잉카인터넷 시큐리티대응센터 블로그

ShadowCryptor Ransomware 감염 주의 최근 "ShadowCryptor" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 볼륨 섀도우 복사본이 삭제되어 복구가 어려우며, 다수의 확장자를 대상으로 파일 암호화가 진행되므로 사용자의 주의가 필요하다. 감염이 진행되면 폴더마다 ‘.[랜덤 6바이트]-DECRYPT.txt’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 암호화가 완료된 파일의 확장자는 .[랜덤 6바이트]로 변경되며, 모든 파일의 암호화가 끝나면 원본 파일은 자가 삭제한다. 암호화 대상은 아래 [표 1]의 목록에 해당하는 확장자를 지닌 파일이다. [표 2]의 제외 목록과 일치하는 파일 및 폴더는 암호화에서 제외된다. 다음으로, 파일 암호화를 하기 전에 원활한 악성 ..

1. 개요 최근 해외 보안업체에 따르면 올해 3월경, 정보 탈취형 악성코드 ‘Poulight Stealer’가 새롭게 발견되었다고 알려진다. 또한 러시아 언어로 된 C2 패널에서 해당 악성코드의 판매가 이루어지고 있기 때문에 추가적으로 유포량이 증가할 가능성이 있어 주의가 필요하다. 이번 보고서에서는 ‘Poulight Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 해당 악성코드를 실행하면 먼저 실행된 환경이 가상 환경인지 체크한다. 가상 환경이 아닐 경우 정상적으로 실행되어 사용자의 데이터를 수집하기 위한 임의의 폴더(pf-tu4ap)를 “C:\Users\사용자 계정명\AppData\Local” 위치에 생성한다. 이후 시스템 기본정보,..

7ZIP 유형으로 파일을 압축하는 VCrypt Ransomware 감염 주의 최근 “VCrypt”라 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 7zip 명령줄 인터페이스(CLI : Command-Line Interface) 프로그램을 통해 사용자의 파일을 압축하고 삭제하고 있어 주의가 필요하다. “VCrypt” 랜섬웨어가 실행되면 %TEMP%경로에 “video_driver.exe” 파일명으로 자가복제 한 뒤, 시스템 재부팅 시 자동실행되도록 Run 레지스트리 키에 등록한다. 파일 압축을 위해 7zip 명령줄 인터페이스 프로그램인 “7za.exe” (18.05 Version)를 %TEMP%경로에 “mod_01.exe” 파일명으로 생성한다. 이후 사용자 폴더 경로에 “new_background.bmp”,..

Paymen45 랜섬웨어 주의! 지난 5월, Paymen45 랜섬웨어가 등장하였다. 해당 랜섬웨어는 C드라이브에 대해 감염 동작을 하며, 복구가 불가능하도록 볼륨 섀도우 복사본을 삭제하기 때문에 큰 피해를 초래할 수 있다. 이번 보고서에서는 Paymen45 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 특정 디렉토리와 파일을 제외하고 C드라이브에 존재하는 모든 파일에 대하여 감염 동작을 수행한다. 암호화동작이 끝나고 나면, 볼륨 섀도우 복사본을 삭제하여 복구가 불가능하도록 하고 모든 디렉토리 아래에 랜섬노트를 생성하여, 사용자에게 감염사실을 알린다. 하기의 표와 같이, 해당 랜섬웨어와 랜섬노트 그리고, 특정 디렉토리와 확장자를 제외하고 암호화 동작을 수행한다. 암호화가 된 후, 파일명은 ‘파일..

공정거래위원회를 사칭한 Nemty Ransomware 유포 주의 공정거래위원회를 사칭한 피싱 메일이 지속적으로 유포되고 있어 사용자의 주의가 필요하다. 첨부된 압축 파일(‘전산 및 비전산자료 보존 요청서.zip’)을 해제하면 내부에는 2개의 악성 파일이 존재한다. 해당 파일은 PDF 아이콘으로 위장한 정보 유출형 악성코드와 한글 문서 아이콘으로 위장한 ‘Nemty’ 랜섬웨어이다. 사용자가 공정거래위원회 관련 파일로 착각해 한글 아이콘으로 위장한 ‘Nemty’ 랜섬웨어를 실행할 경우, 해당 랜섬웨어는 파일 암호화를 진행하고 암호화된 파일의 원본 확장명에 ‘NEMTY_XXXXXXX’ 형식으로 덧붙인 뒤, 바탕화면을 변경해 감염 사실을 알린다. 그리고 암호화가 진행된 폴더에 ‘NEMTY_ULVVYOU-DECR..

1. 악성코드 통계 악성코드 Top20 2020년4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 171,605 건이 탐지되었다. 악성코드 유형 비율 4월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 76%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Worm(웜)이 각각 14%와 4%, Backdoor(백도어)와 Downloader(다운로더)가 각각 3%, 1%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전월 비교 4월에는 악성코드 ..

악성코드 분석보고서 1. 4월 랜섬웨어 동향 2020년 4월(4월 01일 ~ 4월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내에서는 이력서로 위장한 Makop 랜섬웨어가 다수 유포되고 LockBit 랜섬웨어에 감염된 사례가 발견되었다. 해외에서는 포르투갈 다국적 에너지 회사(EDP)가 RagnarLocker 랜섬웨어에 공격당해 데이터가 유출된 사건이 있었다. 이번 보고서에서는 4월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 4월 등장한 LockBit 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 LockBit 랜섬웨어 유포 사례 4월 말, 국내에서 LockBit 랜섬웨어에 감염된 사례가 발견되었다. 해당 랜섬웨어는 감염된 파일 이름에 .abcd 확장자를 덧붙..

Ebed Ransomware 감염 주의 최근 "Ebed" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 사용자 PC의 로케일(Locale) 정보를 확인하여 한국이면 파일을 암호화하며 기존의 확장자 뒤에 ".ebed"를 추가한다. 감염 전 사전 작업으로 로케일 정보(GetLcocaleInfoEx API)를 획득한 후, 한국이면 감염을 진행하고 중국이면 종료한다. 감염이 진행되면 “Ebed” 랜섬웨어는 폴더마다 ‘ATTENTION-ebed-README.txt’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 파일 암호화가 완료되면 기존의 확장자 뒤에 .ebed 확장자가 추가된다. 암호화 제외 항목은 [표 1]과 같으며, Program Files나 Windows 폴더와 같이 주요한 폴더는 제..

이력서로 위장한 Makop Ransomware 유포 주의 근래에 입사 지원서로 위장한 피싱 메일이 유포되고 있어 사용자의 주의가 필요하다. 첨부된 압축 파일을 해제하면 한글 문서 아이콘으로 위장한 ‘Makop’ 랜섬웨어가 존재한다. 해당 랜섬웨어는 파일 암호화를 진행하고 암호화된 파일의 원본 확장명에 ‘[XXXXXXXX].[이메일 주소].makop’ 형식으로 덧붙이고 ‘readme-warning.txt’ 랜섬 노트를 생성한다. 이번 보고서에서 알아본 ‘Makop’ 랜섬웨어는 입사 지원서로 위장한 피싱 메일로 유포되어 한글 문서 아이콘과 이력서 및 포트폴리오 관련 파일명으로 위장해 사용자의 클릭을 유도하는 특징을 갖고 있다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 ..

Sepsys 랜섬웨어 주의! 지난 4월 중순에 Sepsys 랜섬웨어가 등장하였다. 해당 랜섬웨어가 실행되면 볼륨 섀도우 복사본을 삭제하며, 특정 디렉토리 내에 모든 확장자에 대하여 암호화를 진행하기에 큰 주의가 필요하다. 이번 보고서에서는 SepSys 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 사용자가 감염된 PC를 복구할 수 없도록 사전에 볼륨 섀도우 복사본을 모두 삭제 한 뒤, 암호화 동작을 수행한다. 또한 사용자의 PC IP정보를 서버로 전달하고, 자동실행 레지스트리 값에 자가 복제된 파일과 랜섬노트를 추가하여 윈도우 재부팅 시에도 동작이 수행되도록 만든다. 하기의 이미지와 같이, 윈도우 재부팅 시 동작하도록 자가 복제 파일과 랜섬노트를 Run 레지스트리에 등록한다. C2서버에 연결하..