잉카인터넷 시큐리티대응센터 블로그

기업을 겨냥한 LockerGoga 랜섬웨어 감염 주의 1. 개요 ‘LockerGoga’ 랜섬웨어는 불특정 대상이 아닌 기업을 목표로 공격해 주의가 필요하다. 해당 랜섬웨어는 최근 프랑스의 엔지니어링 기업과 노르웨이의 알루미늄 제조사를 공격했으며, 공격당한 제조사의 네트워크 마비와 자동화 공정 일부가 수동으로 처리되는 일이 발생해 공장 운영의 피해와 금전적 손해를 입었다고 알려진다. 이처럼 기업대상 랜섬웨어는 중요 데이터 손실과 운영 마비가 2차 피해로 이어지고, 개인보다 피해규모가 더 크기 때문에 각별한 주의가 필요하다. 이번 보고서에는 기업을 대상으로 유포 되는 ‘LockerGoga’ 랜섬웨어에 대해서 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 tgytutrc랜덤숫자.exe 파일크..

GandCrab 랜섬웨어 5.2 버전 출현!, 초기 버전부터 변화과정 1. 개요 현재 일반 사용자와 국내기업을 대상으로 랜섬웨어 공격이 다수 발견되고 있으며, 최근에는 버전 5.2로 업데이트된 GandCrab 랜섬웨어의 공격이 빠르게 증가하고 있다. 해당 랜섬웨어는 정확한 한국어 사용과 공신력 있는 기관을 사칭하여 사용자로 하여금 악성파일을 실행시키도록 위장하고 있기 때문에 각별한 주의가 필요하다. 이번 보고서에서는 GandCrab 랜섬웨어의 초기 버전부터 최근 버전까지의 변화 사항에 대해서 간략하게 알아보고자 한다. 2. 버전 별 변화 2-1. 타임라인 작년 1월에 등장한 GandCrab 랜섬웨어는 지속적인 업데이트를 통해 꾸준히 변화해오고 있으며, 최근에는 5.2 버전까지 발견되고 있다. 먼저 아래의..

LockCrypt 랜섬웨어 감염 주의 1. 개요 본 보고서에서 다루게 될 ‘LockCrypt’ 랜섬웨어는 모든 확장자 파일을 암호화하고 암호화한 파일은 ‘id-랜덤 문자열.LyaS’ 라는 문자열을 덧붙여 확장자를 변경한다. 또한, C 드라이브의 Windows 폴더를 제외한 모든 경로에 존재하는 사용자 파일을 대상으로 암호화를 진행하기 때문에 사용자의 주의가 필요하다. 이번 보고서에서는 ‘LockCrypt’ 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크키 12,288 bytes 진단명 Ransom/W32.LockCrypt.32768 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨..

WinRAR 취약점 이용하는 JNEC 랜섬웨어 주의 1. 개요 얼마 전 공개된 WinRAR 취약점(CVE-2018-20250)을 악용하여 시스템을 감염시키는 JNEC 랜섬웨어가 발견되었다. WinRAR 는 세계적으로 인기 있는 압축 프로그램이며, 이번에 발견된 취약점은 rar 확장자 파일을 압축 해제하는 것만으로도 악성 파일을 공격자가 원하는 곳에 생성할 수 있기 때문에 주의가 필요하다. 이번 보고서에서는 JNEC 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 GoogleUpdate.exe 파일크키 80,896 bytes 진단명 Ransom/W32.DN-JNEC.80896 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 정상 파일과 함께 “...

Yatron Ransomware 랜섬웨어 주의 1. 개요 최근 SMB 취약점 공격 도구로 알려진 이터널블루(EternalBlue)를 사용하는 ‘Yatron 랜섬웨어’가 발견되었다. 이터널블루를 이용한 공격은 사용자가 아무런 행동을 하지 않아도, 네트워크를 통해 파일 공유 프로토콜(SMB) 취약점이 존재하는 다른 시스템을 자동으로 감염시킬 수 있고, 빠른 속도로 확산될 수 있기 때문에 사용자의 각별한 주의가 필요하다. 과거 사례로 워너크라이 랜섬웨어가 대표적인 이슈이며 이후에도 간디크랩 랜섬웨어와 국내 POS 시스템 공격에도 이터널블루 SMB 취약점이 사용되었다. 최근에 또다시 Windows SMB 취약점을 이용한 악성코드가 유포된다고 알려졌기 때문에 아직 MS 보안 패치를 하지않은 시스템의 업데이트가 필..

2월 랜섬웨어 동향 및 Outsider 랜섬웨어 분석보고서 1. 2월 랜섬웨어 동향 2019년 2월(2월 01일 ~ 2월 28일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 기업 중앙관리서버를 공격하는 Clop 랜섬웨어가 등장하였다. 해외에서는 대만의 전자제품 제조업체인 D-link사의 제품이 랜섬웨어에 감염되는 사례가 있었고, 미국 플로리다주의 인터넷 서비스 제공업체인 Tallahassee Network사를 대상으로 한 랜섬웨어 공격이 있었다. 이번 보고서에서는 2월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 2월 등장한 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 Clop 랜섬웨어 피해 사례 2월 초 처음 등장한 Clop 랜섬웨어는 국내를 대..

Gorgon 랜섬웨어 주의 1. 개요 최근 중국에서 유포되고 있는 Gorgon 랜섬웨어는 한국어, 중국어, 영어 3가지 언어를 지원한다. Gorgon 랜섬웨어의 Gorgon(고르곤) 뜻은 뱀으로 된 머리카락을 갖고있는 메두사를 뜻하며 Gorgon 랜섬노트 팝업창에도 상징적인 메두사 이미지가 나타나있다. 이번 보고서에서는 “Gorgon 랜섬웨어”에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 166,912 bytes 진단명 Ransom/W32.DN-Gorgon.166912 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포경로와 비슷할 것으로 추정된다. 2-3. 실행 과정 Gorgon ..

2019년 2월 악성코드 통계 악성코드 Top20 2019년 2월(2월 1일 ~ 2월 28일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 3,868 건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Trojan/W32.Agent.1790976.K Trojan 3,868 건 2위 Trojan/XF.Sic Trojan 3,425 건 3위 Virus/W32.Neshta Virus 2,821 건 4위 Virus/W32.Sality.D Virus 2,761 건 5위 Suspicious/X97M.Obfus.Gen..

국내에 유포되고 있는 Clop 랜섬웨어 감염 주의 1. 개요 국내 사용자를 대상으로 유포되고 있는 Clop 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 2월 초 처음 등장했으며, 최근에는 기업에서 사용하는 중앙관리서버에 침투해서 감염시키는 공격이 확산되고 있다고 알려져 각별한 주의가 필요하다. 이번 보고서에는 최근에 유포 되고 있는 Clop 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 102,912 bytes 진단명 Ransom/W32.Clop.102912 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포경로는 밝혀지지 않았다. 2-3. 실행 과정 Clop 랜섬웨어 실행 시, ..

1월 랜섬웨어 동향 및 RickRoll Locker 랜섬웨어 1. 1월 랜섬웨어 동향 2019년 1월(1월 01일 ~ 1월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 여전히 GandCrab 랜섬웨어가 다양한 유포 방식으로 사용자들에게 피해를 입혔으며, 해외에서는 미국 Del Rio 시청의 컴퓨터 일부가 랜섬웨어에 감염 되었고, 프랑스에서는 Altran Technologies 라는 회사가 랜섬웨어 공격으로 네트워크를 통해 유럽 일부 국가에 영향을 준 사건이 있었다. 이번 보고서에서는 1월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 1월 등장한 RickRoll Locker 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 GandCrab 랜섬웨어..