잉카인터넷 시큐리티대응센터 블로그

12월 랜섬웨어 동향 및 Stop 랜섬웨어 1. 12월 랜섬웨어 동향 2018년 12월(12월 01일 ~ 12월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 GandCrab 랜섬웨어의 다양한 버전이 등장하여 사용자들에게 피해를 입혔으며, 해외에서는 중국에서 10만대의 PC를 감염시킨 랜섬웨어가 등장하였고, 미국에서는 랜섬웨어 공격으로 인해 정기적인 출판물 배포가 지연되기도 했다. 이번 보고서에서는 12월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 12월 등장한 Stop 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 GandCrab 랜섬웨어 피해 사례 이번 달에는 GandCrab 랜섬웨어가 v5.0.9버전을 시작으로 v5.1.6버전까지 다양한..

Facebook 통해 접촉 요구하는 Boom 랜섬웨어 감염 주의 1. 개요 최근 Xorist 랜섬웨어의 변종인 Boom 랜섬웨어가 발견되었다. 해당 랜섬웨어는 암호화된 파일을 복호화하기 위해 Facebook을 통해 공격자와 접촉하기를 요구한다. 또한 복호화 시도 도중 실패 시 컴퓨터를 강제로 종료하기 때문에 추가 피해에 주의해야 한다. 이번 보고서에서는 Boom 랜섬웨어의 악성 동작에 대해 알아보고자 한다. [참고 : Xorist 랜섬웨어 분석 보고서] http://isarc.tachyonlab.com/1942 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 280,576 bytes 진단명 Ransom/W32.DN-Boom.280576 악성동작 파일 암호화 2-2...

오픈소스로 제작된 CryptoWire 랜섬웨어 감염 주의 1. 개요 CryptoWire 랜섬웨어는 2016년도에 오픈소스 코딩 사이트 GitHub에 익명의 사용자로부터 원본 소스 코드가 공개되고 나서 CryptoWire 랜섬웨어의 변종인 Lomix, UltraLocker 랜섬웨어가 만들어졌다고 알려진다. 2018년 현재까지도 제작 및 유포되고 있기 때문에, 이번 보고서에서는 CryptoWire 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 870,912 bytes 진단명 Ransom/W32.CryptoWire.870912 악성동작 파일 암호화 2-2. 유포 경로 피싱 메일의 첨부파일, 파일 공유 사이트 등 일반적인 형..

Python 모듈 사용하는 Dablio 랜섬웨어 감염 주의 1. 개요 최근 Dablio라는 이름의 Python 코드로 작성된 랜섬웨어가 유포되고 있다. 해당 랜섬웨어에 감염 시 중요 파일을 암호화시킬 뿐만 아니라 일부 시스템 기능을 비활성화하여 정상적인 작업도 불가능하게 만들기 때문에 주의가 필요하다. 이번 보고서에서는 Dablio 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 12,662,402 bytes 진단명 Ransom/W32.Dablio.12662402 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Dablio 랜섬..

11월 랜섬웨어 동향 및 Aurora / Zorro 랜섬웨어 1. 11월 랜섬웨어 동향 2018년 11월(11월 01일 ~ 11월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 GandCrab 랜섬웨어가 다양한 방법을 통해 유포 되며 사용자들에게 피해를 입혔으며, 해외에서는 말레이시아에서 Media Prima 그룹이 랜섬웨어 피해를 받았고, 러시아에서는 모스크바에 있는 케이블카 시스템이 랜섬웨어에 감염되어 일정기간 운행이 중지되기도 했다. 이번 보고서에서는 11월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 11월 말 등장한 Aurora / Zorro 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 GandCrab 랜섬웨어 피해 사례 이번달에는 ..

2018년 9월 악성코드 통계 악성코드 Top20 2018년9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1-1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 BackDoor(백도어) 유형이며 총 151,188 건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Backdoor/W32.Orcus.9216 Backdoor 151,188 건 2위 Trojan/W32.HackTool.14848.N Trojan 35,842 건 3위 Virus/W32.Ramnit.B Virus 12,440 건 4위 Virus/W32.Virut.Gen Virus 4,368 건 5위 ..

한국어를 지원하는 Kraken Cryptor 랜섬웨어 감염 주의 1. 개요 'Kraken Cryptor' 랜섬웨어는 올해 8월경부터 유포되어 최근 v2.0.7 버전까지 발견되었다. 파일 암호화 이후에는 감염된 PC의 바탕화면을 사용자 언어에 맞춰 변경하여 감염된 사실을 통보하며, 정상적인 파일 삭제 유틸리티를 다운로드해 원본 파일의 흔적까지 삭제하는 방식을 갖고 있다. 앞으로 버전 업의 여지가 있어 보이는 'KraKenCryptor' 랜섬웨어를 이번 분석 보고서에서 알아보도록 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 147,456 byte 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포 경로와 ..

다양한 확장자를 가진 Dharma Ransomware 변종 유포 주의 1. 개요 Dharma 랜섬웨어는 Crysis 랜섬웨어의 후속작으로, 변종마다 서로 다른 암호화 확장자를 사용하는 특징을 가지고 있다. 일부 변종에 대해서는 암호화된 파일을 복구할 수 있는 툴이 배포되고 있는 만큼 정확한 상황 파악과 대응이 필요하다. 이번 보고서에서는 Dharma 랜섬웨어의 변종 중 하나인 “.btc” 확장자 샘플의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 278,528 bytes 진단명 Ransom/W32.VB-Dharma.278528 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로..

9월 랜섬웨어 동향 및 GandCrab V5.0.1 랜섬웨어 1. 9월 랜섬웨어 동향 2018년 09월(09월 01일 ~ 09월 30일) 한 달 간 국내 랜섬웨어 동향을 조사한 결과, 지속적으로 버전업 된 GandCrab 랜섬웨어 5.0 버전과 5.0.1 버전이 등장했다. 또한 홈페이지 제작업체 ‘아이 웹’ 이 랜섬웨어에 피해를 받아 지난해 있었던 나야나 랜섬웨어 사태를 떠오르게 했다. 해외에서는 영국 브리스틀 공항이 랜섬웨어에 피해를 받아 직원들과 승객들이 혼란을 겪는 일이 있었다. 이번 보고서에서는 9월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 GandCrab v5.0.1 에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 아이웹 랜섬웨어 피해 사례 추석 연휴 기..

무료 복구 툴이 개발된 CryptoNar 랜섬웨어 1. 개요 최근 발견 된 'CryptoNar' 랜섬웨어는 'CryptoJoker' 랜섬웨어의 변종으로 알려져 있다. 변종으로 보여지는 이유로 파일 암호화 시, 정상 파일의 확장자를 비교하여 각기 다른 두 종류의 확장자를 추가로 덧붙이는데 비교하는 대상 확장자의 기준이 동일하기 때문인것으로 보여진다. 이번 보고서에서는 ‘CryptoNar’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 512,512 bytes 진단명 Ransom/W32.CryptoNar 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일 또는 변조된 웹 ..