STOP 랜섬웨어 국내 유포 중 Posted By ASEC , 2022년 12월 8일 ASEC 분석팀은 STOP 랜섬웨어가 국내에 유포되고 있음을 확인하였다. 해당 랜섬웨어는 ASEC 주간 악성코드 통계 (20221128 ~ 20221204)에서 Top3를 차지하고 있을 정도로 다수 유포되고 있다. 최근 유포되는 파일은 SmokeLoader, Vidar와 같이 MalPe 외형을 지니는 것이 특징이다. 유포 파일명은 다음과 같이 4byte의 랜덤한 문자열을 지닌 것으로 확인된다. %SystemDrive%\users\[user]\appdata\local\temp\4316.exe %SystemDrive%\users\[user]\appdata\local\temp\8c21.exe %SystemDrive%\users\[user]\appdata\local\temp\a579.exe %SystemDrive%\users\[user]\appdata\local\[uuid]\2399.exe %SystemDrive%\users\[user]\appdata\local\[uuid]\1da9.exe 랜섬웨어 실행 시 먼저 hxxps://api.2ip.ua/geo.json에 접속하여 country code를 확인한다. 아래에 해당하는 경우에는 암호화를 수행하지 않는다. country code 국가 RU Russia BY Belarus UA Ukraine AZ Azerbaijan AM Armenia TJ Tajikistan…
가짜 윈도우 화면과 함께 설치되는 신종 랜섬웨어 국내 발견(*.rezm 확장자) Posted By ASEC , 2020년 3월 2일 ASEC분석팀은 2020년 3월 2일 가짜 윈도우 업데이트 화면과 함께 설치되는 신종 랜섬웨어를 발견하였다. 해당 랜섬웨어는 기존 국내에 널리 유포되고 있는 Bluecrab, Nemty, Paradise 이름의 랜섬웨어와 동일한 패커(Packer)를 사용하여 유포 중이며 암호화된 파일은 확장자가 .rezm 이 추가되는 특징을 갖는다. 파일 실행 시 아래 주소에서 Fake 윈도우즈 업데이트 파일을 다운로드 받아 실행 되어, 사용자에게는 마치 윈도우즈 업데이트가 되는 듯한 화면을 보여준다. 그러나, 실제로는 랜섬웨어가 동작하여 사용자 컴퓨터 파일들을 감염 시킨다. http[:]//mopg.top/files/penelop/updatewin1.exe http[:]//mopg.top/Asjdi435784ihjk65pen2/get.php?pid=????생략????&first=true http[:]//mopg.top/files/penelop/updatewin2.exe http[:]//mopg.top/files/penelop/updatewin.exe http[:]//mopg.top/files/penelop/3.exe http[:]//mopg.top/files/penelop/4.exe http[:]//mopg.top/files/penelop/5.exe http[:]//paunsaugunt.com/517 http[:]//paunsaugunt.com/freebl3.dll http[:]//paunsaugunt.com/mozglue.dll http[:]//paunsaugunt.com/msvcp140.dll http[:]//paunsaugunt.com/nss3.dll…
