분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] - 10월 3주차

알 수 없는 사용자 2021. 10. 22. 14:40

잉카인터넷 대응팀은 20211015일부터 20211021일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "QuantumLocker"3, 변종 랜섬웨어는 "Thanos"1건이 발견됐다.

 

금주 랜섬웨어 관련 이슈로는 CISA에서 "BlackMatter" 랜섬웨어 관련 정보를 게시했고, Trustwave "BlackByte" 랜섬웨어의 디크립터를 공개한 이슈가 있었다.

 

[표 1] 2021년 10월 3주차 신•변종 랜섬웨어 정리

 

2021 10 15

J3ster 랜섬웨어

파일명에 .j3ster" 확장자를 추가하고 J3ster ReadMe.txt라는 랜섬노트를 생성하는 " J3ster" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면 배경을 변경하고 자가 복제한다.

 

[그림 1] J3ster 랜섬웨어 랜섬노트

 

QuantumLocker 랜섬웨어

파일명에 .quantum 확장자를 추가하고 README_TO_DECRYPT.html라는 랜섬노트를 생성하는 QuantumLocker 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행을 차단한다.

 

[그림 2] QuantumLocker 랜섬웨어 랜섬노트

 

Diavol 랜섬웨어

파일명에 .lock64 확장자를 추가하고 README_FOR_DECRYPT.txt라는 랜섬노트를 생성하는 Diavol 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 [그림 3]과 같이 바탕화면 배경을 변경한다.

 

[그림 3] Diavol 랜섬웨어 랜섬노트

 

Hive 랜섬웨어

파일명에 .랜덤문자열.qxycv 확장자를 추가하고 ueEe_HOW_TO_DECRYPT.txt라는 랜섬노트를 생성하는 "Hive" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

2021 10 17

Thanos 랜섬웨어

파일명에 .ltnuhr" 확장자를 추가하고 RESTORE_FILES_INFO.txt라는 랜섬노트를 생성하는 "Thanos" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 랜섬웨어 보호 프로그램인 Raccine과 시스템 복원을 무력화하고 특정 서비스 종료 및 프로세스의 실행을 차단한다. 또한, 사용자 PC에서 랜섬노트를 출력한다.

 

[그림 4] Thanos 랜섬웨어 랜섬노트

 

2021 10 19

BlackMatter 랜섬웨어 관련 정보 공개

CISA에서 BlackMatter 랜섬웨어 그룹의 운영 방식에 대한 정보를 공개했다. 해당 보고서에 따르면 BlackMatter 측은 MSRPC(Microsoft Remote Procedure Call) 기능을 사용해 네트워크에 연결된 PC 정보를 획득한 것으로 알려졌다. 또한, 랜섬웨어 공격으로부터 위협을 완화하기 위한 탐지 규칙이나 조치 방안도 언급됐다.

 

2021 10 20

BlackByte 랜섬웨어 무료 디크립터 공개

최근 등장한 BlacByte 랜섬웨어의 디크립터가 공개됐다. 해당 디크립터를 공개한 TrustwaveBlackByte 랜섬웨어가 동일한 암호화 키를 재사용해서 디크립터를 제작할 수 있었다고 발표했다. 또한, 다운로드가 가능하도록 Github에 게시했다.

 

2021 10 22

Foxxy 랜섬웨어

파일명에 .foxxy 확장자를 추가하고 [그림 4]의 랜섬노트를 생성하는 Foxxy 랜섬웨어가 발견됐다.

 

[그림 5] Foxxy 랜섬웨어 랜섬노트