랜섬웨어

RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)

6월 초에 아래의 해외 사이트를 통해 Avaddon 이름의 신종 랜섬웨어에 대한 기사가 소개되었다. 6월 8일부터 국내에서 RigEK(Rig Exploit Kit)를 이용한 악성코드 유포 수가 급증한 것을 확인하였고, 해당 랜섬웨어가 국내에도 유포 중인 것이 확인되었다. (6월 7일) sensorstechforum.com/avaddon-virus-remove/ (6월 8일) www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/ 아래의 그림은 RigEK 에 대한 V3 제품의 행위탐지 로그 수를 나타낸다. 1153은 행위탐지 룰 번호를 나타내며, 6월 8일부터 건 수가 급격하게 증가한 것을 알 수 있다. RigEK 행위탐지 발생 건 수 RigEK 이용하여 다양한 악성코드가 유포 중인 가운데 Avaddon 랜섬웨어가 확인되어…

특정 기업환경에서만 동작하도록 설계된 Snake 랜섬웨어

최근 기업들을 대상으로 한 스네이크 랜섬웨어가 유포 중이다. 아직 국내에서 확인된 사례는 없지만 독일, 이탈리아, 일본 등 여러 국가 기업들을 대상으로 공격이 나타나고 있기 때문에 국내 기업들도 주의가 필요하다. 스네이크 랜섬웨어는 Go 언어로 개발되어 있다. Go로 개발된 악성코드는 이전부터 꾸준히 증가하고 있으며 최근 유포되는 악성코드들은 분석 방해를 위한 난독화 기법들이 사용되고 있다. 아래와 같이 스네이크 랜섬웨어도 동일하게 함수명들이 모두 랜덤한 문자열들로 변경되어 있다. 난독화된 함수명 작년 말에 확인된 스네이크 랜섬웨어는 일반적인 랜섬웨어와 유사하게 실행 시 특별한 조건 없이 암호화를 진행한다….

[주의] NSIS 형태로 유포 중인 이력서 위장 Makop 랜섬웨어

ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 다른 외형으로 유포되는 것을 확인했다. 대다수의 악성코드는 내부 바이너리를 숨기고 AV의 진단을 우회하기 위해 패킹(Packing) 기법을 활용한다. 내부 악성코드 바이너리는 동일하지만 겉 포장만을 다르게 하여 마치 다른 파일인 것처럼 제작하는 것이다.  최근 활발히 유포 중인 이력서를 위장한 악성코드 또한 마찬가지이다. 기존에는 V3 진단명 “MalPE”유형의 패커(Packer)를 사용하였지만 최근 발견된 샘플에서는 NSIS를 사용한다. 아이콘 및 파일명은 기존과 동일하다. 이력서(경력사항은 자세히 기재하였습니다 확인바랍니다).exe 포트폴리오(경력사항은 자세히 기재하였습니다 확인바랍니다).exe https://asec.ahnlab.com/1316 NSIS(Nullsoft Scriptable Install System)는 본래 프로그램의 설치파일을 제작하기…

코로나 문구가 포함된 랜섬웨어 국내발견 (.corona-lock 확장자)

 ASEC 분석팀은 5월22일 BlueCrab, Nemty 등과 동일한 외형 정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 암호화시 원본 확장자 이름에 코로나 문구를 포함한 “.corona-lock” 확장자로 변경하며 백업과 관련된 파일들을 삭제하여 복구가 불가능하게 한다. 랜섬노트는 바탕화면에 생성되며 아래와 같이 암호화된 파일 목록이 포함되어 있다. 랜섬노트 (README_LOCK.TXT) 해당 랜섬웨어는 암호화전 프로세스 및 서비스 목록을 검사하여 존재할 경우 종료 혹은 멈추는 행위를 수행한다. 프로세스 종료 및 서비스 종료 목록 프로세스 종료 대상 wxServer.exe wxServerView sqlservr.exe sqlmangr.exe RAgui.exe supervise.exe Culture.exe RTVscan.exe Defwatch.exe sqlbrowser.exe winword.exe Winword.exe…

[주의] 이력서로 위장한 makop 랜섬웨어 (04.13)

ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일명은 아래와 같이 어눌한 한글과 띄어쓰기를 사용한 것을 알 수 있다. 이를 통해 악성코드 유포자는 한글말 사용이 서툰 것으로 추정된다. 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe 이력서(200413)_항상 무었을하던지 열심히 최선을 다하겠습니다.exe 감염 시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다. 유포 이메일 랜섬노트 MalPe 패커를 사용한 이력서 위장 랜섬웨어는 한달에 2~3번씩은 각각 다른 랜섬웨어를 사용해 유포되고 있다. 유포방식과 패커 사용에 대해서는 변한 점은 없지만 꾸준하게…