잉카인터넷 시큐리티대응센터 블로그

다시 돌아온 GandCrab Ransomware 감염 주의 1. 개요 'GandCrab Ransomware' 는 ‘Exploit Kit’을 통해 취약한 웹사이트에 방문했을 때 감염된다고 알려져 있다.해당 랜섬웨어에 감염이 되면, 사용자의 정보를 수집하여 전송하고 감염 대상이 되는 파일 확장자를 비교하여 암호화 동작을 수행한다. 하지만, 최근에 발견 된 'GandCrab Ransomware V2.0' 는 이메일을 통하여 유포되고 있는 것으로 보이며 기존 버전과 큰 차이는 없지만 감염 대상이 되는 확장자를 따로 구분없이 모든 파일에 대해 암호화 동작을 수행하는 것으로 확인된다. 이번 보고서에서는 버전업이 되어 돌아온 'GandCrab Ransomware V2.0' 에 대해서 간략하게 알아보자. 2. 분석 정..

Hermes 랜섬웨어 변종 출현!, 초기 버전부터 변화과정 1. 개요 최근 랜섬웨어에 대한 피해 사례가 끊임없이 발생되고 있는 가운데, 새로운 랜섬웨어에 대한 내용보다 변종과 관련된 내용이 다수 차지하고 있다. 이는 여러가지 이유가 있겠지만, 그 중에 일부는 자동화 된 도구나 공개된 오픈 소스를 활용하기 때문인 것으로 추측된다. 이번에 발견 된 ‘Hermes’ 랜섬웨어도 지속적으로 업그레이드 되거나 변종이 계속해서 발견되고 있는데 최근 ‘Sundown Exploit Kit’ 을 통해 웹 서핑 도중 감염되는 변종이 확인 되었다. 해당 랜섬웨어는 기존에는 존재하지 않았던 암호화 제외 대상 목록이 존재하며 암호화 후 확장자를 변경시키지 않아 사용자가 감염 여부를 인지하기 어려울 것으로 예상된다. 이번 보고서에..

Qwerty 랜섬웨어 감염 주의 1. 개요 본 보고서에서 다루게 될 쿼티(Qwerty) 랜섬웨어는 ‘GPG’ 프로그램을 사용하여 파일을 암호화한다. ‘GPG’는 데이터와 통신을 암호화 시킬 수 있는 정상 프로그램으로 랜섬웨어에서 타 정상 프로그램을 사용하여 파일을 암호화하는 것은 드문 일이다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화된 파일의 확장자를 ‘.[임의의 값].qwerty’로 저장하고 원본 파일을 삭제하는 방식으로 랜섬웨어 기능을 수행한다. 이번 보고서에는 패키지로 구성된 쿼티 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명find.exe파일크기946,702byte진단명Ransom/W32.Qwerty.946702악성동작파일 암호화 2-2. 동작 ..

공포영화 애나벨을 모티브로 한 “Annabelle Ransomware” 유포 주의 1. 개요 최근, 애나벨이라는 공포영화를 모티브로 한 “Annabelle” 랜섬웨어가 발견 되었다. 해당 랜섬웨어에 감염이 될 경우 국내에서도 공포영화로 잘 알려진 '애나벨' 에 나오는 인형을 사용자에게 보여주어 공포심을 조장하고, 사용자 PC에 있는 파일을 암호화한다. 뿐만 아니라 사용자가 정상적으로 PC를 사용할 수 없도록 MBR까지 변조하기 때문에 사용자들의 주의를 요하고 있다.이번 보고서에서는 “Annabelle Ransomware”에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Annabelle.exe파일크기216,576 bytes진단명Ransom/W64.Annabelle.216576악성..

Gold Dragon 악성코드 주의 1. 개요 최근, 국내에서 열렸던 2018년 평창 올림픽이 무사히 막을 내렸다. 올림픽 기간 중에도 보안과 관련된 이슈는 끊임없이 계속 발생하였지만 그 중, 흥미롭게도 해외 한 백신 업체에서 평창 올림픽을 겨냥한 것으로 추정되는 악성코드에 대한 보고서를 기재하였다.게시된 글을 확인해보면 ‘Gold Dragon’ 이라고 불려지고 있는 파일에 대하여 내용이 다루어져 있다는 것을 확인할 수 있었는데, 이번 블로그에서는 해당 악성코드에 대해 어떠한 동작을 하는지 간단히 알아보도록 하자. 2. 분석 정보 2-1. 파일 정보구분내용파일명[임의의 파일명].exe파일크기49,152 byte진단명Trojan/W32.Agent.49152.CRX악성동작정보 탈취 / 추가 악성코드 다운 및..

2018년 1월 악성코드 통계 악성코드 Top202018년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Backdoor (백도어) 유형이며 총 168,218건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Backdoor/W32.Orcus.9216 Backdoor 168,218 건 2위 Worm/W32.Brontok.45374 Worm 52,962 건 3위 Trojan-Spy/W32.SpyEyes.2270504 Trojan-Spy 52,188 건 4위 Gen:Variant.Razy.107843 Viru..

사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의 1. 개요 최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다. 복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다...

2017년 12월 악성코드 통계 악성코드 Top202017년 12월(12월 1일 ~ 12월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 131,148건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Suspicious/W32.CVE-2016-3266 Trojan 21,255 건 2위 Gen:Variant.Johnnie.80689 Backdoor 13,602 건 3위 Trojan/W32.Obfuscated.569856.AR Suspicious 11,098 건 4위 Suspicious/PDF...

2017년 7월 악성코드 통계 악성코드 Top202017년 7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜) 유형이며 총 366,204건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Worm.Generic.24677 Worm 366,204건 2위 Backdoor/W32.Agent.986112.C Backdoor 9,994건 3위 Trojan.GenericKD.3549777 Trojan 9,716건 4위 Gen:Variant.Adware.Hebogo.1 Adware 9,643건 5위 Gen:V..

잉카인터넷, 2년 연속 ‘인터넷에코어워드 보안표준화분야 대상’ 수상 정보보안 전문기업 잉카인터넷(대표 주영흠)의 온라인 통합보안 서비스 nProtect Online Security(이하 온라인 시큐리티)가 ‘인터넷에코어워드 2017 보안표준화분야 대상을 받았다. 2016년 보안표준화분야 대상에 이어 2년 연속 수상의 영광을 안게 된 것이다. 인터넷에코어워드는 아이어워드위원회가 주최하고 한국인터넷전문가협회가 주관하며 미래창조과학부가 후원하는 시상식으로, 사용자 편의성을 제고한 인터넷 기술과 인터넷을 통한 사회공헌 활동 등으로 인터넷 생태계 발전에 기여한 개인과 기업, 단체를 선정한다. 올해는 7개 부문, 36개 분야에 걸쳐 총 90여 개의 인터넷서비스가 후보로 참가하여 열띤 경쟁을 펼쳤다. 대상 평가는 3..