랜섬웨어 분석76 [악성코드 분석] 샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어 샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어 1. 개요 지난 11월 샌프란시스코 철도 시스템(일명 Muni)의 2,112 대 컴퓨터가 랜섬웨어에 감염되었다. 이로 인해 해당 역의 결제 시스템과 스케줄링 시스템을 사용할 수 없게 되었으며, 결국 전철을 임시로 무료 개방하는 상황에 이르렀다. 이번 사태에 이용된 랜섬웨어는 바로 Mamba(또는 HDDCryptor) 랜섬웨어다. 해당 랜섬웨어는 파일을 암호화하는 것이 아니라 하드 디스크를 암호화하기 때문에 부팅 시 지정된 암호를 입력해야만 PC 를 부팅할 수 있게 된다. 이번 분석보고서에서는 Mamba 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명mamba.exe (임의의 파일명)파일크기2,415,104 byte진단.. 2016. 12. 16. [악성코드 분석] JavaScript(JScript)를 이용한 RAA 랜섬웨어 JavaScript(JScript)를 이용한 RAA 랜섬웨어 1. 개요JavaScript를 이용하여 동작하는 랜섬웨어가 발견됐다. Script 언어를 활용하여 악성코드를 추가적으로 다운로드 하거나 부수적 동작을 수행하는 악성코드는 이전에도 있었지만, JavaScript(.js) 단일 파일로 암호화를 진행하는 랜섬웨어는 근래 보기 힘든 악성동작이라 주의가 필요하다. 잉카인터넷 시큐리티 대응센터에선 이번 보고서를 통해 JavaScript로 동작하는 RAA 랜섬웨어를 알아보고 대책 방안에 대해 살펴보고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명RAA.js파일크기758,931 Byte진단명Script-VBS/W32.RAA악성동작파일 암호화를 통한 Bit-coin 요구 2-2. 유포 경로RAA 랜섬웨.. 2016. 7. 6. [악성코드 분석] 80.exe (랜섬웨어) 80.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 유포경로 랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다. 80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다. [그림] 메일을 통해 유포된 랜섬웨어 80.exe 1.2. 80... 2015. 12. 28. [악성코드 분석] 111.exe (랜섬웨어) 111.exe 악성코드 분석 보고서 1. 분석 정보 http://3****r****n****l***o.com/wp-includes/Text/111.exe 에서 다운로드된 악성코드 111.exe는 특정된 유포경로가 없으나, 웹사이트에 삽입된 익스플로잇이나 이메일을 통해 전파된 것으로 보인다. 111.exe는 사용자 동의없이 PC의 특정 파일들을 암호화하여 사용할 수 없게 하며, 원상복구 대가로 금액을 요구하는 이른바 랜섬웨어다. 실행 시 주요 파일들을 암호화하여 원본파일과 동일한 위치에 원본파일명.ccc 파일을 만들고 원본을 삭제한다. [그림] 감염 전 후 파일비교 모든 폴더에는 복호화 방법을 설명하는 두 파일(_how_recover_kug.html과 _how_recover_ kug.txt)을 생성하고, .. 2015. 12. 21. 이전 1 ··· 10 11 12 13 다음
