타키온325 [랜섬웨어 분석] Nephilim 랜섬웨어 진화하는 Nephilim 랜섬웨어 최근 코로나 바이러스 등의 여파로 다양한 종류의 랜섬웨어가 등장하며, Nemty 랜섬웨어 2.5에서 변형된 형태로 Nefilim 랜섬웨어가 나타났다. 그리고 잇달아 Nefilim 랜섬웨어의 변형된 형태인 Nephilim 랜섬웨어가 나타났다. 해당 랜섬웨어는 Nefilim 랜섬웨어와 유사한 동작을 하나, 기업을 타겟으로 하며 암호화 대상의 범위가 확대되는 등의 변형이 있어 큰 주의가 필요하다. 이번 보고서에서는 Nephilim 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 특정 파일과 디렉토리를 제외하고 암호화 동작을 수행한 뒤, Root 아래에 랜섬노트를 생성한다. 그리고 %Temp%에 랜섬노트 이미지 파일을 드롭하여 배경화면으로 지정하여 사용자에게 랜섬웨어 .. 2020. 4. 7. 3월 랜섬웨어 동향 및 RekenSom랜섬웨어 분석보고서 악성코드 분석보고서 1. 3월 랜섬웨어 동향 2020년 3월(3월 01일 ~ 3월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내에서는 이력서로 위장한 NEMTY 랜섬웨어가 2.6으로 버전 업 하여 다수 유포되었다. 해외에서는 프랑스 지방 정부 기관이 Mespinoza 랜섬웨어 공격을 받았으며, 보험 회사인 Chubb이 Maze 랜섬웨어에 공격당해 데이터가 유출된 사건이 있었다. 이번 보고서에서는 3월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 3월 등장한 RekenSom 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 이력서로 위장한 NEMTY 랜섬웨어 유포 사례 최근 국내에서 유포 중인 NEMTY 랜섬웨어의 변종이 발견되었다. 2020년 1월부터 3월까지 확인.. 2020. 4. 3. [월간동향] 2020년 03월 악성코드 통계 1. 악성코드 통계 악성코드 Top20 2020년3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 73,273 건이 탐지되었다. 악성코드 유형 비율 3월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 78%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Worm(웜)이 각각 14%와 2%, Backdoor(백도어)와 Downloader(다운로더)가 각각 2%, 1%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전월 비교 3월에는 악성코드 유.. 2020. 4. 3. [랜섬웨어 분석] Nefilim 랜섬웨어 데이터를 공개하겠다고 협박하는 Nefilim Ransomware 감염 주의 최근 등장한 “Nefilim” 랜섬웨어는 “Nemty” 랜섬웨어의 새로운 버전으로 추정되고 있으며, 실행 시 사용자의 파일들을 암호화한다. 암호화된 파일의 대가로 금품을 요구하며 7일 내로 공격자의 요구에 응답하지 않으면 데이터를 공개하겠다고 협박하고 있어 사용자의 주의가 필요하다. “Nefilim” 랜섬웨어 실행 시, 뮤텍스를 생성하여 중복 실행을 방지하고 현재 디스크 드라이브 목록 및 타입을 검색한다. 만약 디스크 타입이 이동식 혹은 고정식이라면 해당 드라이브 최상위 경로에 랜섬 노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 이후 드라이브의 파일들을 검색한 뒤 [표 1]의 암호화 제외 경로 및 확장자 목록과 비.. 2020. 3. 27. [랜섬웨어 분석] CoronaVirus 랜섬웨어 CoronaVirus Ransomware 감염 주의 코로나19 바이러스 이슈를 악용한 ‘CoronaVirus’ 랜섬웨어가 등장했다. 해당 랜섬웨어는 시스템 최적화 유틸리티를 제공하는 해외 특정 웹 사이트와 유사한 가짜 웹 사이트를 제작해서 가짜 유틸리티를 다운받도록 유도하고, 다운로드된 파일을 실행할 경우 정보 탈취형 악성코드 ‘Kpot’와 ‘CoronaVirus’ 랜섬웨어를 다운 및 실행한다고 알려진다. ‘CoronaVirus 랜섬웨어’는 파일 암호화를 진행하고 암호화된 파일을 ‘coronaVi2022@이메일___원본 파일명.원본 확장명’ 형태로 변경하며 ‘CoronaVirus.txt’ 랜섬 노트를 생성한다. 또한 정상적인 복구를 무력화하기 위해 볼륨 섀도우 복사본을 삭제 하고, 디스크 이름을 ‘Cor.. 2020. 3. 25. [랜섬웨어 분석] Onix 랜섬웨어 Onix Ransomware 감염 주의 “Onix”로 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 확장자가 “.Onix”가 아닌 경우에는 지정된 형식에 따라 확장자를 변경하며, 볼륨 섀도우 복사본 삭제 및 복구 비활성화를 통해 복구를 무력화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 주의가 필요하다. 먼저, “Onix” 랜섬웨어는 폴더마다 ‘TRY_TO_READ.html’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 랜섬노트와 더불어 바탕화면을 [그림 2]와 같이 변경한다. “Onix” 랜섬웨어에 감염되어 암호화가 완료되면 확장자가 .ONIX가 아닌 파일의 확장자를 “{사용자 ID}.{메일}.ONIX”로 변경한다. 또한, 암호화 후 복구를 무력화 하기 위해 볼륨 섀.. 2020. 3. 20. 이전 1 ··· 30 31 32 33 34 35 36 ··· 55 다음
