악성코드 치료51 [악성코드 분석] 영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 1. 개요 2015년 랜섬웨어가 확산된 시점부터 지금까지 신,변종의 랜섬웨어가 계속해서 등장하고 있으며, 랜섬웨어는 점차 현대 트렌드를 반영한 형태로 나타나기 시작했다. 모바일 게임인 Pokemon Go 가 출시 된 후, 그에 따른 PokemonGo 랜섬웨어가 나타났고, 미국 드라마 Mr.Robot 이 방송함에 따라 드라마 속 집단의 이름을 모방한 Fsociety 랜섬웨어가 나타났다. 이처럼 현대 트렌드를 반영한 랜섬웨어가 점차 많이 발견되고 있으므로, 이번 분석보고서에서는 영화 ‘더 퍼지’를 모티브로 한 Globe 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 trump.exe (임의의 파일명) 파일크기 155,6.. 2016. 11. 2. [악성코드 분석] Hades Locker로 돌아온 WildFire 랜섬웨어 Hades Locker로 돌아온 WildFire 랜섬웨어 1. 개요 이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 update.exe 파일크기 510,026 byte 진단명 Ransom/W32.Hades.510026 .. 2016. 10. 27. [악성코드 분석] 한국어 지원 프린세스 랜섬웨어 주의 한국어 지원 Princess 랜섬웨어 분석 1. 개요 최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 nvsvc32.exe 파일크기 403,968 byte 진단명 Ransom/W32.Princess.403968 악성동작 파일 암호화 네트워크 4*****f*****3**m.onion.link – 공격자 서버 2-2... 2016. 10. 6. [악성코드 분석] 백도어 악성코드 분석 보고서 백도어 악성코드 분석 1. 개요 백도어(Backdoor)의 본래 의미는 시스템 개발이나 유지 보수를 편리하게 수행하기 위해, 시스템 인증과정 없이 원격 접속을 보장하여 운영체제나 프로그램 등에 접근할 수 있도록 만든 통로였다. 하지만, 최근에는 사용자 모르게 시스템에 무단으로 접근하고, 추가적인 악성코드를 설치하거나 개인 정보를 수집하는 악성코드 종류를 뜻하는 경우가 많아졌다. 본 보고서에서는 백도어 형태의 악성코드를 분석하여 백도어의 일반적인 기능과 동작 방식 등을 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 1.exe 파일크기 135,185 byte 진단명 Backdoor/W32.Farfli.135185 악성동작 백도어 네트워크 http://www.h*****r.com - 유포지 .. 2016. 9. 28. [악성코드 분석] 지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 분석 1. 개요 일반적으로 랜섬웨어는 .ppt, .doc, .txt 와 같은 문서 파일의 확장자를 대상으로 한다. 이번에 분석한 Nullbyte 랜섬웨어는 파일 확장자를 기준으로 암호화 대상을 찾지 않고, 공격자가 지정한 경로의 모든 파일을 암호화 한다. 따라서, 주요 문서 파일의 암호화 뿐만 아니라 응용프로그램도 암호화하며, 확장자가 없는 파일 또한 암호화가 된다. 이렇듯 무차별적으로 파일을 암호화하는 Nullbyte 랜섬웨어에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보구분내용파일명encasvc.exe파일크기456,192 byte진단명Ransom/W32.Agent.456192악성동작파일 암호화네트워크31.***.***.116 2-2... 2016. 9. 13. [악성코드 분석] DLL 파일로 돌아온 Locky 랜섬웨어 주의 DLL 파일로 돌아온 Locky 랜섬웨어 주의 1. 개요 지난 8월 Locky의 변종인 Zepto가 유포되어 사용자를 위협했다. Zepto는 이메일에 첨부된 오피스 매크로를 통해 실행되어 파일을 암호화했으나, 최근 매크로가 아닌 다른 방식을 사용하는 새로운 변종이 발견되었다. 이 신규 변종은 자바스크립트를 통해 랜섬웨어 본체인 DLL 파일을 다운받고 실행시키는 특징을 보인다. 이번 보고서에서는 DLL 파일로 동작하는 변종 Locky 에 대하여 알아본다. *참고. Locky의 변종, Zepto 랜섬웨어 주의 보고서 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 locky.js (임의의 파일명) 파일크기 88,107 byte 진단명 Script/W32.Locky 악성동작 랜섬웨어 다운로더 네트워크 2.. 2016. 9. 7. 이전 1 2 3 4 5 ··· 9 다음
