잉카인터넷 시큐리티대응센터 블로그

10월 랜섬웨어 동향 및 Xorist 랜섬웨어 1. 10월 랜섬웨어 동향 2018년 10월(10월 01일 ~ 09월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 여전히 GandCrab 랜섬웨어가 지속적인 버전업을 하며 가장 이슈가 되었으며, 해외에서는 미국 노스캐롤라이나의 상하수도청과 인디아나주 방위군이 랜섬웨어에 피해를 받은 일이 있었다. 이번 보고서에서는 10월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 10월 말 등장한 Xorist 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 GandCrab 랜섬웨어 피해 사례 지난 달에 이어 이번달에도 여전히 GandCrab 랜섬웨어는 버전업을 통해 국내외 사용자들을 괴롭혔다. V5.0.2부터 v5..

한국어를 지원하는 Kraken Cryptor 랜섬웨어 감염 주의 1. 개요 'Kraken Cryptor' 랜섬웨어는 올해 8월경부터 유포되어 최근 v2.0.7 버전까지 발견되었다. 파일 암호화 이후에는 감염된 PC의 바탕화면을 사용자 언어에 맞춰 변경하여 감염된 사실을 통보하며, 정상적인 파일 삭제 유틸리티를 다운로드해 원본 파일의 흔적까지 삭제하는 방식을 갖고 있다. 앞으로 버전 업의 여지가 있어 보이는 'KraKenCryptor' 랜섬웨어를 이번 분석 보고서에서 알아보도록 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 147,456 byte 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포 경로와 ..

KONNI Malware의 변종으로 알려진 NOKKI Malware 주의 1. 개요 ‘NOKKI’는 지난 ‘KONNI’ 악성코드와 유사점이 존재하여 붙여진 이름이다. 유사점으로는 사용자의 PC 정보를 수집하는 코드와 문서를 만드는 기능, 그리고 피싱 메일을 통해 유포된다는 점이다. 사용자가 피싱메일에 첨부된 가짜 문서를 열람할 경우 악성코드가 실행되게 되어 있어 주의가 필요하다. ‘KONNI’의 경우 북한과 관련된 내용의 가짜 문서로 첨부파일의 열람을 유도하였고, ‘NOKKI’ 악성코드는 러시아 외무부(МИД России)라는 파일명으로 열람을 유도하였다. 지난 1월에는 캄보디아와 관련된 내용의 가짜 문서로 공격한 사례가 있으며 지속적해서 변종이 만들어지고 있다. 이번 보고서에서는 ‘NOKKI’ 악성코드..

유명 게임 치팅 프로그램으로 위장한 악성파일 유포 주의 1. 개요 Epic Games 社에서 개발한 유명 게임 포트나이트가 새로운 시즌을 맞이하면서, 이와 관련된 악성 파일 유포도 활발해지고 있다. 이전부터 포트나이트 치팅 프로그램으로 위장한 악성 프로그램은 많았지만 대부분 게임 아이디, 패스워드, 등의 정보를 수집하는 정도였다. 이번에 발견된 샘플은 비트코인 지갑 등 민감한 정보를 다수 수집하기 때문에 특히 주의가 필요하다. 이번 보고서에서는 포트나이트 치팅 프로그램으로 위장한 프로그램의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 HyperCheats by eblanich hack (work).exe 파일크기 171,520 bytes 진단명 Download..

다양한 확장자를 가진 Dharma Ransomware 변종 유포 주의 1. 개요 Dharma 랜섬웨어는 Crysis 랜섬웨어의 후속작으로, 변종마다 서로 다른 암호화 확장자를 사용하는 특징을 가지고 있다. 일부 변종에 대해서는 암호화된 파일을 복구할 수 있는 툴이 배포되고 있는 만큼 정확한 상황 파악과 대응이 필요하다. 이번 보고서에서는 Dharma 랜섬웨어의 변종 중 하나인 “.btc” 확장자 샘플의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 278,528 bytes 진단명 Ransom/W32.VB-Dharma.278528 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로..

9월 랜섬웨어 동향 및 GandCrab V5.0.1 랜섬웨어 1. 9월 랜섬웨어 동향 2018년 09월(09월 01일 ~ 09월 30일) 한 달 간 국내 랜섬웨어 동향을 조사한 결과, 지속적으로 버전업 된 GandCrab 랜섬웨어 5.0 버전과 5.0.1 버전이 등장했다. 또한 홈페이지 제작업체 ‘아이 웹’ 이 랜섬웨어에 피해를 받아 지난해 있었던 나야나 랜섬웨어 사태를 떠오르게 했다. 해외에서는 영국 브리스틀 공항이 랜섬웨어에 피해를 받아 직원들과 승객들이 혼란을 겪는 일이 있었다. 이번 보고서에서는 9월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 GandCrab v5.0.1 에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 아이웹 랜섬웨어 피해 사례 추석 연휴 기..

무료 복구 툴이 개발된 CryptoNar 랜섬웨어 1. 개요 최근 발견 된 'CryptoNar' 랜섬웨어는 'CryptoJoker' 랜섬웨어의 변종으로 알려져 있다. 변종으로 보여지는 이유로 파일 암호화 시, 정상 파일의 확장자를 비교하여 각기 다른 두 종류의 확장자를 추가로 덧붙이는데 비교하는 대상 확장자의 기준이 동일하기 때문인것으로 보여진다. 이번 보고서에서는 ‘CryptoNar’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 512,512 bytes 진단명 Ransom/W32.CryptoNar 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일 또는 변조된 웹 ..

8월 랜섬웨어 동향 및 Ryuk 랜섬웨어 1. 8월 랜섬웨어 동향 2018년 08월(08월 01일 ~ 08월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 지난달과 마찬가지로 국내에서는 GandCrab 랜섬웨어가 왕성한 활동을 보였다. 해외에서는 PGA(미국 프로 골프 협회)나 TSMC(대만 반도체 업체)등 랜섬웨어 피해를 입은 사례들이 나타났다. 8월, 신종 및 변종 랜섬웨어에 대해 알아보고, 신종 랜섬웨어인 Ryuk 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내외 랜섬웨어 피해 사례 GandCrab 랜섬웨어 피해사례 8월 초 국내 한 보안업체를 겨냥하여 보복성 메시지를 포함했던 GandCrab 랜섬웨어는 지속적으로 버전 업 되어 최근에는 4.4 버전까지 등장했다. 유포방식도 지속적..

사용자 PC 정보를 탈취하는 악성코드 감염 주의 1. 개요 본 보고서에서 다루게 될 내용은 사진 파일 아이콘(.JPEG 형태)을 사용하여 위장한 정보탈취형 악성코드에 대한 내용이다. 대부분의 PC 사용자들이 확장자 보다는 아이콘을 보고 파일을 실행하는데, 이 점을 노려서 이와 같은 형식으로 유포하고 있는 것으로 보인다. 위장 된 악성코드를 사진 파일로 착각하여 실행 할 경우 감염된 PC 정보 탈취 뿐만 아니라 공격자에게 전달받은 명령을 통해서 추가적인 악성동작을 수행하게 되는데, 각각의 추가 기능에 특정 캐릭터 이름을 붙여놓아 변칙적으로 수행하는 점을 통해서 이전에 해외에 등장했던 악성코드의 변종으로 추정된다. 악성코드가 가지고 있는 기능중에는 추가 악성파일을 다운받아 실행하는 기능이 포함되어 있어 2차..

복호화 키를 저장하는 ‘Termite’ 랜섬웨어 감염 주의 1. 개요 본 보고서에서 다루게 될 ‘Termite’ 랜섬웨어는 파일을 암호화하고 랜섬노트를 통해 중국의 특정 블로그 주소를 안내한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 랜섬웨어 버전에 따라 암호화한 파일에 ‘.aaaaaa’, ‘.Xiak’ 등의 문자열을 덧붙여 확장자를 변경한다. 추가적으로 복호화 키를 레지스트리에 저장하기 때문에 해당 키를 사용하여 복구를 시도해 볼 수 있다. 이번 보고서에서는 최근 발견된 ‘Termite’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 599,040 bytes 진단명 Ransom/W32.Termite.1957888 악성..