랜섬웨어

2019년 1분기 랜섬웨어 동향

2019년 1분기 샘플건수는 33만6천건으로, 2018년 4분기 42만8천건 대비 21.3% 감소 하였다. 감염 리포트는 1분기 14만건으로 직전 분기 7만6천건 보다 84.1% 증가 하였다. 샘플건수 감소 원인은 그 동안 감염 리포트 건수가 현저히 적은 Teslacrypt 와 Nabucur 랜섬웨어를 2019년 1분기 통계에서부터 제외 했기 때문이다. Teslacrypt 의 1분기 샘플건수는 28만9천건 이지만 감염 리포트 건수는 26건에 지나지 않았다. Nabucur 는 33만6천건의 샘플건수를 갖고 있으나, 감염 리포트 건수는 불과 23건 이였다.   [ 그림1] 2018.01 ~ 2019.03 랜섬웨어 통계 (샘플 및 감염 리포트 건수) 1분기 감염 리포트 증가 원인은 GandCrab 과 Wannacry 가 2월과 3월에 폭발적으로 증가 했기 때문이다. – 하단의 [그림2], [그림3] GandCrab 과 Wannacry 샘플 및 감염 추세 그래프 참고 – GandCrab 샘플 건수를 먼저 알아보면 직전 분기 2만2천건에서 11만1천건으로 무려 399.4% 증가…

2018년 랜섬웨어 동향

최근 몇 년 동안 기승을 부리던 랜섬웨어의 전체적인 세력은 2018년에는 다소 약화되었다. 2018년 한해 동안 안랩에 접수된 샘플 수는 120만건으로, 이는 지난해 147만건에 비해 18.3% 감소한 수치다. 다만, 감염 리포트 건수는 84만5천건으로 전년의 83만2천건보다 1.5% 정도만 증가했다. 감염 리포트 소폭 증가 원인은 2018년 상반기에 케르베르(Cerber), 매그니베르(Magniber), 갠드크랩(GandCrab) 등의 랜섬웨어로 인한 피해가 많았기 때문이다.   샘플 건수의 감소 원인은 악성코드 제작자들은 랜섬웨어보다는 암호화폐 채굴과 관련이 있는, 일명 마이너(Miner)라고 불리는 악성코드의 제작과 유포에 더 관심을 가지고 있는 것으로 보인다. 실제로 2018년은 랜섬웨어보다는 '마이너 악성코드의 한 해'라고도 할 수 있다. 이 악성코드 유형은 월평균 무려 25만건이 보고 되었으며 랜섬웨어는 월평균 10만건이 보고 되었기 때문이다. (참고로 마이너 악성코드 동향은 추후 ASEC 블로그를 통해 소개할 예정이다.) [그림1] 2017.01 ~ 2018.12 랜섬웨어 통계 (샘플 및 감염 리포트…

Petya와 유사한 Diskcoder(혹은 Bad Rabbit) 랜섬웨어

Petya와 유사한 Diskcoder (혹은 Bad Rabbit) 랜섬웨어가 10월25일 최초 동유럽에서 보고 되었다. 유포 방식은 DBD (Drive By Download) 로 추정 되며 가장 상위의 드롭퍼는 Adobe Flash Player 설치파일로 위장 되었다. [그림 1] – 구조 흐름도 드로퍼는 주요 악성기능을 수행하는 DLL 파일을 드롭 한 후 Rundll32.exe 이용하여 실행한다. 아래 표와 같이 인자 값이 주어지는데 해당 인자 ‘15’는 추후 악성코드가 재부팅 명령을 수행할 때 시간 조건으로 사용한다. 자세한 내용은 아래에 언급된다.  생성 경로 및 파일명 C:windowsinfpub.dat 실행 명령 C:windowssystem32rundll32.exe C:windowsinfpub.dat”,#1 15 위와 같이 실행 된 DLL은 아래와 같은 기능을 한다. – MBR 변조 및 부트 파티션 암호화 관련 파일 드롭 – 파일 암호화 – 네트워크 전파 MBR 변조 및 부트 파티션 암호화을 수행하는 파일은 위 infpub.dat에서 드롭되며 그 내용은 아래와 같다. [MBR 변조] 생성…

2017년 3분기 랜섬웨어 동향

3분기 랜섬웨어 위협에는 큰 변화가 있었다. 그 변화는 8월초쯤 시작 되어 9월말에 이르러서 확연히 우리 눈 앞에 보여지게 되었다. 그 변화는 가장 많이 보고 되는 Cerber 랜섬웨어의 위협이 약화를 거듭하여 오랜 기간 동안 발견 되고 있지 않다는 것이다. Cerber 는 9월 4주차가 끝나갈 무렵부터 이 글을 작성하는 3주 후까지도 보고 되지 않았다. Cerber 위협이 완전이 끝났다고는 생각 되지 않으며 활동을 중단 한 것일 수도 있다. 다른 악성코드도 그랬듯이 랜섬웨어 역시 홀연히 자취를 감추었다가 다시 활발히 활동 하는 경우가 자주 목격 되는데 대표적으로 Locky 랜섬웨어가 그 중 하나이다.                              [그림1] 2017년 3분기 랜섬웨어 통계 (샘플 및 감염보고 건수) 위 그래프에서 3분기 랜섬웨어 중 9월 샘플과 리포트 수량 모두 크게 감소 한 것으로 나타났다. 샘플은 전월 대비 68% 감소, 리포트 수는 36%…

랜섬웨어와 함께 설치되는 DDoS 악성코드 Nitol

4월 21일 이슈된 CryptoLocker 의 변종파일이 4월 28일 발견되었다. 특이한 점은 기존에 확인된 랜섬웨어 기능외에 DDoS 공격목적의 실행파일이 추가로 확인되어 주의가 필요하다.  1. 랜섬웨어 기능 엑셀 아이콘 모양으로 제작된 악성코드를 실행 시, 아래의 [그림-1]의 (2)번째 단계에서 처럼 “explorer.exe” 프로세스가 실행되며, 해당 프로세스 메모리에 랜섬웨어 기능의 실행파일이 Injection 되어 동작하는 것을 알 수 있다. 해당 랜섬웨어는 국내 커뮤니티 사이트인 C업체 광고배너를 통해 유포된 것과 동일한 형태이며, 접속시도하는 사이트는 다음과 같다.   – tidisow.ru [그림-1] 악성 기능별 인젝션 대상 프로세스 해당 랜섬웨어의 상세 기능은 하기의 글을 참고 – http://asec.ahnlab.com/1030  2. DDoS 기능 기존 알려진 랜섬웨어 기능외에 해당 샘플은 DDoS 공격기능의 실행파일을 구동하는 특징을 갖는다. 구체적 DDoS 공격방식은 Nitol 이라는 이름으로 알려진 악성코드와 동일하며, 아래의 C&C 주소와의 통신을 통해 공격자의 명령에 따라 파일 다운로드 및…