랜섬웨어 342

[악성코드 분석] SWF 취약점을 통해 전파된 랜섬웨어

SWF 취약점을 통해 전파된 랜섬웨어 분석 보고서 1. 개요 악성코드의 목적은 금융정보 탈취, 파일 암호화, DDoS 공격용 좀비PC 생성, 단순 PC 파괴 등 다양하다. 그리고 공격자는 이런 악성코드가 사용자의 PC에서 실행되도록 다양한 수단을 이용한다. 취약점 CVE-2016-1019 도 그 중 하나이다. CVE는 Common Vulnerabilities and Exposures의 약자로, 보안 취약점 정보를 제공하는 시스템을 말한다. 각 취약점 별로 번호를 붙여 식별하고, 이 랜섬웨어에서 사용한 CVE-2016-1019 는 2016년 4월에 발견된 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전을 사용할 경우 이 취약점에 노출된다. 이 보고서에서는 CVE-2016-101..

[악성코드 분석] MBR 변조로 부팅을 방해하는 PETYA 랜섬웨어

MBR 변조로 정상 부팅을 방해하는 PETYA 랜섬웨어 분석 보고서 1. 개요일반적인 랜섬웨어는 표적이 되는 특정 파일을 암호화 하여 해당 파일을 복구하는 대가로 금전을 요구한다. 이때, 사용자의 PC는 암호화된 파일을 여는 것 외에는 정상작동을 할 수 있었다. 최근엔 이런 일반적인 랜섬웨어의 동작에 고정관념을 깨고 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 랜섬웨어가 등장하였다. 또한 이 랜섬웨어는 파일공유 서비스를 이용해 유포되고 있으며 파일명이 독일어이지만 이력서 파일로 위장하고 있어 사용자에게 큰 피해가 우려된다. 본 보고서에선 파일 암호화가 아닌 MBR 코드를 변조하는 PETYA 랜섬웨어를 집중 분석하고 예방 및 해결책을 명시하여 사용자 피해를 최소화하고자 한다. 2. 분석 정보..

[악성코드 분석] Radamant (랜섬웨어)

Radamant (랜섬웨어) 악성코드 분석 보고서 1. 개요파일을 암호화하고 암호를 풀기 위해 금전을 요구하는 악성 프로그램 랜섬웨어의 수가 급증하고 있다. 특히 2015년 상반기엔 유명 커뮤니티 사이트에서 랜섬웨어가 유포되어 많은 사용자가 피해를 입었다. 이후에도 많은 보안업체의 노력에도 불구하고 랜섬웨어의 피해는 점점 증가하고 있다. 인터넷뱅킹 파밍이나 계정정보 탈취를 시도하는 다른 악성코드들은 감염이나 피해에 따른 보안 툴이 있는 반면, 랜섬웨어의 경우 감염 즉시 PC의 데이터를 사용 불능으로 만들며 감염된 파일은 복구가 어려워 많은 피해를 일으키고 있다. 따라서, 잉카인터넷 시큐리티 대응센터는 해당 보고서에 Radamant 랜섬웨어(진단명: Trojan/W32.Bublik.208896.N) 를 분..

[악성코드 분석] 80.exe (랜섬웨어)

80.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 유포경로 랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다. 80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다. [그림] 메일을 통해 유포된 랜섬웨어 80.exe 1.2. 80...

[악성코드 분석] 111.exe (랜섬웨어)

111.exe 악성코드 분석 보고서 1. 분석 정보 http://3****r****n****l***o.com/wp-includes/Text/111.exe 에서 다운로드된 악성코드 111.exe는 특정된 유포경로가 없으나, 웹사이트에 삽입된 익스플로잇이나 이메일을 통해 전파된 것으로 보인다. 111.exe는 사용자 동의없이 PC의 특정 파일들을 암호화하여 사용할 수 없게 하며, 원상복구 대가로 금액을 요구하는 이른바 랜섬웨어다. 실행 시 주요 파일들을 암호화하여 원본파일과 동일한 위치에 원본파일명.ccc 파일을 만들고 원본을 삭제한다. [그림] 감염 전 후 파일비교 모든 폴더에는 복호화 방법을 설명하는 두 파일(_how_recover_kug.html과 _how_recover_ kug.txt)을 생성하고, ..

[주의]Flash Player로 위장한 Ransomware

1. 개 요 해외를 중심으로 지속적인 유포가 이루어지는 Ransomware중 Flash Player의 아이콘 및 파일명을 도용한 변종이 발견되었다. 해당 Ransomware는 파일명 등 속성 값을 위장하는 사회공학 기법으로 사용자들을 현혹하기 때문에 일반 사용자들의 경우 이러한 사회공학 기법을 악용하는 Ransomware에 대한 각별한 주의가 요망되고 있다. Ransomware는 감염 특성상 일단 감염되면 사후 대응이 어려우며, 금전적 손실 등을 유발할 수 있기 때문에 사전에 감염되지 않도록 예방하는 것이 무엇보다 중요하다. [주의]Ransomware의 해외 유포 증가 ☞ http://erteam.nprotect.com/193 2. 유포 경로 및 감염 증상 위와 같이 정상 파일명으로 위장한 Ransomw..

[주의]Ransomware의 해외 유포 증가

1. 개 요 최근 러시아 등 해외를 중심으로 유효한 코드 입력전에는 사용자의 PC사용을 불가능하게 만들 수 있는 Ransomware의 유포가 증가되고 있는 추세이다. 일단 감염되면 백신 치료 등 사후 대응이 어렵기 때문에 일반 사용자의 경우 감염 되지 않도록 각별한 주의가 요망되고 있다. 최근 사회적으로 각종 개인 정보를 탈취하는 해킹 사건이 빈번한 가운데 이러한 Ransomware가 사이버범죄에 악용된다면 일반 개인은 물론 각 공공기관 및 기업들의 엄청난 물리적, 금전적 손실을 불러올 수 있다. [Ransomware의 지속적인 출현과 대응 방법] ☞ http://erteam.nprotect.com/158 [웹 브라우저 업데이트 파일로 위장한 Ransomware 발견 주의 필요] ☞ http://erte..

Ransomware의 지속적인 출현과 대응 방법

1. 개 요 최근 해외를 중심으로 감염 증상 해결을 위해 금전적 요구를 하는 형태의 Ransomware가 지속적으로 등장하고 있어 일반 사용자들의 각별한 주의가 요망되고 있다. 일단 감염이 이루어지면 PC 사용 자체가 불가능해지며, 일정 금액을 지불해야만 해당 증상 해제를 위한 일종의 키값을 받을 수 있기 때문에 시간적, 물리적, 금전적 손실이 뒤따르게 된다. 이번 글을 통해 지속적으로 출현중인 Ransomware에 대해 살펴 본 후 혹시 있을지 모를 피해에 대비할 수 있도록 하자. 2. 감염 경로 및 증상 Ransomware는 취약점이 존재하는 특정 웹 사이트를 통해 유포될 수 있으며, 이메일의 첨부파일이나, 인스턴트 메신저 혹은 SNS(Social Network Services)등을 통해서도 유포가 ..

웹 브라우저 업데이트 파일로 위장한 Ransomware 발견 주의 필요

1. 개 요 최근 해외를 중심으로 파일들에 대한 암호화 등 다양한 기법을 통해 사용자의 PC를 담보로 금전적 이득 등을 목적으로 하는 악성파일이 지속적으로 유포되고 있다. 블로그를 통해 몇 차례 소개하였던 이 악성파일은 랜섬웨어(Ransomware)라 불리며, 사회공학 기법을 악용해 마치 Internet Explorer 등의 웹 브라우저 업데이트와 관련한 파일로 위장된 변종이 발견되면서 사용자들의 각별한 주의가 요구되고 있다. 금품요구 목적의 새로운 Ransomware 출현! ☞ http://erteam.nprotect.com/84 Ransomware의 위협과 대응방안 ☞ http://erteam.nprotect.com/87 Ransomware 변종의 지속적인 출현과 예방 조치 방법 ☞ http://er..

퀵타임 플레이어(QuickTime Player)관련 아이콘으로 위장한 Ransomware 발견

1. 개 요 사용자의 파일 등을 볼모로 금전적 이득을 노리는 Ransomware의 변종이 끊임없이 유포되고 있다. 이러한 가운데 최근 퀵타임 플레이어(QuickTime Player)로 위장한 Ransomware가 출현하여 주의가 필요한 상황이다. Ransomware는 현재 국내에서 특별한 피해사례는 보고되고 있지 않지만, 중요 기관 및 기업체 등의 시스템이 감염될 경우 심각한 금전적 피해가 발생할 수 있는 만큼 Ransomware에 대한 보다 높은 관심이 필요한 시점이다. 참고 : Ransomware 변종의 지속적인 출현과 예방 조치 방법 http://erteam.nprotect.com/112 참고 : Ransomware 변종의 지속적 출현 http://erteam.nprotect.com/110 2. 감..