잉카인터넷 시큐리티대응센터 블로그

MBR 변조에 파일 암호화까지, PETYA-MISCHA 변종 랜섬웨어 분석 보고서 1. 개요지난 4월 시큐리티 대응센터에선 일반 랜섬웨어 다르게 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 PETYA 랜섬웨어를 분석한 바 있다. 독일어로 이력서란 파일명으로 위장하여 사용자의 PC를 감염을 유도한 PETYA 랜섬웨어, 이 랜섬웨어가 파일 암호화 동작까지 추가된 PETYA-MISCHA 변종으로 나타나 사용자의 주의가 요구된다. 참고 : PEYTA 랜섬웨어 보고서 2. 분석 정보2-1. 파일 정보구분내용파일명PDFBewerbungsmappe.exe파일크기899,584 Byte진단명Trojan/W32.Mikhail.899584악성동작혼합 랜섬웨어 2-2. 유포 경로PETYA 랜섬웨어가 독일어로 된..

JavaScript(JScript)를 이용한 RAA 랜섬웨어 1. 개요JavaScript를 이용하여 동작하는 랜섬웨어가 발견됐다. Script 언어를 활용하여 악성코드를 추가적으로 다운로드 하거나 부수적 동작을 수행하는 악성코드는 이전에도 있었지만, JavaScript(.js) 단일 파일로 암호화를 진행하는 랜섬웨어는 근래 보기 힘든 악성동작이라 주의가 필요하다. 잉카인터넷 시큐리티 대응센터에선 이번 보고서를 통해 JavaScript로 동작하는 RAA 랜섬웨어를 알아보고 대책 방안에 대해 살펴보고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명RAA.js파일크기758,931 Byte진단명Script-VBS/W32.RAA악성동작파일 암호화를 통한 Bit-coin 요구 2-2. 유포 경로RAA 랜섬웨..

이동식 디스크를 통해 전파되는 ZCrypt 랜섬웨어 분석 보고서 1. 개요 최근 랜섬웨어의 공격 및 전파 방식이 한층 더 다양해지고 있다. 이번 보고서에서 분석한 ZCrypt 는 autorun.inf 를 이용해 사용자 PC를 감염시킨다. 이 공격방법은 최근 여러 악성코드와 비교할 때 상대적으로 사용하지 않는 방식인데, 이를 통해 해커들이 수 많은 랜섬웨어 변종을 양산하며 다양한 공격을 시도하고 있다는 것을 알 수 있다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 ZCrypt.exe (파일명 확인되지 않음) 파일크기 536, 699 Byte 진단명 Ransom/W32.ZCryptor.536699 악성동작 파일 암호화를 통한 금전(Bit-coin) 요구 2-2. 유포 경로 랜섬웨어는 대체적으로 불..

CryptXXX 랜섬웨어 분석 보고서 1. 개요 흔히 많은 사람들은 악성코드는 .exe 파일을 실행하여 감염되는 것으로 알고 있다. 하지만 사람들의 생각과 다르게 .exe 파일 실행이 아니어도 악성코드에 감염되는 방식은 다양하다. 이번 보고서에서는 그 예 중 하나로 .dll 파일형태이며 최근 대형 커뮤니티에 유포되어 문제를 일으킨 랜섬웨어 CryptXXX에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 CryptXXX.dll (임의의 파일명) 파일크기 402, 432 Byte 진단명 Ransom/W32.CryptXXX.402432 악성동작 파일 암호화를 통한 Bit-coin 요구 2-2. 유포 경로 CryptXXX 는 주로 Angler Exploit Kit 을 통해 전파된다..

Rokku 랜섬웨어 분석 보고서 1. 개요2015년도 악성코드의 뜨거운 감자가 금융권 파밍 악성코드였다면, 2016년 가장 주목 받게 될 악성코드 유형은 랜섬웨어가 아닐까 한다. 최근 가장 많이 발견되고 있을 뿐만 아니라, 한번 감염되면 그 피해가 크다는 점에서 현재 가장 위협적인 악성코드이다. 게다가 랜섬웨어는 그 수가 폭발적으로 증가하면서 암호화 방식이나 동작 유형이 다양하게 등장하고 있어 사용자들에게 더욱 공포감을 심어주고 있다. 이번 보고서에서는 수 많은 변종 랜섬웨어 중 하나인 rokku 랜섬웨어에 대해 이야기한다. 2. 분석 정보2-1. 파일 정보구분내용파일명rokkuRansom.exe (임의의 파일명)파일크기681,984 Byte진단명Trojan/W32.Deshacop.681984악성동작파일..

SWF 취약점을 통해 전파된 랜섬웨어 분석 보고서 1. 개요 악성코드의 목적은 금융정보 탈취, 파일 암호화, DDoS 공격용 좀비PC 생성, 단순 PC 파괴 등 다양하다. 그리고 공격자는 이런 악성코드가 사용자의 PC에서 실행되도록 다양한 수단을 이용한다. 취약점 CVE-2016-1019 도 그 중 하나이다. CVE는 Common Vulnerabilities and Exposures의 약자로, 보안 취약점 정보를 제공하는 시스템을 말한다. 각 취약점 별로 번호를 붙여 식별하고, 이 랜섬웨어에서 사용한 CVE-2016-1019 는 2016년 4월에 발견된 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전을 사용할 경우 이 취약점에 노출된다. 이 보고서에서는 CVE-2016-101..

MBR 변조로 정상 부팅을 방해하는 PETYA 랜섬웨어 분석 보고서 1. 개요일반적인 랜섬웨어는 표적이 되는 특정 파일을 암호화 하여 해당 파일을 복구하는 대가로 금전을 요구한다. 이때, 사용자의 PC는 암호화된 파일을 여는 것 외에는 정상작동을 할 수 있었다. 최근엔 이런 일반적인 랜섬웨어의 동작에 고정관념을 깨고 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 랜섬웨어가 등장하였다. 또한 이 랜섬웨어는 파일공유 서비스를 이용해 유포되고 있으며 파일명이 독일어이지만 이력서 파일로 위장하고 있어 사용자에게 큰 피해가 우려된다. 본 보고서에선 파일 암호화가 아닌 MBR 코드를 변조하는 PETYA 랜섬웨어를 집중 분석하고 예방 및 해결책을 명시하여 사용자 피해를 최소화하고자 한다. 2. 분석 정보..

Radamant (랜섬웨어) 악성코드 분석 보고서 1. 개요파일을 암호화하고 암호를 풀기 위해 금전을 요구하는 악성 프로그램 랜섬웨어의 수가 급증하고 있다. 특히 2015년 상반기엔 유명 커뮤니티 사이트에서 랜섬웨어가 유포되어 많은 사용자가 피해를 입었다. 이후에도 많은 보안업체의 노력에도 불구하고 랜섬웨어의 피해는 점점 증가하고 있다. 인터넷뱅킹 파밍이나 계정정보 탈취를 시도하는 다른 악성코드들은 감염이나 피해에 따른 보안 툴이 있는 반면, 랜섬웨어의 경우 감염 즉시 PC의 데이터를 사용 불능으로 만들며 감염된 파일은 복구가 어려워 많은 피해를 일으키고 있다. 따라서, 잉카인터넷 시큐리티 대응센터는 해당 보고서에 Radamant 랜섬웨어(진단명: Trojan/W32.Bublik.208896.N) 를 분..

80.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 유포경로 랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다. 80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다. [그림] 메일을 통해 유포된 랜섬웨어 80.exe 1.2. 80...

111.exe 악성코드 분석 보고서 1. 분석 정보 http://3****r****n****l***o.com/wp-includes/Text/111.exe 에서 다운로드된 악성코드 111.exe는 특정된 유포경로가 없으나, 웹사이트에 삽입된 익스플로잇이나 이메일을 통해 전파된 것으로 보인다. 111.exe는 사용자 동의없이 PC의 특정 파일들을 암호화하여 사용할 수 없게 하며, 원상복구 대가로 금액을 요구하는 이른바 랜섬웨어다. 실행 시 주요 파일들을 암호화하여 원본파일과 동일한 위치에 원본파일명.ccc 파일을 만들고 원본을 삭제한다. [그림] 감염 전 후 파일비교 모든 폴더에는 복호화 방법을 설명하는 두 파일(_how_recover_kug.html과 _how_recover_ kug.txt)을 생성하고, ..