[주간 랜섬웨어 동향] - 10월 3주차
잉카인터넷 대응팀은 2021년 10월 15일부터 2021년 10월 21일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "QuantumLocker"외 3건, 변종 랜섬웨어는 "Thanos"외 1건이 발견됐다.
금주 랜섬웨어 관련 이슈로는 CISA에서 "BlackMatter" 랜섬웨어 관련 정보를 게시했고, Trustwave가 "BlackByte" 랜섬웨어의 디크립터를 공개한 이슈가 있었다.
2021년 10월 15일
J3ster 랜섬웨어
파일명에 “.j3ster" 확장자를 추가하고 “J3ster ReadMe.txt”라는 랜섬노트를 생성하는 " J3ster" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면 배경을 변경하고 자가 복제한다.
QuantumLocker 랜섬웨어
파일명에 “.quantum” 확장자를 추가하고 “README_TO_DECRYPT.html”라는 랜섬노트를 생성하는 “QuantumLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행을 차단한다.
Diavol 랜섬웨어
파일명에 “.lock64” 확장자를 추가하고 “README_FOR_DECRYPT.txt”라는 랜섬노트를 생성하는 “Diavol” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 [그림 3]과 같이 바탕화면 배경을 변경한다.
Hive 랜섬웨어
파일명에 “.랜덤문자열.qxycv” 확장자를 추가하고 “ueEe_HOW_TO_DECRYPT.txt”라는 랜섬노트를 생성하는 "Hive" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
2021년 10월 17일
Thanos 랜섬웨어
파일명에 “.ltnuhr" 확장자를 추가하고 “RESTORE_FILES_INFO.txt”라는 랜섬노트를 생성하는 "Thanos" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 랜섬웨어 보호 프로그램인 Raccine과 시스템 복원을 무력화하고 특정 서비스 종료 및 프로세스의 실행을 차단한다. 또한, 사용자 PC에서 랜섬노트를 출력한다.
2021년 10월 19일
BlackMatter 랜섬웨어 관련 정보 공개
CISA에서 BlackMatter 랜섬웨어 그룹의 운영 방식에 대한 정보를 공개했다. 해당 보고서에 따르면 BlackMatter 측은 MSRPC(Microsoft Remote Procedure Call) 기능을 사용해 네트워크에 연결된 PC 정보를 획득한 것으로 알려졌다. 또한, 랜섬웨어 공격으로부터 위협을 완화하기 위한 탐지 규칙이나 조치 방안도 언급됐다.
2021년 10월 20일
BlackByte 랜섬웨어 무료 디크립터 공개
최근 등장한 BlacByte 랜섬웨어의 디크립터가 공개됐다. 해당 디크립터를 공개한 Trustwave는 BlackByte 랜섬웨어가 동일한 암호화 키를 재사용해서 디크립터를 제작할 수 있었다고 발표했다. 또한, 다운로드가 가능하도록 Github에 게시했다.
2021년 10월 22일
Foxxy 랜섬웨어
파일명에 “.foxxy” 확장자를 추가하고 [그림 4]의 랜섬노트를 생성하는 “Foxxy” 랜섬웨어가 발견됐다.