잉카인터넷 시큐리티대응센터 블로그

TurkStatik Ransomware감염 주의 1. 개요 “TurkStatik”로 불리는 랜섬웨어는 모든 드라이브를 대상으로 암호화한다. 이 중 디렉터리가 재배치 지점(ReparsePoint), 시스템(System) 및 숨김(Hidden) 속성을 지니면 암호화를 하지 않는다. 추가로 암호화의 주요 대상은 윈도우 실행 파일이 아닌 문서, 사진, 영상 및 코드 등이다. 암호화가 완료된 디렉터리에는 터키어로 작성된 랜섬노트가 생성되며 48시간 이내에 금액에 대한 협상을 요구한다. 따라서, 감염된 경우 상당한 주의가 필요하며, 상세한 금액은 알려지지 않은 상태이다. 이번 보고서에서는 “TurkStatik” 랜섬웨어의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “Tur..

꾸준히 발견되고 있는 Maoloa 랜섬웨어 감염 주의 1. 개요 올해 초, 처음으로 등장한 Maoloa 랜섬웨어는 다양한 변종이 출현하며 현재까지도 꾸준히 발견되고 있다. 최근 발견된 Maoloa 랜섬웨어는 이전에 비해 특정 서비스를 비활성화 시키며, 일부 폴더 및 파일을 제외하고 모든 확장자를 암호화 대상하기 때문에, 감염 되었을 경우 사용자의 피해가 클 것으로 예상된다. 이번 보고서에는 최근에 유포 되고 있는 Maoloa 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Maoloa 랜섬웨어 실행 시, 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 레지스트리에..

bigbosshorse Ransomware감염 주의 1. 개요 최근 사용자 PC의 파일을 암호화한 후, “.bigbosshorse”라는 확장자를 추가하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 볼륨 섀도우 복사본을 삭제하여 복구를 무력화한 후, .testxx 확장자와 Windows 폴더를 제외한 모든 파일의 암호화를 진행한다. 또한, 국내에서 해당 랜섬웨어가 발견된 만큼 주의를 기울일 필요가 있다. 이번 보고서에서는 “bigbosshorse” 랜섬웨어의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “BigBossHorse” 랜섬웨어가 실행되면 가장 먼저 사용 언어를 확인한 후, 아르메니아 등 6개국에 해당하는 언어를 사용 중인 경우 프로그램을 종료한다. 이후 복구..

확장자를 변경하지 않는 DEATH Ransomware 감염 주의 1. 개요 최근 ‘DEATH Ransom’이라고 불리는 새로운 랜섬웨어가 발견되었다. 초기에 발견된 ‘DEATH’ 랜섬웨어는 파일 암호화를 진행하지 않았지만 이번에 발견된 ‘DEATH’ 랜섬웨어는 파일 암호화를 진행하며 일반적인 랜섬웨어와 다르게 암호화된 파일의 확장자를 변경하지 않는 특징을 갖고 있다. 이번 보고서에서는 ‘DEATH Ransomware’에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 현재 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 피싱메일, P2P 사이트를 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 해당 랜섬웨어가 실행되면 사용자 PC에서 특정 폴더와 파일을 제외..

꾸준히 발견되는 Ouroboros 랜섬웨어 감염 주의 1. 개요 Ouroboros 랜섬웨어는 2019년 4월경 처음 발견된 후 현재까지 지속적으로 발견되고 있는 랜섬웨어 이다. Zeropadypt 랜섬웨어 라고도 불리며, 유포 방식부터 감염 후 추가되는 암호화 확장자명까지 다양한 형태의 변종이 발견되고 있기 때문에 사용자들은 주의가 필요하다. 이번 보고서에는 최근에 발견 된 Ouroboros 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Ouroboros 랜섬웨어는 실행 시, 사용자 PC에서 특정 서비스 및 프로세스를 찾아 종료한다. 이후 암호화 대상이 되는 파일..

MegaCortex Ransomware감염 주의 1. 개요 “MegaCortex”로 불리며 기업을 주요 대상으로 공격하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 배치 파일(.cmd)을 사용하여 프로세스 및 서비스 종료, 볼륨 섀도우 복사본 삭제 및 등의 행위를 한다. “MegaCortex”에 감염되면 파일이 암호화 되며 랜섬노트를 통해 금액 협상을 요구하므로 주의가 필요하며, 상세한 금액은 알려지지 않은 상태이다. 이번 보고서에서는 “MegaCortex” 랜섬웨어의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “MegaCortex” 랜섬웨어가 실행되면 TEMP 경로에 배치 파일과 DLL을 생성한 후, 실행하여 악성 행위를 한다. 이 과정에서 사용자의 암호를 변경하..

국내에 유포된 AnteFrigus 감염 주의 1. 개요 최근 새롭게 등장한 “AnteFrigus” 랜섬웨어는 익스플로잇 킷을 통해 국내에 잠시 유포된 것으로 알려져 있다. 해당 랜섬웨어는 C드라이브에 파일은 암호화하지 않으며, 다른 파티션 혹은 보조 하드디스크에 존재하는 파일을 암호화하고 복구비용을 요구하고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 “AnteFrigus” 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “AnteFrigus” 랜섬웨어 실행 시 사용자의 하드드라이브 목록을 검색 후 저장하며, ‘C:\’ 경로에 ‘Instraction, qweasd’ 폴더를 생성한다. 저장된 드라이브 중D, E, F, G, I, U 드라이브의 폴더 및 파일을 ..

최근 등장한 Hakbit 랜섬웨어 1. 개요 금전적인 이득을 취할 수 있는 랜섬웨어가 기승을 부리는 요즘, Hakbit 랜섬웨어가 새로 발견되었다. 해당 랜섬웨어는 특정 확장자에 대하여 드라이브 아래의 모든 영역에 암호화를 실시하고, 볼륨 백업 복사본을 삭제한다. 그렇기 때문에 복구가 어렵고 시스템 손상이 클것으로 예상되어 주의가 필요하다. 이번 보고서에는 최근 발견된 Hakbit 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 해당 랜섬웨어는 실행되면 자가 복사를 하여 서비스 프로세스와 유사한 이름의 파일을 생성하고, 원본 파일은 삭제..

파일 이름도 변경시키는 FuxSocy 감염 주의 1. 개요 최근 등장한 “FuxSocy” 랜섬웨어는 사용자의 파일을 암호화하고, 파일이름을 임의의 문자열로 변경 후 추가적으로 확장자를 덧붙이고 있다. 해당 랜섬웨어는 작업 스케줄러 등록을 통해 공격의 지속성도 유지하고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 “FuxSocy” 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “FoxSocy” 랜섬웨어 실행 시 볼륨섀도우 복사본을 삭제하고, ‘AppData\Roaming’ 폴더에 “FoxSocy” 원본파일을 복사 후 실행시키며 작업스케줄러에 등록하여 지속적으로 실행되도록 설정한다. 이후 암호화 대상을 선별하여 파일을 암호화하며, 랜섬노트와 바탕화면 변경을 통..

GO-SPORT Ransomware 주의 1. 개요 최근 ‘GO-SPORT’라고 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 10월경 발견되었으며, 아직 정확한 유포 경로나 피해사례는 구체적으로 알려지지 않았다. ‘GO-SPORT Ransomware’의 특징 중 하나는 시스템 복원 무력화 관련 배치파일의 내용이 헤르메스 랜섬웨어에서 사용되었던 배치파일의 내용과 같다. 이번 보고서에서는 ‘GO-SPORT Ransomware’에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 현재 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일, P2P 사이트를 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 해당 랜섬웨어가 실행되면 사용자 PC에서 ..