TACHYON Endpoint Security54 [랜섬웨어 분석] Namaste 랜섬웨어 최근 “Namaste” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 원활한 암호화 동작을 수행하기 위해서 웹 브라우저와 같은 특정 프로세스 이외에 현재 시스템 권한으로 실행되고 있지 않은 모든 프로세스를 종료하고 파일을 암호화한다. 그리고 랜섬노트를 통해 10 유로를 지불하라고 협박하고 있어 사용자의 주의가 필요하다. “Namaste” 랜섬웨어 실행 시, 작업표시줄을 비활성화하고 현재 실행중인 프로세스를 검색하여 [표 1] 목록 이외에 모든 프로세스를 종료한다. 그리고 “WinDecrypt” 라는 이름으로 스케줄러에 등록하여, 시스템 시작 시 “Namaste” 랜섬웨어가 실행되도록 설정한다. 다음 [표 2] 암호화 대상 조건에 부합하는 파일을 암호화하고, “_enc” 확장자를 암호화한 파일에 덧붙인다. 파일을.. 2021. 2. 17. [랜섬웨어 분석] Vovalex 랜섬웨어 “Vovalex” 랜섬웨어는 지난 1월에 발견된 랜섬웨어로 CCleaner Pro, uTorrent Ad-Free 등 설치 프로그램으로 위장해 유포되고 있어 사용자의 주의가 필요하다. 해당 랜섬웨어는 유료 버전인 CCleaner Pro 설치 프로그램으로 위장하고, 불법으로 인증 키를 생성하는 키젠(Keygen) 프로그램을 함께 유포하고 있다고 알려졌다. “Vovalex” 랜섬웨어에 감염되면 “uTorrent” 프로그램 설치와 동시에 ‘.sys’, ‘.ini’, ‘.lnk’ 확장자와 운영체제 구동을 위한 기본적인 시스템 폴더 및 파일을 제외한 모든 파일에 대해 암호화가 진행된다. 파일 암호화가 완료되면 “.vovalex” 이름의 확장자를 덧붙이며 바탕화면에 “README.VOVALEX.TXT” 랜섬노트를 .. 2021. 2. 9. 코로나와 관련된 내용으로 위장한 악성코드 전 세계가 코로나19 바이러스 감염증으로 많은 주의와 관심을 가지는 가운데, 이를 이용한 사회공학기법 악성코드가 크게 증가하고 있는 추세이다. 최근에는 북한에 대한 내용으로 코로나 19 관련 뉴스를 위장한 문서가 유포되었다. 해당 문서는 “Pyongyang stores low on foreign goods amid North Korean COVID-19 paranoia”라는 제목을 가진 워드 문서이다. 문서 본문의 내용은 "NK NEWS" 에서 발표한 내용과 동일하지만, 문서 내부에 포함된 페이로드가 실행되면 악성파일을 다운로드한다. 해당 악성파일은 사용자 PC의 정보를 탈취하는 Amadey 악성코드로, 2019년부터 현재까지 지속적으로 나타나는 악성코드이기에 주의가 필요하다. 해당 문서는 하기의 이미지.. 2021. 2. 8. [랜섬웨어 분석] Matrix 랜섬웨어 1월 초, 파일을 드롭하여 악성동작을 하는 Matrix 랜섬웨어가 등장하였다. 해당 랜섬웨어는 배치파일 등을 이용하여 사용자 PC에 악성동작을 수행한다. 그리고 기본적인 윈도우 관련 디렉토리를 제외한 모든 폴더에 대하여 파일을 감염하기에 주의가 필요하다. 하기의 이미지를 드롭하여 바탕화면으로 등록하여 감염사실을 알린다. 또한, 감염 동작이 이루어진 모든 폴더 아래에 랜섬노트를 생성하여 감염사실을 2차적으로 알린다. Matrix 랜섬웨어는 먼저, 임의의 파일명으로 자가복사를 하고, vbs 파일과 bat 드롭한다. 드롭된 vbs 파일은 bat 파일을 schtasks 에 등록하여 5분마다 실행하도록 한다. 이 때 알람이 뜨지않고 작업이 겹칠 경우 강제로 실행하도록 하여 사용자가 눈치채지 못하도록 한다. 그리고.. 2021. 1. 25. [랜섬웨어 분석] DeroHE 랜섬웨어 주말 동안 윈도우 유틸리티 개발 업체인 IObit에서 발송한 것으로 위장한 메일이 IObit 회원들에게 전송됐다. 메일은 자사 1년 무료 라이선스를 지급한다는 내용으로 작성되었으며, “DeroHE” 랜섬웨어가 포함된 압축 파일을 다운로드하는 링크가 포함되어있다고 알려졌다. 만약, 사용자가 메일로 받은 링크에서 파일을 다운로드 한 후, 라이선스 획득을 위해 IObit License Manager.exe를 실행하면 “DeroHE” 랜섬웨어가 실행되어 파일이 암호화되며 확장자가 “.DeroHE”로 변경된다. 또한, 파일 복구를 위해 200 Dero 코인을 요구하므로 주의가 필요하다. 다운로드된 파일을 압축 해제한 후, IObit License Manager.exe를 실행하면 랜섬웨어 동작을 하는 iobit.d.. 2021. 1. 21. [랜섬웨어 분석] Lola 랜섬웨어 최근 “Lola” 랜섬웨어가 발견되었다. ‘Lola’ 랜섬웨어는 %USERPROFILE% 경로를 대상으로 암호화 하고, 사용자의 PC 복구가 불가능하도록 하며 랜섬노트를 통해 랜섬머니를 요구한다. 해당 랜섬웨어는 3일의 기간 동안 랜섬머니를 50% 가격만 받는다는 메시지로 피해자의 불안감을 증폭시켜 협박하므로 주의가 필요하다. “Lola” 랜섬웨어에 감염되면 %USERPROFILE% 경로 및 하위 폴더의 [표 1]에 해당하는 확장자의 파일이 암호화 된다. 암호화 이후 감염된 파일명의 확장자 뒤에 “.lola” 라는 이름의 확장자를 덧붙인다. 또한, 암호화 대상 폴더에 “Please_Read.txt”라는 이름의 랜섬노트를 생성하여 사용자에게 감염 사실을 알린다. 랜섬노트에 따르면 암호화된 파일을 빌미로 3.. 2020. 12. 17. 이전 1 2 3 4 5 ··· 9 다음
