Ransomware

랜섬웨어와 함께 설치되는 DDoS 악성코드 Nitol

4월 21일 이슈된 CryptoLocker 의 변종파일이 4월 28일 발견되었다. 특이한 점은 기존에 확인된 랜섬웨어 기능외에 DDoS 공격목적의 실행파일이 추가로 확인되어 주의가 필요하다.  1. 랜섬웨어 기능 엑셀 아이콘 모양으로 제작된 악성코드를 실행 시, 아래의 [그림-1]의 (2)번째 단계에서 처럼 “explorer.exe” 프로세스가 실행되며, 해당 프로세스 메모리에 랜섬웨어 기능의 실행파일이 Injection 되어 동작하는 것을 알 수 있다. 해당 랜섬웨어는 국내 커뮤니티 사이트인 C업체 광고배너를 통해 유포된 것과 동일한 형태이며, 접속시도하는 사이트는 다음과 같다.   – tidisow.ru [그림-1] 악성 기능별 인젝션 대상 프로세스 해당 랜섬웨어의 상세 기능은 하기의 글을 참고 – http://asec.ahnlab.com/1030  2. DDoS 기능 기존 알려진 랜섬웨어 기능외에 해당 샘플은 DDoS 공격기능의 실행파일을 구동하는 특징을 갖는다. 구체적 DDoS 공격방식은 Nitol 이라는 이름으로 알려진 악성코드와 동일하며, 아래의 C&C 주소와의 통신을 통해 공격자의 명령에 따라 파일 다운로드 및…

한국을 목표로 한 랜섬웨어, CryptoLocker 상세정보

1. 개요 랜섬웨어는 사용자 시스템에 설치된 후 파일들을 암호화해서 정상적으로 사용하지 못하도록 하고 이를 정상적으로 돌려준다는 조건으로 비트코인 또는 추적이 어려운 전자 화폐를 통한 금액 지불을 요구하는 악성코드이다. 주로 국외에서 확산되면서 많은 피해자를 양산했는데 최근 몇 년 사이에 국내에서도 랜섬웨어에 감염된 사용자가 증가하였으며 그 중 국내 유명 인터넷 커뮤니티 사이트를 통해 유포된 CryptoLocker 에 대한 분석 정보를 공유하고자 한다. 최근에 발견된 ‘CryptoLocker’는 [그림-1]에서 볼 수 있듯이 과거 2013년 9월에 처음 발견이 되었으며 ‘CryptoWall’, ‘TorrentLocker’, ‘CryptographicLocker’, ‘TeslaCrypt’ 등의 이름으로 변형들이 계속해서 나타났다. 주로 이메일을 통해 유포되던 랜섬웨어 악성코드가 최근 국내 인터넷 커뮤니티 사이트를 이용해 유포되었고 해당 랜섬웨어인 ‘CryptoLocker’ 도 과거의 그것들과 같은 류이다.   [그림-1] 주요 랜섬웨어 타임라인   이번 랜섬웨어에 감염되면 나타나는 페이지는 [그림-2]와 같은데 암호화된 파일들을 복원하기 위해 한화…

NATIONAL SECURITY BUREAU

Your computer was automatically blocked   작년부터 악명을 떨친 랜섬웨어는 크립토락커(CryptoLocker)와 크립토월(CryptoWall)이 있다. 이러한 랜섬웨어는 시스템 내부의 특정 파일을 암호화한 후 암호화 해제를 빌미로 돈을 요구한다. 하지만 최근 사용자에게 몸값을 요구하는 새로운 악성코드가 발견되었다.   이 악성코드는 국가안보국(National security bureau, NSB)으로 가장하여 사용자에게 경고 메시지 표기 및 시스템 사용을 방해한다. 이를 해결하기 위해서 미화 250달러를 입금하도록 유도하고 있다.   해당 악성코드에 감염되면, 아래 [그림 1]와 같은 화면이 나타나면서 “불법 소프트웨어가 탐지되어, 시스템을 사용을 차단하였습니다.”는 메시지를 화면에 보여준다. 또한, 다른 프로그램의 실행을 방해하고, 메시지를 강제로 종료하여도 자동으로 다시 실행되므로 사용자는 시스템을 정상적으로 사용할 수 없다.   [그림 1] 감염 시 시스템에 표기되는 메시지     악성코드에 감염되면 아래 경로에 악성파일을 숨김속성으로 생성한다. 생성된 악성파일은 시작프로그램에 등록되어 시스템이 시작할 때 자동실행된다.  …