며, 공격방식의 변화를 예상할 수 있어 사용자의 각별한 주의가 필요하다. 잉카인터넷에서는 해당 랜섬웨어에 대한 분석 정보를 게시하였다. "견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의" - https://isarc.tachyonlab.com/2306 이번 보고서에서는 윈도우 취약점을 이용하여 권한을 상승시키는 Sodinokibi 랜섬웨어에 대.. 2019. 7. 18. [랜섬웨어 분석]바로가기 파일로 위장하여 악성파일 다운로드하는 Cephalo 랜섬웨어 감염 주의 바로가기 파일로 위장하여 악성파일 다운로드하는 Cephalo 랜섬웨어 감염 주의 1. 개요 최근 발견된 Cephalo 랜섬웨어는 바로가기(.lnk) 파일을 정상인 것처럼 위장하여 사용자의 실행을 유도하고 있으며, 실행 시 악성파일을 다운로드 하고 실행하여 악성 동작을 수행하는 방식을 사용하고 있다. 이러한 방식은 사용자로 하여금 의심없이 파일을 실행시킬 수 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다. 이번 보고서에서는 .ceph 감염 확장자를 사용하는 Cephalo 랜섬웨어에 대해 간략하게 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].lnk 파일크키 3,205 bytes 진단명 - 악성 동작 파일 다운로드 구분 내용 파일명 Cep.. 2019. 7. 4. 이전 1 ··· 29 30 31 32 33 34 35 ··· 52 다음
