본문 바로가기

랜섬웨어43

[주의] 이력서로 위장한 makop 랜섬웨어 (04.13) ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일명은 아래와 같이 어눌한 한글과 띄어쓰기를 사용한 것을 알 수 있다. 이를 통해 악성코드 유포자는 한글말 사용이 서툰 것으로 추정된다. 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe 이력서(200413)_항상 무었을하던지 열심히 최선을 다하겠습니다.exe 감염 시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다. MalPe 패커를 사용한 이력서 위장 랜섬웨어는 한달에 2~3번씩은 각각 다른 랜섬웨어를 사용해.. 2020. 4. 13.
새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01) 안랩 ASEC은 4월 1일 Nemty 랜섬웨어가 NEMTY REVENUE 3.1로 업데이트 되어 국내에 유포됨을 확인하였다. 유포 방식은 기존과 동일하게 이메일의 첨부파일 형태를 이용하였다. 현재까지 확인된 첨부파일 이름은 아래와 같이 '이력서', '포트폴리오', '부당 전자상거래 위반행위' 등의 문구를 사용하고 있어 기존과 크게 달라지지 않았다. 전산 및 비전사자료 보존 요청서(20200401)_자료보존하셔서 차후 부당 이익을 피하세요.exe 부당 전자상거래 위반행위 안내(20200401)_자료보존하셔서 차후 부당이익을 피하세요.exe 이력서_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁 드릴께요.exe 포트폴리오_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁드릴께요.exe 랜섬웨어 주요.. 2020. 4. 2.
CoronaVirus 랜섬웨어에 의한 윈도우 복구 무력화 ASEC 분석팀은 감염 시, CoronaVirus.txt 이름의 랜섬노트를 생성하는 랜섬웨어가 국내에 유포 중인 것을 확인하였다. 아래의 그림에서 알 수 있듯이 암호화된 사용자의 파일의 복구를 댓가로 비트코인 지불(0.008 btc: 50$)을 요구한다. 지불을 위한 제작자와의 통신은 이메일을 통해 이루어지며, coronaVi2022@protonmail.ch 로 확인되었다. 랜섬노트 마지막의 "desine sperare qui hic intras"는 라틴어로 "여기에서 우리는 희망을 포기"라는 의미이다. 해당 랜섬웨어 실행 시, 분석팀 자동분석 시스템 RAPIT에서는 아래와 같이 프로세스 실행 흐름을 보여준다. 암호화 시 아래와 같이 원본 파일이름이 변경됨을 알 수 있다. (파란색이 원본 파일이름) C:.. 2020. 3. 25.
랜섬노트가 변경 된 BlueCrab 랜섬웨어 EXE (2020.03.11) ASEC분석팀은 작년부터 활발히 유포 중인 Bluecrab(=Sodinokibi) 랜섬웨어 실행파일(EXE)이 3월 11일 부터 랜섬노트가 변경되어 유포되고 있음을 확인하였다. 확인 된 유포방식은 Drive-By-Download 기법으로 다운로드되어 실행된 것으로 확인되었다. 그러나 이력서와 같은 방식으로 유포 될 가능성도 있으므로 사용자의 주의가 요구된다. 특정 파일, 폴더를 제외 하고 감염하는 것과 특정 프로세스가 존재하면 종료하는 행위, 특정 서비스 비활성화, 파워쉘을 이용해 볼륨섀도우카피를 삭제하는 방법까지 모두 과거 BlueCrab 과 동일하다. [감염 제외 폴더] "program files" "boot" "msocache" "appdata" "program files (x86)" "perflo.. 2020. 3. 19.
이력서로 위장해 유포중인 NEMTY v2.6 발견(2020.03.17) ASEC 분석팀은 3월 17일 이력서로 위장한 NEMTY 랜섬웨어가 버전 2.6으로 업데이트 되어 유포 됨을 확인하였다. 2020년 1월 부터 3월까지 확인된 NEMTY 랜섬웨어의 버전은 2.5였다. 과거와 현재 모두 실제 이력서를 지원하는것 처럼 위장해 메일을 보내기 때문에 기업의 인사 담당자들이 특히 감염되기 쉬워 각별한 주의가 필요하다. 현재까지 확인된 유포에 사용된 파일명들은 다음과 같다. 포트폴리오(200317)_뽑아주시면 열심히하겠습니다.exe 입사지원서(200317)_뽑아주시면 열심히하겠습니다.exe 실제 유포에 사용된 이메일의 내용은 다음과 같다. 뮤텍스(Mutex) 이름을 제외하고는 기존에 유포되었던 NEMTY 2.5와 동일한 기능을 가진다. 해당 랜섬웨어 행위관련 상세한 내용은 아래 블.. 2020. 3. 18.
3월 3일!! 또 다시 '전자상거래 위반행위 사칭' 신종 랜섬웨어 유포 중 ASEC 분석팀은 3월 3일 금융기관 및 인사담당자를 대상으로 '부당 전자상거래 위반행위' 및 '이력서' 사칭 랜섬웨어 유포를 확인하였다. 이메일의 압축 첨부파일(7z, zip) 형태로 유포되며, 내부에는 PDF 문서 아이콘의 실행파일(exe)이 존재한다. 일반 사용자의 경우, 문서 아이콘 형태이면서 실행파일 확장자(exe)가 노출되지 않아 문서파일로 착각하고 실행하게되며, 실제로는 랜섬웨어가 동작하게된다. 이러한 공격방식은 1월 6일자에 아래의 ASEC블로그를 통해서 소개한바 있다. 1월에는 Nemty 라는 이름의 랜섬웨어가 사용되었다면, 오늘은 아래의 확장자로 암호화되는 새로운 랜섬웨어가 확인되었다. 원본파일명.[랜덤8자].[helpdesk_makp@protonmail.ch].makop 2020.01.. 2020. 3. 3.
가짜 윈도우 화면과 함께 설치되는 신종 랜섬웨어 국내 발견(*.rezm 확장자) ASEC분석팀은 2020년 3월 2일 가짜 윈도우 업데이트 화면과 함께 설치되는 신종 랜섬웨어를 발견하였다. 해당 랜섬웨어는 기존 국내에 널리 유포되고 있는 Bluecrab, Nemty, Paradise 이름의 랜섬웨어와 동일한 패커(Packer)를 사용하여 유포 중이며 암호화된 파일은 확장자가 .rezm 이 추가되는 특징을 갖는다. 파일 실행 시 아래 주소에서 Fake 윈도우즈 업데이트 파일을 다운로드 받아 실행 되어, 사용자에게는 마치 윈도우즈 업데이트가 되는 듯한 화면을 보여준다. 그러나, 실제로는 랜섬웨어가 동작하여 사용자 컴퓨터 파일들을 감염 시킨다. http[:]//mopg.top/files/penelop/updatewin1.exe http[:]//mopg.top/Asjdi435784ihjk6.. 2020. 3. 2.
Magniber 랜섬웨어 유포 취약점 변경(CVE-2018-8174 -> CVE-2019-1367) 매그니베르(Magniber) 랜섬웨어는 취약한 인터넷 익스플로러를 통한 웹페이지 접속만으로 랜섬웨어를 감염시키는 파일리스(Fileless) 형태의 악성코드이다. 국내에 많은 피해를 입히고 있는 대표적인 랜섬웨어로 ASEC 분석팀은 이러한 IE(Internet Explore) 취약점을 통해 유포되는 Magniber 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 2020년 2월 11일부터 유포에 사용하던 취약점이 CVE-2018-8174에서 CVE-2019-1367으로 새롭게 변경하여 국내에 유포 중임을 확인하였다. 아래 [그림 1]은 현재 매그니베르 유포 사이트 접속 시 전달받는 HTML 스크립트로 인코딩된 형태이다. [그림 2]는 [그림 1]의 스크립트의 디코딩된 형태로 취약점 스크립트 부분이다. 이전.. 2020. 2. 18.