RANSOM

부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중

2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며, 첨부된 파일은 *.alz 형태의 압축파일이며 악성 실행파일을 포함하고 있다. (PDF 문서로 위장된 실행파일) 이러한 Nemty 랜섬웨어는 빠르게 변종이 제작되어 유포되고 있으며, VirusTotal의 시그니처 진단으로 탐지하지 않더라도 V3의 행위탐지, 프로세스 메모리검사 기능에 의해 실행 시점에 탐지 및 차단이 가능하다. 2018년 12월 30일에 유포된 것과 유사한 방식으로 이메일의 첨부파일 형태로 유포된 것으로 추정되며, 2020년 1월 6일에 아래와…

제작자와 채팅기능 유도의 신종 랜섬웨어 국내발견 (.RaaS 확장자)

ASEC 분석팀은 원본 확장자 이름에 _r00t_{6자_랜덤}.RaaS 를 추가하는 신종 랜섬웨어가 국내에 다수 유포 중인 것을 확인하였다. 이 랜섬웨어는 파라다이스(Paradise) 랜섬웨어의 변형으로 추정되며, 제작된 시간은 PE파일 내부의 Time Date Stamp 정보 상 12월 21일로 최근 임을 확인할 수 있다. 국내에는 12월 23일 첫 피해가 확인되었으며 “wscript.exe” 프로세스에 의해 생성된 것을 볼 때 취약점이나 스크립트 파일에 의해 유포 중인것으로 추정된다. [그림  1] 랜섬웨어가 제작날짜 해당 랜섬웨어는 감염하기 전에 언어 확인, 프로세스 및 서비스 종료 등 몇몇의 작업을 거친 후 파일 암호화를 진행한다….

V3 Lite 4.0 새로운 탐지기능 소개: 매그니베르(Magniber) 랜섬웨어 차단

파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 2018년 4월에 ASEC블로그를 통해 복구툴을 배포한 후, 암호화 방식의 변화로 2018년 6월부터 현재까지 등장하는 형태는 모두 복구가 불가능한 형태로 유포 중이다. 여전히 국내 피해사례가 많은 상황이며, IE 취약점(CVE-2018-8174)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. ASEC 분석팀에서는 지속적으로 매그니베르 랜섬웨어 유포지를 모니터링하고 있으며, 1)11월 11일 이후 동작방식의 변화를 확인하였다. 어떠한 동작방식의 변화가 있었는지를 설명하고, V3 Lite 4.0 제품에 새롭게 적용된 ‘프로세스 메모리 진단‘ 탐지기능을 통한 2)암호화 차단과정을 소개하고자 한다. 매그니베르 랜섬웨어는 IE 브라우저…

2019년 상반기 랜섬웨어 동향

2019년 2분기 샘플 건수는 47만4천건으로, 2019년 1분기 33만6천 건 대비 41.2% 증가 하였다. 증가 원인이 된 랜섬웨어는 GandCrab 과 기타로 분류된 감염 리포트가 적은 랜섬웨어 유형이다. 감염 리포트 건수는 2분기 4만1천 건으로 1분기 14만7백 건 보다 무려 70.7% 감소하였다. 지난 2016년부터 랜섬웨어 통계를 산출하기 시작한 이래 가장 낮은 수치를 보였다. [그림1] 2018.01~2019.06 랜섬웨어 통계 (샘플 및 감염 리포트 건수) 감소 원인은 대표적으로 GandCrab 과 Wannacry 감염보고가 현저히 줄었기 때문으로 파악 되었다. GandCrab 은 3월부터 감염보고 건수가 감소하기 시작하여 6월 최대…

2019년 1분기 랜섬웨어 동향

2019년 1분기 샘플건수는 33만6천건으로, 2018년 4분기 42만8천건 대비 21.3% 감소 하였다. 감염 리포트는 1분기 14만건으로 직전 분기 7만6천건 보다 84.1% 증가 하였다. 샘플건수 감소 원인은 그 동안 감염 리포트 건수가 현저히 적은 Teslacrypt 와 Nabucur 랜섬웨어를 2019년 1분기 통계에서부터 제외 했기 때문이다. Teslacrypt 의 1분기 샘플건수는 28만9천건 이지만 감염 리포트 건수는 26건에 지나지 않았다. Nabucur 는 33만6천건의 샘플건수를 갖고 있으나, 감염 리포트 건수는 불과 23건 이였다.   [ 그림1] 2018.01 ~ 2019.03 랜섬웨어 통계 (샘플 및 감염 리포트 건수) 1분기 감염 리포트 증가 원인은 GandCrab 과 Wannacry 가 2월과 3월에 폭발적으로 증가 했기 때문이다. – 하단의 [그림2], [그림3] GandCrab 과 Wannacry 샘플 및 감염 추세 그래프 참고 – GandCrab 샘플 건수를 먼저 알아보면 직전 분기 2만2천건에서 11만1천건으로 무려 399.4% 증가…