랜섬웨어

가짜 윈도우 화면과 함께 설치되는 신종 랜섬웨어 국내 발견(*.rezm 확장자)

ASEC분석팀은 2020년 3월 2일 가짜 윈도우 업데이트 화면과 함께 설치되는 신종 랜섬웨어를 발견하였다. 해당 랜섬웨어는 기존 국내에 널리 유포되고 있는 Bluecrab, Nemty, Paradise 이름의 랜섬웨어와 동일한 패커(Packer)를 사용하여 유포 중이며 암호화된 파일은 확장자가 .rezm 이 추가되는 특징을 갖는다. 파일 실행 시 아래 주소에서 Fake 윈도우즈 업데이트 파일을 다운로드 받아 실행 되어, 사용자에게는 마치 윈도우즈 업데이트가 되는 듯한 화면을 보여준다. 그러나, 실제로는 랜섬웨어가 동작하여 사용자 컴퓨터 파일들을 감염 시킨다. http[:]//mopg.top/files/penelop/updatewin1.exe http[:]//mopg.top/Asjdi435784ihjk65pen2/get.php?pid=????생략????&first=true http[:]//mopg.top/files/penelop/updatewin2.exe http[:]//mopg.top/files/penelop/updatewin.exe http[:]//mopg.top/files/penelop/3.exe http[:]//mopg.top/files/penelop/4.exe http[:]//mopg.top/files/penelop/5.exe http[:]//paunsaugunt.com/517 http[:]//paunsaugunt.com/freebl3.dll http[:]//paunsaugunt.com/mozglue.dll http[:]//paunsaugunt.com/msvcp140.dll http[:]//paunsaugunt.com/nss3.dll…

Magniber 랜섬웨어 유포 취약점 변경(CVE-2018-8174 -> CVE-2019-1367)

매그니베르(Magniber) 랜섬웨어는 취약한 인터넷 익스플로러를 통한 웹페이지 접속만으로 랜섬웨어를 감염시키는 파일리스(Fileless) 형태의 악성코드이다. 국내에 많은 피해를 입히고 있는 대표적인 랜섬웨어로 ASEC 분석팀은 이러한 IE(Internet Explore) 취약점을 통해 유포되는 Magniber 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 2020년 2월 11일부터 유포에 사용하던 취약점이 CVE-2018-8174에서 CVE-2019-1367으로 새롭게 변경하여 국내에 유포 중임을 확인하였다.  아래 [그림 1]은 현재 매그니베르 유포 사이트 접속 시 전달받는 HTML 스크립트로 인코딩된 형태이다.  [그림 2]는 [그림 1]의 스크립트의 디코딩된 형태로 취약점 스크립트 부분이다.  이전에 소개된 VBScript 엔진 취약점(CVE-2018-8174) 스크립트에서 JavaScript 엔진…

Antefrigus 랜섬웨어 변종 국내 발견 (CLICK_HERE-[랜덤].txt)

ASEC 분석팀은 Antefrigus 랜섬웨어의 변형으로 추정되는 랜섬웨어가 국내 유포 중임을 확인하였다. 해당 랜섬웨어는 지난 12월 30일부터 유포되었으며 최근 다량으로 퍼지고 있다. 지난달 24일 게시한 랜섬웨어와 마찬가지로 제작자와 채팅할 수 있는 주소가 존재하며 다른 랜섬웨어와는 다르게 볼륨 섀도우 카피 삭제를 수행하지않아 랜섬웨어 감염 이전에 볼륨 새도 복사본을 생성해두었다면 복구가 가능하다. 해당 랜섬웨어는 SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce에 DefenIfWIn 명으로 랜섬웨어를 레지스트리에 등록하며, 특정 프로세스 종료 후 암호화를 진행한다. 각 폴더에 CLICK_HERE-[랜덤].txt 명의 랜섬노트를 생성하며, 종료 대상 프로세스와 감염 제외 폴더 및 파일 명은 다음과 같다….

부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중

2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며, 첨부된 파일은 *.alz 형태의 압축파일이며 악성 실행파일을 포함하고 있다. (PDF 문서로 위장된 실행파일) 이러한 Nemty 랜섬웨어는 빠르게 변종이 제작되어 유포되고 있으며, VirusTotal의 시그니처 진단으로 탐지하지 않더라도 V3의 행위탐지, 프로세스 메모리검사 기능에 의해 실행 시점에 탐지 및 차단이 가능하다. 2018년 12월 30일에 유포된 것과 유사한 방식으로 이메일의 첨부파일 형태로 유포된 것으로 추정되며, 2020년 1월 6일에 아래와…

이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab)

갠드크랩(GandCrab)은 지난 2018년 초부터 2019년 2분기까지 1년이 넘는 긴 시간 동안 활발하게 유포된 랜섬웨어로 다양한 변종을 통해 전 세계적으로 막대한 피해를 끼쳤다. 국내 사용자를 노린 이력서나 한글 파일 형식 등으로 위장하기도 하였으나 2019년을 지나 2020년 현재는 사실상 자취를 감춘 상태이고, 블루크랩(BlueCrab) 이라는 새로운 랜섬웨어가 기존 갠드크랩과 유사한 방식으로 활발히 유포되고 있는 상황이다.  대다수의 일반적인 악성코드는 감염 시스템에 백신 제품이 설치되었거나 동작 중인 것이 확인되면 악성코드의 기능을 중단하거나 동작 프로세스를 변경한다. 이에 반해 갠드크랩 랜섬웨어는 랜섬웨어의 본래의 목적인 파일 암호화 외에도 코드 상에 ‘안랩’과 ‘V3 Lite’ 제품을 직접적으로 언급하며 이에 대해 적극적인 공격을 시도했다. 초기 버전은 단순 문자열을 언급하는 정도였으나 점차 V3 제품 취약점 공개, 제품 삭제 등의 기능으로 진화했다. 한편 안랩 또한 갠드크랩 랜섬웨어의 킬스위치를 공개하는 것을 시작으로 V3 제품을 공격하는 기능이 새롭게 확인될 때마다 이를 보완하기 위해 빠르게 대응했다.  유포 기간 내내 지속된 안랩과 갠드크랩 랜섬웨어 제작자와의 긴 싸움은 국내외 IT 언론을 통해 몇 차례 보도된 바 있지만 지금까지 공개되었던 내용은 극히 일부이다. 이번 ASEC리포트 보고서에는 ASEC 분석팀이 추적•분석한 내용을 바탕으로 그동안 민감 정보라는 이유로 공개되지 않았던 안랩과 갠드크랩 간의 사투를 시간순으로 면밀히 살펴보고자 한다. ASEC리포트 Vo.97 PDF https://image.ahnlab.com/file_upload/asecissue_files/ASEC%20REPORT_vol.97.pdf ASEC리포트 https://www.ahnlab.com/kr/site/securityinfo/asec/asecView.do?groupCode=VNI001&seq=28878