랜섬웨어

GandCrab, Nemty에 이어 동일 외형의 DEATHRansom 국내 발견

2019년 11월 20일 안랩 ASEC 분석팀은 국내에 유포된 DEATHRansom이라는 새로운 랜섬웨어를 발견하였다. 해당 랜섬웨어는 GandCrab, BlueCrab(=Sodinokibi), Nemty와 동일한 패커를 사용하고 있다. 이 패커(Packer)는 작년에 활발히 유포한 GandCrab부터 BlueCrab과 2019년 9월에 발견 된 Nemty 랜섬웨어, 이번에 발견된 DEATHRansom 까지 다양한 랜섬웨어에 사용되고 있다. 이러한 패커형태는 랜섬웨어 뿐만 아니라 사용자 정보탈취 악성코드와 암호화폐 채굴형 악성코드까지 다양하게 사용하고 있어 사용자의 주의가 필요하다. DEATHRanom 랜섬웨어는 아래 폴더와 파일을 제외하고 모두 감염 대상이다. 감염 후 확장자 변경은 하지 않고, 감염을 한 폴더마다 랜섬노트인 “read_me.txt” 파일을…

입사지원서로 위장해 유포중인 NEMTY 2.0 랜섬웨어 (지원서.hwp.exe)

2019년 11월 12일 안랩 ASEC분석팀은 NEMTY REVENGE 2.0 랜섬웨어가 이력서로 위장하여 국내 기업을 대상으로 유포된 것을 확인하였다. 해당 랜섬웨어의 1.x 버전의 경우 Tesorion 라는 업체에서 복호화 툴을 제작하여 공개한 이력이 있다. (https://www.tesorion.nl/nemty-update-decryptors-for-nemty-1-5-and-1-6/) 하지만, 현재 사회공학 기법을 통해 국내에 활발하게 유포중인 버전은 2.0으로 이 버전은 아직까지 복구툴이 제공되지 않고있어 사용자 주의가 요구된다. 해당 랜섬웨어 유포자는 아래의 그림과 같이 이력서를 가장해 이메일의 첨부파일 형태로 감염을 시도한다. 첨부된 압축파일(“최혜은.7z”) 내부에는 한글문서파일(.hwp)로 보이지만 실제로는 한글문서 아이콘을 갖는 실행파일(*.EXE)이 존재한다. 유포자는 .hwp 확장자와 .exe 확장자 사이에…

.bigbosshorse 랜섬웨어 국내발견 (2019.11.10)

안랩 ASEC 분석팀은 랜섬웨어 행위에 대한 모니터링 중 확장자를 .bigbosshorse로 변경하는 랜섬웨어의 국내 감염을 확인하였다. 이 악성코드는 10월 29일에 제작되었으며, 국내에는 11월 10일 첫 피해가 확인되었다. 현재까지 확인된 형태는 두 가지이며, 파일의 등록정보를 보면 아래와 같이 정상 파일로 위장하였다. avgdiagex.exe (특정 백신 파일로 위장, Language: 1029 (체코어), 해외수집 (좌) dllhost.exe (윈도우 시스템 파일로 위장, Language: 1033 (영어), 국내 발견 (우) .bigbosshorse 랜섬웨어 등록정보 두 파일의 제작 시간은 국내 발견 파일이 10월 29일이며, 해외 수집 파일의 경우 11월 2일로 모두 최근에…

빠르게 변화하는 BlueCrab 랜섬웨어 감염방식 (notepad.exe)

안랩 ASEC 분석팀은 피싱 다운로드 페이지로 유포되는 자바스크립트 형태의 BlueCrab(=Sodinokibi) 랜섬웨어를 지속해서 관찰하고 있다. 해당 피싱 다운로드 페이지는 유틸리티 다운로드 페이지로 위장하고 있으며, [그림 1]과 같이 구글 검색 상단에 노출되는 경우도 발견된다. 이러한 감염방식은 과거 갠드크랩(GandCrab) 랜섬웨어부터 사용되는 방식으로 이미 많이 알려진 내용이다. 하지만, 이러한 유포방식(자바스크립트 형태: *.js)에서의 변화는 없지만 자바스크립트 코드 상에서는 새로운 변화가 확인되었으며 변화하는 속도가 빠르게 진행되고 있어 사용자의 주의가 요구된다. *.js 파일 실행 시, 아래와 같은 프로세스 실행흐름을 보여주고 있으며 랜섬웨어 행위는 정상 윈도우 시스템 프로세스를 이용하고 있다. 이러한 변화는 안티바이러스 제품의 탐지를 우회하기 위한 것으로 추정되며, 내부 스크립트 코드에서는 국내 특정 백신 프로그램에 대한 탐지 우회기법도 확인되었다. (과거) wscript.exe -> powershell.exe -> explorer.exe (랜섬웨어 행위)(현재) wscript.exe -> powershell.exe -> notepad.exe (랜섬웨어 행위) – 11월 1일 이후 붉은색 표시 페이지에 접속하면 [그림 2]와 같은 피싱 다운로드 페이지가 보이며, 다운로드 링크를 클릭시 악성 자바스크립트가 담긴 압축 파일(.zip)이 다운로드된다. 해당 압축파일 내부에는 [그림 3] 과…

2019년 상반기 랜섬웨어 동향

2019년 2분기 샘플 건수는 47만4천건으로, 2019년 1분기 33만6천 건 대비 41.2% 증가 하였다. 증가 원인이 된 랜섬웨어는 GandCrab 과 기타로 분류된 감염 리포트가 적은 랜섬웨어 유형이다. 감염 리포트 건수는 2분기 4만1천 건으로 1분기 14만7백 건 보다 무려 70.7% 감소하였다. 지난 2016년부터 랜섬웨어 통계를 산출하기 시작한 이래 가장 낮은 수치를 보였다. [그림1] 2018.01~2019.06 랜섬웨어 통계 (샘플 및 감염 리포트 건수) 감소 원인은 대표적으로 GandCrab 과 Wannacry 감염보고가 현저히 줄었기 때문으로 파악 되었다. GandCrab 은 3월부터 감염보고 건수가 감소하기 시작하여 6월 최대…