랜섬웨어분석79 [랜섬웨어 분석] NocryCryptor 랜섬웨어 NocryCryptor Ransomware 감염 주의 최근 ‘%USERPROFILE%’ 경로를 대상으로 파일을 암호화하는 “NocryCryptor” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 확장자에 따라 파일 감염 방식과 변경하는 확장자가 다르고, 바탕화면에 랜섬노트를 생성하여 50유로 상당의 비트코인을 요구하므로 사용자의 주의가 필요하다. “NocryCryptor” 랜섬웨어에 감염되면 바탕화면에 “CryptoJoker Recovery Information.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 감염된 컴퓨터에서의 파일 암호화는 ‘%USERPROFILE%’ 경로를 대상으로 진행되며 암호화된 파일은 [그림 2]와 같이 “.fully.nocry” 또는 “partia.. 2020. 12. 10. 11월 랜섬웨어 동향 및 Pulpit 랜섬웨어 악성코드 분석보고서 1. 11월 랜섬웨어 동향 2020년 11월(11월 01일 ~ 11월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, “Clop” 랜섬웨어 운영자가 국내 소매 대기업을 공격했다고 주장하였고, 해외에서는 프랑스 IT 서비스 대기업 Sopra Steria가 “Ryuk” 랜섬웨어 공격을 받았다. 또한, 일본의 게임 개발 업체 Capcom은 “RagnarLocker” 랜섬웨어에 공격을 받아 데이터가 유출된 사건이 있었다. 1-1. 국내/외 랜섬웨어 소식 프랑스 IT 서비스 대기업 Sopra Steria, Ryuk 랜섬웨어 피해 사례 지난 10월 20일경, 프랑스 IT 서비스 대기업 Sopra Steria가 “Ryuk” 랜섬웨어 공격을 당해 5천만 유로의 손실이 생겼다. 해당 업체에서는 보안 .. 2020. 12. 4. [랜섬웨어 분석] Vash Sorena 랜섬웨어 Vash Sorena 랜섬웨어 주의 최근, Vash Sorena 랜섬웨어가 등장하였다. 해당 랜섬웨어는 OS운영에 관련된 디렉토리를 제외 한 모든 파일에 대하여 암호화 동작을 수행하기 때문에 큰 피해를 초래할 수 있다. Vash Sorena 랜섬웨어는 암호화 동작을 원활하게 수행되도록 하기 위해, 실행중인 SQL 관련 프로세스를 종료하여 암호화 대상을 확대한다. 그리고 각종 프로그램 정보가 있는 AppData 폴더와 휴지통 폴더을 삭제한다. 그 후, C 드라이브 아래와 %USER% 디렉토리 아래의 Desktop 폴더, Network Shortcuts 폴더에 랜섬노트를 생성한다. 하기의 표와 같이 OS 운영과 관련된 디렉토리를 제외하고 C드라이브에 대한 모든 파일을 대상으로 암호화 동작을 수행한다. 암호화.. 2020. 11. 30. [랜섬웨어 분석] RedRoman 랜섬웨어 RedRoman Ransomware 감염 주의 최근 “RedRoman” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 64비트 OS 환경에서 동작하며, 실행 시 시스템 복원 정보가 저장된 볼륨 섀도우 복사본을 삭제한 뒤 사용자의 파일을 암호화하고 있어 주의가 필요하다. “RedRoman” 랜섬웨어 실행 시 ‘C:\ProgramData’ 경로에 “amdkey.bat” 배치파일을 생성한 뒤Powershell을 통해 관리자 권한으로 실행시킨다. 실행된 배치파일은 아래 [표 1]의 목록과 같이 볼륨 섀도우 복사본을 삭제하고, 저장소 크기를 조정하여 시스템 복원을 무력화 시키고 “RedROMAN” 계정을 추가한다. 그리고 아래 [표 2] 암호화 대상 목록과 비교하여 조건에 부합하는 파일을 암호화하고, 암호화한 파일에RE.. 2020. 11. 25. [랜섬웨어 분석] MountLocker 랜섬웨어 MountLocker 랜섬웨어 주의 “MountLocker” 랜섬웨어는 10월에 Miltenyi Biotec 회사를 대상으로 공격을 수행했던 랜섬웨어로 알려진다. 또한 파일 암호화 이외에도 데이터를 탈취해 특정 사이트에 공개한다고 알려지기 때문에 사용자의 주의가 필요하다. 해당 랜섬웨어는 Windows 폴더를 제외한 2천 개가 넘는 확장자에 대해 파일 암호화를 진행하는데 TurboTax 프로그램에서 사용되는 파일의 확장자(.tax, .tax2009, tax2013, tax2014)가 포함되어있는 특징이 존재한다. 그리고 암호화된 파일에는 ‘ReadManual.랜덤문자’ 형태로 확장자를 덧붙이며, 시스템 복구를 무력화하기 위해 볼륨 섀도우 복사본을 삭제할 수 있는 아래의 명령어를 실행한다. 파일 암호화가 .. 2020. 11. 25. [랜섬웨어 분석] Fonix 랜섬웨어 Fonix Ransomware 감염 주의 최근 "Fonix” 랜섬웨어가 발견되었다. ‘Fonix’ 랜섬웨어는 특정 파일 및 폴더를 제외한 모든 파일에 대해 암호화를 하고, 랜섬노트를 띄운 후 피해자에게 몸값을 요구한다. 또, 사용자가 PC를 다시 복구할 수 없도록 하며 중요한 윈도우 OS폴더를 제외한 모든 확장자를 대상으로 암호화가 이루어지므로 사용자의 주의가 필요하다. “Fonix” 랜섬웨어에 감염되면 [표 1]의 해당 랜섬웨어와 관련된 파일 및 중요한 윈도우 OS폴더를 제외한 모든 확장자의 파일이 암호화 된다. 암호화 이후 로컬 드라이브의 이름을 XINOF로 바꾸고, 감염된 파일명의 확장자 뒤에 “.Email=[Email Address]ID=[UserID].XINOF” 라는 이름의 확장자를 덧붙인다... 2020. 11. 18. 이전 1 2 3 4 5 6 7 8 ··· 14 다음
