STOP 랜섬웨어 국내 유포 중 Posted By ASEC , 2022년 12월 8일 ASEC 분석팀은 STOP 랜섬웨어가 국내에 유포되고 있음을 확인하였다. 해당 랜섬웨어는 ASEC 주간 악성코드 통계 (20221128 ~ 20221204)에서 Top3를 차지하고 있을 정도로 다수 유포되고 있다. 최근 유포되는 파일은 SmokeLoader, Vidar와 같이 MalPe 외형을 지니는 것이 특징이다. 유포 파일명은 다음과 같이 4byte의 랜덤한 문자열을 지닌 것으로 확인된다. %SystemDrive%\users\[user]\appdata\local\temp\4316.exe %SystemDrive%\users\[user]\appdata\local\temp\8c21.exe %SystemDrive%\users\[user]\appdata\local\temp\a579.exe %SystemDrive%\users\[user]\appdata\local\[uuid]\2399.exe %SystemDrive%\users\[user]\appdata\local\[uuid]\1da9.exe 랜섬웨어 실행 시 먼저 hxxps://api.2ip.ua/geo.json에 접속하여 country code를 확인한다. 아래에 해당하는 경우에는 암호화를 수행하지 않는다. country code 국가 RU Russia BY Belarus UA Ukraine AZ Azerbaijan AM Armenia TJ Tajikistan…
