잉카인터넷 시큐리티대응센터 블로그

국내에 유포되고 있는 Clop 랜섬웨어 감염 주의 1. 개요 국내 사용자를 대상으로 유포되고 있는 Clop 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 2월 초 처음 등장했으며, 최근에는 기업에서 사용하는 중앙관리서버에 침투해서 감염시키는 공격이 확산되고 있다고 알려져 각별한 주의가 필요하다. 이번 보고서에는 최근에 유포 되고 있는 Clop 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 102,912 bytes 진단명 Ransom/W32.Clop.102912 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포경로는 밝혀지지 않았다. 2-3. 실행 과정 Clop 랜섬웨어 실행 시, ..

헌법 재판소를 사칭한 메일 주의 1. 개요 최근, 글로벌 기업이나 공공기관을 사칭한 메일이 유포 되어 사용자들의 피해사례가 증가 하고 있는 가운데 이번에는 헌법재판소를 사칭한 메일이 유포되어 실제 헌법재판소 민원실에 많은 문의 전화가 오고 있는 것으로 알려진다. 이번 보고서에는 최근에 발견 된 헌법 재판소를 사칭한 메일에 대해서 간략히 알아보고, 피해를 예방하고자 한다. 2. 분석 정보 2-1. 유포 경로 해당 파일은 헌법 재판소를 사칭해서 첨부파일 형태로 유포 된다. 헌법 재판소에 출두해야 한다는 메일 내용과 함께, 첨부파일을 주의 깊게 읽으라는 내용을 포함하고 있다. 메일 내용이 자연스럽지 못한 것으로 보아 외국어로 제작된 후 한국어로 번역되어 유포 되었을 것으로 추정된다. 2-2. 파일 정보 현재 ..

1월 랜섬웨어 동향 및 RickRoll Locker 랜섬웨어 1. 1월 랜섬웨어 동향 2019년 1월(1월 01일 ~ 1월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 여전히 GandCrab 랜섬웨어가 다양한 유포 방식으로 사용자들에게 피해를 입혔으며, 해외에서는 미국 Del Rio 시청의 컴퓨터 일부가 랜섬웨어에 감염 되었고, 프랑스에서는 Altran Technologies 라는 회사가 랜섬웨어 공격으로 네트워크를 통해 유럽 일부 국가에 영향을 준 사건이 있었다. 이번 보고서에서는 1월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 1월 등장한 RickRoll Locker 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 GandCrab 랜섬웨어..

파일 일부분만 암호화하는 Anatova 랜섬웨어 주의 1. 개요 최근 암호화 대상 파일의 일부분만 암호화하여 빠르게 시스템을 감염시키는 Anatova 랜섬웨어가 발견되었다. 그뿐만 아니라 일반적인 랜섬웨어는 감염 대상 시스템을 늘리기 위해 32비트 포맷으로 작성되는 반면, Anatova 는 64비트 포맷으로 작성되어 악성 코드 실행 속도를 높였다. 시스템 관리자가 미처 대응하기 전에 시스템이 감염되어 버리면 랜섬웨어 피해가 커질 수 있으므로 주의가 필요하다. 이번 보고서에서는 Anatova 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 49,664 bytes 진단명 Ransom/W64.Anatova.49664 악성동작..

2019년 1월 악성코드 통계 악성코드 Top20 2019년01월(01월 1일 ~ 01월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1-1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan (트로잔) 유형이며 총 4,966 건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Trojan/W32.Agent.1385034 Trojan 4,966 건 2위 Trojan/XF.Sic Trojan 3,839 건 3위 Virus/W32.Ramnit.B Virus 2,455 건 4위 Virus/W32.Ramnit Virus 2,372 건 5위 Trojan/W32.HackTool.14..

nProtect KeyCrypt 관련 파일로 위장한 다운로더 주의 1. 개요 얼마 전, 자사에서 개발한 nProtect KeyCrypt 제품과 관련된 파일로 위장한 악성 파일이 발견되었다. 해당 파일은 자사에서 개발한 파일 중 하나인 “npkpdb.dll” 로 위장한 파일 정보를 가지고 있으나, 실제로는 다른 악성 파일을 다운로드하여 실행하는 exe 파일이다. 또한 Adobe, Mozilla 재단과 같이 유명 기업에서 개발한 파일로 위장한 유사 샘플이 존재하기 때문에 주의가 필요하다. 이번 보고서에서는 정상 기업 파일로 위장한 다운로더의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 158,040 bytes 진단명 Trojan/..

애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일 주의 1. 개요 최근 애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일이 유포되고 있다. 2018년 하반기, 애플을 사칭하여 사용자 계정정보를 탈취하는 메일이 유포 된 적이 있으나 최근에 다시 등장하여 사용자의 주의를 요한다. 해당 메일은 애플 제품의 구매 확인서를 사칭해서 pdf 파일을 첨부 하고 있으며 피싱사이트로 유도하여 사용자 정보를 노린다. 이번 보고서에는 최근에 발견 된 애플을 사칭한 피싱 메일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 Invoice Receipt #4658421.pdf 파일크기 684,668 bytes 진단명 Trojan/W32.Pidief.684668.E 악성동작 사용자 계정..

저장된 로그인 정보를 탈취하는 악성코드 감염 주의 1. 개요 최근 사용자의 웹 브라우저, 이메일 클라이언트 로그인 정보를 탈취하는 악성코드가 지속적으로 유포되고 있다. 사용자 PC에 저장된 로그인 정보를 수집하기 위해 패스워드 뷰어 프로그램을 악용하고 있으며, 백신 프로그램을 우회하고 사용자 모르게 악성파일을 다운받기 위해 hta 파일을 이용한다. 이번 보고서에서는 저장된 로그인 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 임의의 문자열.exe 파일크기 8,358 bytes 진단명 Trojan-Exploit/RTF.2017-11882 악성동작 악성코드 다운로드 구분 내용 파일명 PES.exe 파일크기 1,362,576 bytes 진단명 T..

광고성 스팸메일을 발송하는 악성코드 주의 1. 개요 광고성 스팸메일을 발송하는 악성코드는 도박, 성인 광고 스팸을 불특정 다수에게 자동으로 대량 발송한다. 광고성 스팸 발송 악성코드를 이용해 스팸 메일을 발송하는 특정 SMTP 서버의 주소를 국내 유명 통신사의 메일 주소로 속여서 국내 통신사가 사용자에게 스팸 메일을 보낸 것처럼 위장한 사례가 있다. 이번 보고서에서는 자동으로 광고성 스팸메일을 발송하는 악성코드의 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 임의의 문자열.exe 파일크기 223,744 bytes 진단명 Trojan/W32.Spamer.223744 악성동작 광고성 스팸메일 발송 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드의 유..

다시 등장한 Seon 랜섬웨어 감염 주의 1. 개요 Seon 랜섬웨어는 2018년 11월에 파워쉘 스크립트를 통한 Fileless 형태로 등장했었다. 최근에 다시 등장한 Seon 랜섬웨어는 ver.0.2 라고 버전이 표기 되어 있으며, Malvertising 및 GreenFlashSundown Exploit Kit 을 통해 유포 된다고 알려졌다. 해당 랜섬웨어는 지난 11월에 이어 다시 등장한 만큼 주의가 필요하다. 이번 보고서에는 최근에 발견 된 Seon 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 61,968 bytes 진단명 Ransom/W32.Seon.61968 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 M..