잉카인터넷 시큐리티대응센터 블로그

음란물 사이트를 통해 유포하는 협박성 악성코드 감염 주의 1. 개요 해외 음란물 사이트를 통해 유포된 이번 악성코드는 아동 음란물 다운로드 및 유포 행위에 대한 신고를 빌미로 사용자에게가상화폐를 요구한다. 감염 시스템상의 피해를 주진 않지만 금전 갈취를 목적으로 사용자PC에서 수집한 정보를 공개하고 있어 주의를 기울여야 한다. 이번 보고서에는 가상화폐를 요구하는 협박성 악성코드에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명[임의의 파일명].exe파일크기616,448 byte진단명Trojan/W32.PornBlackMailer.616448악성동작가상화폐 요구 협박 2-2. 유포 경로해외 음란물 사이트를 통해 유포한다. 2-3. 실행 과정악성코드를 실행하면 자기 자신을 ‘%app..

게임 파일 아이콘으로 위장한 한국어 랜섬웨어 감염 주의 1. 개요 이번에 발견 된 랜섬웨어는 '히든 티어(Hidden Tear)' 오픈 소스로 작성 된 랜섬웨어로 게임 파일로 위장하여 사용자들의 파일을 암호화하기 때문에 각별한 주의가 필요하다. 해당 랜섬웨어는 일전에 소개되어진 'Korean Locker' 랜섬웨어와 같이 유창한 한국어로 랜섬노트에 복호화 절차를 안내하고 있고, 금전을 요구하는 연락처 또한 'Korean Locker' 와 같기 때문에 같은 제작자에 의해 만들어진 것으로 보여진다. 이번 보고서에서는 게임 파일로 위장하면서 확장자를 '.암호화됨' 으로 변경하는 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 Minecraft.exe 파일크기 2,762..

한국인이 제작한 것으로 추정되는 ‘Korean Locker’ 랜섬웨어 유포 주의 1. 개요 최근, 유창한 한국어로 작성된 ‘Korean Locker’ 랜섬웨어가 발견되었다. 새롭게 발견된 ‘Korean Locker’ 랜섬웨어는 오픈소스 랜섬웨어인 '히든 티어(Hidden Tear)'를 활용한 ‘.NET’ 기반의 랜섬웨어다. 해당 랜섬웨어의 랜섬노트는 능숙한 한글로 기재 되어 있으며, 나무 위키 웹사이트 URL을 첨부하여 사용자에게 RSA 암호화 방식에 대한 내용을 제공한다. 또한 비트 코인을 지불하는 방법으로 한국 비트코인 거래소를 소개하는 점으로 보아 한국인 개발자가 제작한 것으로 추정된다. 이번 분석 보고서에서는 ‘Korean Locker’ 랜섬웨어에 대하여 간략하게 알아보고자 한다. 2. 분석 정보..

Triple M 랜섬웨어 유포 주의 1. 개요 최근, 가상화폐의 가치에 대한 사회적 관심이 높아지고 있는 가운데, 작년에 이어 올해도 다양한 형태의 랜섬웨어가 발견되고 있다. 사용자 PC에 있는 주요 파일을 암호화하고 금전을 요구하는 랜섬웨어는 거래 추적을 어렵게 하기 위해 가상 화폐를 이용하는데, 가상 화폐 가치가 늘어난 만큼 랜섬웨어 또한 기승을 부릴 것으로 보여진다. 이번 분석 보고서에서는 “Triple M” 랜섬웨어에 대하여 간략하게 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 mmm.exe 파일크기 32,256 bytes 악성 동작 파일 암호화, 금전 요구 2-2. 유포 경로정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 메일에 파일을 첨..

사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의 1. 개요 최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다. 복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다...

Hermes 2.1 랜섬웨어 감염 주의 1. 개요 ‘Hermes 2.1’ 랜섬웨어는 지정된 확장자를 대상으로 파일을 암호화한다. 일반적인 랜섬웨어와는 달리 암호화 후 확장자를 변경시키지 않아, 사용자가 자신이 랜섬웨어에 감염되었는지 파악하기 어려울 것으로 예상된다. 해당 랜섬웨어는 일반 사용자의 접근이 쉬운 국내 웹 사이트를 통해 유포되었기 때문에 각별한 주의가 필요하다. 이번 보고서에는 국내 웹 사이트를 통해 유포된 ‘Hermes 2.1’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 345,088 byte 진단명 Ransom/W32.Hermes.345088 악성동작 파일 암호화 2-2. 유포 경로‘Sundown Exploit..

HWP2018 실행파일로 위장한 악성코드 유포 주의! 1. 개요 최근 hwp 문서 파일과 관련된 악성코드 수가 증가하고 있어 국내 사용자의 주의가 요구된다. 이전 대부분의 악성코드가 이력서나 중요 문서들로 위장했다면, 해당 악성코드는 불법 소프트웨어를 사용하려는 사람들을 대상으로 유포되고 있기때문에, P2P 사이트 등 신뢰할 수 없는 사이트에서의 파일 다운로드와 실행을 하지않도록 각별한 주의가 필요하다. 또한, ‘HWP2018 무설치버전’ 실행파일로 되어있고 파일 크기 또한 정상적인 실행파일과 유사하기 때문에, 사용자 입장에서 정상파일과 구분이 어려운 특징을 가지고 있다. 이번 보고서에서는 ‘HWP2018 무설치버전’ 실행파일로 위장한 악성코드에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정..

‘Spider Ransomware’ 감염 주의 1. 개요 지난 보고서에서 알아보았던 ‘Oni’ 랜섬웨어는 일본을 대상으로 활동했던 랜섬웨어다. 국내뿐만 아니라, 세계적으로 2017년 악성코드 비율에서 높은 부분을 차지했던 악성코드는 랜섬웨어를 꼽을 수 있다. 이번 보고서에서는 발칸 반도의 특정 국가들을 대상으로 삼아 새로이 등장한 ‘Spider’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 enc.exe 파일크기 29,184 byte 진단명 Ransom/W32.FileSpider.29184 악성동작 파일 암호화 구분 내용 파일명 dec.exe 파일크기 222,208 byte 진단명 Ransom/W32.FileSpider.222208 악성동작 프로세스 모니터링 ..

‘PDF 파일로 위장한 Ransomware’ 감염 주의 1. 개요 일반적으로 악성코드는 사용자에게 감염을 성공적으로 하기 위해서, 사용자가 호기심을 가질만한 내용으로 파일이름을 변경하거나 이미 보편적으로 사용되고 있는 소프트웨어로 위장하여 유포한다. 랜섬웨어 또한 악성코드의 한 종류로써 위와 같은 방법을 사용하여 사용자의 파일을 인질로 삼아 금전을 요구한다. 일반적인 악성코드에 비하여 감염 시 정상적으로 PC에 있는 파일을 사용 할 수 없기 때문에 피해가 크다. 그렇기 때문에 보편적으로 사용되고 있는 소프트웨어라도 설치하거나 다운로드 시 주의를 요한다. 이번 보고서에서는 다른 랜섬웨어들에 비하여 완성도가 많이 떨어지긴 하지만 PDF 파일로 위장하여 파일을 암호화하는 랜섬웨어에 대하여 간략하게 알아보도록 ..

일본 기업을 표적으로 하는 Oni 랜섬웨어 유포 주의 1. 개요 최근, ‘NotPetya’ 과 ‘Bad Rabbit’ 등과 같이 기업을 표적으로 하는 랜섬웨어가 기승을 부리고 있다. 이번에는 일본 기업을 표적으로 하는 ‘Oni’라는 랜섬웨어가 등장해 사용자의 주의를 요하고 있다. 해당 랜섬웨어는 일본어로 쓰여진 랜섬노트가 특징이다. 파일을 암호화 한 후 확장자를 ‘. oni’로 변경하기 때문에 해당 랜섬웨어는 ‘Oni’로 명명 되었다. 이번 분석 보고서에서는 ‘Oni’ 랜섬웨어 유포 사례를 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 Oni.exe 파일크기 99,840 byte 진단명 Ransom/W32.Oni.99840 악성 동작 파일 암호화 2-2. 유포 경로해당 랜섬웨어는..