악성코드 333

[랜섬웨어 분석] Ebed 랜섬웨어

Ebed Ransomware 감염 주의 최근 "Ebed" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 사용자 PC의 로케일(Locale) 정보를 확인하여 한국이면 파일을 암호화하며 기존의 확장자 뒤에 ".ebed"를 추가한다. 감염 전 사전 작업으로 로케일 정보(GetLcocaleInfoEx API)를 획득한 후, 한국이면 감염을 진행하고 중국이면 종료한다. 감염이 진행되면 “Ebed” 랜섬웨어는 폴더마다 ‘ATTENTION-ebed-README.txt’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 파일 암호화가 완료되면 기존의 확장자 뒤에 .ebed 확장자가 추가된다. 암호화 제외 항목은 [표 1]과 같으며, Program Files나 Windows 폴더와 같이 주요한 폴더는 제..

[랜섬웨어 분석] Makop 랜섬웨어

이력서로 위장한 Makop Ransomware 유포 주의 근래에 입사 지원서로 위장한 피싱 메일이 유포되고 있어 사용자의 주의가 필요하다. 첨부된 압축 파일을 해제하면 한글 문서 아이콘으로 위장한 ‘Makop’ 랜섬웨어가 존재한다. 해당 랜섬웨어는 파일 암호화를 진행하고 암호화된 파일의 원본 확장명에 ‘[XXXXXXXX].[이메일 주소].makop’ 형식으로 덧붙이고 ‘readme-warning.txt’ 랜섬 노트를 생성한다. 이번 보고서에서 알아본 ‘Makop’ 랜섬웨어는 입사 지원서로 위장한 피싱 메일로 유포되어 한글 문서 아이콘과 이력서 및 포트폴리오 관련 파일명으로 위장해 사용자의 클릭을 유도하는 특징을 갖고 있다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 ..

[랜섬웨어 분석] Sepsys 랜섬웨어

Sepsys 랜섬웨어 주의! 지난 4월 중순에 Sepsys 랜섬웨어가 등장하였다. 해당 랜섬웨어가 실행되면 볼륨 섀도우 복사본을 삭제하며, 특정 디렉토리 내에 모든 확장자에 대하여 암호화를 진행하기에 큰 주의가 필요하다. 이번 보고서에서는 SepSys 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 사용자가 감염된 PC를 복구할 수 없도록 사전에 볼륨 섀도우 복사본을 모두 삭제 한 뒤, 암호화 동작을 수행한다. 또한 사용자의 PC IP정보를 서버로 전달하고, 자동실행 레지스트리 값에 자가 복제된 파일과 랜섬노트를 추가하여 윈도우 재부팅 시에도 동작이 수행되도록 만든다. 하기의 이미지와 같이, 윈도우 재부팅 시 동작하도록 자가 복제 파일과 랜섬노트를 Run 레지스트리에 등록한다. C2서버에 연결하..

[랜섬웨어 분석] VoidCrypt 랜섬웨어

VoidCrypt Ransomware 감염 주의 최근 “VoidCrypt”라 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어에 감염될 경우 정상적인 시스템 기능을 비활성화하고, 사용자의 파일을 암호화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 주의가 필요하다. “VoidCrypt” 랜섬웨어가 실행되면, 원활한 악성 동작을 위해 다음 [표 1] 목록의 서비스 및 프로세스를 종료시킨다. 이후 [표 2]의 목록과 같이 윈도우 복구 모드 비활성화, 백업 카탈로그 삭제 및 방화벽을 비활성화 한다. 사용자 PC의 드라이브 목록을 검색한 뒤, 폴더 및 파일의 경로가 “Windows”인 경우를 제외한 모든 파일을 암호화한다. 암호화한 파일에는 Void 확장자를 덧붙이고, 랜섬노트를 생성한 뒤 실행하여 감염 사실과..

[랜섬웨어 분석] VHD 랜섬웨어

VHD Ransomware 감염 주의 최근 “VHD”라 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 메일과 그룹웨어 기능을 제공하는 Microsoft Exchange Server의 서비스를 종료하고, 사용자 시스템의 파일을 암호화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 사용자의 주의가 필요하다. “VHD” 랜섬웨어가 실행되면 휴지통의 파일을 전부 삭제하고, 원활한 악성 동작을 위해 아래 [그림 1]과 같이 서비스를 종료시킨다. 이후 바탕화면에 “HowToDecrypt.txt” 랜섬노트를 생성하고 사용자 시스템의 드라이브 목록과 타입을 검색한다. 검색된 드라이브가 [표 1]의 제외 대상이 아닌 경우 최상단 경로에 랜섬노트를 추가로 생성한다. 위 조건의 해당하는 드라이브의 파일들을 검색한 뒤,..

[랜섬웨어 분석] Nephilim 랜섬웨어

진화하는 Nephilim 랜섬웨어 최근 코로나 바이러스 등의 여파로 다양한 종류의 랜섬웨어가 등장하며, Nemty 랜섬웨어 2.5에서 변형된 형태로 Nefilim 랜섬웨어가 나타났다. 그리고 잇달아 Nefilim 랜섬웨어의 변형된 형태인 Nephilim 랜섬웨어가 나타났다. 해당 랜섬웨어는 Nefilim 랜섬웨어와 유사한 동작을 하나, 기업을 타겟으로 하며 암호화 대상의 범위가 확대되는 등의 변형이 있어 큰 주의가 필요하다. 이번 보고서에서는 Nephilim 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 특정 파일과 디렉토리를 제외하고 암호화 동작을 수행한 뒤, Root 아래에 랜섬노트를 생성한다. 그리고 %Temp%에 랜섬노트 이미지 파일을 드롭하여 배경화면으로 지정하여 사용자에게 랜섬웨어 ..

3월 랜섬웨어 동향 및 RekenSom랜섬웨어 분석보고서

악성코드 분석보고서 1. 3월 랜섬웨어 동향 2020년 3월(3월 01일 ~ 3월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내에서는 이력서로 위장한 NEMTY 랜섬웨어가 2.6으로 버전 업 하여 다수 유포되었다. 해외에서는 프랑스 지방 정부 기관이 Mespinoza 랜섬웨어 공격을 받았으며, 보험 회사인 Chubb이 Maze 랜섬웨어에 공격당해 데이터가 유출된 사건이 있었다. 이번 보고서에서는 3월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 3월 등장한 RekenSom 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 이력서로 위장한 NEMTY 랜섬웨어 유포 사례 최근 국내에서 유포 중인 NEMTY 랜섬웨어의 변종이 발견되었다. 2020년 1월부터 3월까지 확인..

[월간동향] 2020년 03월 악성코드 통계

1. 악성코드 통계 악성코드 Top20 2020년3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 73,273 건이 탐지되었다. 악성코드 유형 비율 3월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 78%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Worm(웜)이 각각 14%와 2%, Backdoor(백도어)와 Downloader(다운로더)가 각각 2%, 1%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전월 비교 3월에는 악성코드 유..

[랜섬웨어 분석] Nefilim 랜섬웨어

데이터를 공개하겠다고 협박하는 Nefilim Ransomware 감염 주의 최근 등장한 “Nefilim” 랜섬웨어는 “Nemty” 랜섬웨어의 새로운 버전으로 추정되고 있으며, 실행 시 사용자의 파일들을 암호화한다. 암호화된 파일의 대가로 금품을 요구하며 7일 내로 공격자의 요구에 응답하지 않으면 데이터를 공개하겠다고 협박하고 있어 사용자의 주의가 필요하다. “Nefilim” 랜섬웨어 실행 시, 뮤텍스를 생성하여 중복 실행을 방지하고 현재 디스크 드라이브 목록 및 타입을 검색한다. 만약 디스크 타입이 이동식 혹은 고정식이라면 해당 드라이브 최상위 경로에 랜섬 노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 이후 드라이브의 파일들을 검색한 뒤 [표 1]의 암호화 제외 경로 및 확장자 목록과 비..

[악성코드 분석] 코로나19 이슈 관련 피싱 메일 주의

코로나19 이슈 관련 피싱 메일 주의 코로나19 바이러스 사태가 발생하자 이와 관련된 내용으로 피싱 메일이 유포되고 있어 사용자들의 주의가 필요하다. 아래의 피싱 메일은 미국의 질병 통제 예방 센터(CDC)를 사칭하고 있으며 코로나19 안전 대책 및 기존 사례의 정보가 담긴 악성 첨부 파일을 다운 및 실행하도록 유도하고 있다. 첨부된 파일에는 화면 보호기(.scr)파일로 위장한 악성코드가 존재하는데, 해당 악성코드는 원격 명령 수행, 키로깅, 화면 캡처, 화면 녹화, 파일 다운로드 등 악성 행위를 할 수 있는 ‘Remcos RAT’ 악성코드이다. 또한 아래의 피싱 메일들은 코로나 바이러스 감염자 확인 자료, 세계 보건 기구 WHO를 사칭한 코로나 바이러스 발병에 대한 최신 업데이트 자료의 내용으로 첨부 ..