본문 바로가기

Ransomware11

Antefrigus 랜섬웨어 변종 국내 발견 (CLICK_HERE-[랜덤].txt) ASEC 분석팀은 Antefrigus 랜섬웨어의 변형으로 추정되는 랜섬웨어가 국내 유포 중임을 확인하였다. 해당 랜섬웨어는 지난 12월 30일부터 유포되었으며 최근 다량으로 퍼지고 있다. 지난달 24일 게시한 랜섬웨어와 마찬가지로 제작자와 채팅할 수 있는 주소가 존재하며 다른 랜섬웨어와는 다르게 볼륨 섀도우 카피 삭제를 수행하지않아 랜섬웨어 감염 이전에 볼륨 새도 복사본을 생성해두었다면 복구가 가능하다. 해당 랜섬웨어는 SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce에 DefenIfWIn 명으로 랜섬웨어를 레지스트리에 등록하며, 특정 프로세스 종료 후 암호화를 진행한다. 각 폴더에 CLICK_HERE-[랜덤].txt 명의 랜섬노트를 생성하며, 종료 대상 프.. 2020. 1. 17.
이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab) 갠드크랩(GandCrab)은 지난 2018년 초부터 2019년 2분기까지 1년이 넘는 긴 시간 동안 활발하게 유포된 랜섬웨어로 다양한 변종을 통해 전 세계적으로 막대한 피해를 끼쳤다. 국내 사용자를 노린 이력서나 한글 파일 형식 등으로 위장하기도 하였으나 2019년을 지나 2020년 현재는 사실상 자취를 감춘 상태이고, 블루크랩(BlueCrab) 이라는 새로운 랜섬웨어가 기존 갠드크랩과 유사한 방식으로 활발히 유포되고 있는 상황이다. 대다수의 일반적인 악성코드는 감염 시스템에 백신 제품이 설치되었거나 동작 중인 것이 확인되면 악성코드의 기능을 중단하거나 동작 프로세스를 변경한다. 이에 반해 갠드크랩 랜섬웨어는 랜섬웨어의 본래의 목적인 파일 암호화 외에도 코드 상에 ‘안랩’과 ‘V3 Lite’ 제품을 직접.. 2020. 1. 2.
제작자와 채팅기능 유도의 신종 랜섬웨어 국내발견 (.RaaS 확장자) ASEC 분석팀은 원본 확장자 이름에 _r00t_{6자_랜덤}.RaaS 를 추가하는 신종 랜섬웨어가 국내에 다수 유포 중인 것을 확인하였다. 이 랜섬웨어는 파라다이스(Paradise) 랜섬웨어의 변형으로 추정되며, 제작된 시간은 PE파일 내부의 Time Date Stamp 정보 상 12월 21일로 최근 임을 확인할 수 있다. 국내에는 12월 23일 첫 피해가 확인되었으며 "wscript.exe" 프로세스에 의해 생성된 것을 볼 때 취약점이나 스크립트 파일에 의해 유포 중인것으로 추정된다. 해당 랜섬웨어는 감염하기 전에 언어 확인, 프로세스 및 서비스 종료 등 몇몇의 작업을 거친 후 파일 암호화를 진행한다. 우선 사용자 윈도우 설치 언어를 확인하는 코드가 존재한다. 해당 언어 사용자는 감염을 수행하지 않고.. 2019. 12. 24.
[주의] 국내 은행 사칭 피싱메일에 의한 랜섬웨어 공격 12월 20일 국내를 대상으로 다운로더 악성코드를 유포하는 스팸메일이 유포되고 있어 사용자의 주의가 필요하다. 해당 HTML 파일 실행 시 다음과 같이 국내 은행을 사칭한 화면을 볼 수 있다. 패스워드로 생년월일 6자리를 입력하게 되어있지만, 공백을 제외한 아무 문자나 입력 가능하다. 패스워드 입력 후 Confirm 버튼을 클릭하면 악성 매크로가 포함된 엑셀 파일이 다운로드된다. 보안암호첨부.html (최초 피싱메일에 첨부) 1219190024759XLS.xls (피싱메일로 부터 다운로드 받은 엑셀파일) outgoing.dll (엑셀파일에서 다운로드되는 다운로더 DLL) temp01.exe (DLL 파일에 의해 다운로드되는 랜섬웨어) 아래 그림은 수신되는 메일의 내용과 HTML 실행시의 화면들이다. 메일.. 2019. 12. 20.
.bigbosshorse 랜섬웨어 국내발견 (2019.11.10) 안랩 ASEC 분석팀은 랜섬웨어 행위에 대한 모니터링 중 확장자를 .bigbosshorse로 변경하는 랜섬웨어의 국내 감염을 확인하였다. 이 악성코드는 10월 29일에 제작되었으며, 국내에는 11월 10일 첫 피해가 확인되었다. 현재까지 확인된 형태는 두 가지이며, 파일의 등록정보를 보면 아래와 같이 정상 파일로 위장하였다. avgdiagex.exe (특정 백신 파일로 위장, Language: 1029 (체코어), 해외수집 (좌) dllhost.exe (윈도우 시스템 파일로 위장, Language: 1033 (영어), 국내 발견 (우) 두 파일의 제작 시간은 국내 발견 파일이 10월 29일이며, 해외 수집 파일의 경우 11월 2일로 모두 최근에 제작/유포되는 것으로 추정된다. 해당 랜섬웨어는 감염 전에 .. 2019. 11. 12.
빠르게 변화하는 BlueCrab 랜섬웨어 감염방식 (notepad.exe) 안랩 ASEC 분석팀은 피싱 다운로드 페이지로 유포되는 자바스크립트 형태의 BlueCrab(=Sodinokibi) 랜섬웨어를 지속해서 관찰하고 있다. 해당 피싱 다운로드 페이지는 유틸리티 다운로드 페이지로 위장하고 있으며, [그림 1]과 같이 구글 검색 상단에 노출되는 경우도 발견된다. 이러한 감염방식은 과거 갠드크랩(GandCrab) 랜섬웨어부터 사용되는 방식으로 이미 많이 알려진 내용이다. 하지만, 이러한 유포방식(자바스크립트 형태: *.js)에서의 변화는 없지만 자바스크립트 코드 상에서는 새로운 변화가 확인되었으며 변화하는 속도가 빠르게 진행되고 있어 사용자의 주의가 요구된다. *.js 파일 실행 시, 아래와 같은 프로세스 실행흐름을 보여주고 있으며 랜섬웨어 행위는 정상 윈도우 시스템 프로세스를 이.. 2019. 11. 5.
2019년 상반기 랜섬웨어 동향 2019년 2분기 샘플 건수는 47만4천건으로, 2019년 1분기 33만6천 건 대비 41.2% 증가 하였다. 증가 원인이 된 랜섬웨어는 GandCrab 과 기타로 분류된 감염 리포트가 적은 랜섬웨어 유형이다. 감염 리포트 건수는 2분기 4만1천 건으로 1분기 14만7백 건 보다 무려 70.7% 감소하였다. 지난 2016년부터 랜섬웨어 통계를 산출하기 시작한 이래 가장 낮은 수치를 보였다. 감소 원인은 대표적으로 GandCrab 과 Wannacry 감염보고가 현저히 줄었기 때문으로 파악 되었다. GandCrab 은 3월부터 감염보고 건수가 감소하기 시작하여 6월 최대 폭으로 감소 하였다. 이러한 가장 큰 원인 중 하나로 지난 6월 초 Ransomware-as-a-Service (RaaS) 제공하는 제작자.. 2019. 7. 16.
2019년 1분기 랜섬웨어 동향 2019년 1분기 샘플건수는 33만6천건으로, 2018년 4분기 42만8천건 대비 21.3% 감소 하였다. 감염 리포트는 1분기 14만건으로 직전 분기 7만6천건 보다 84.1% 증가 하였다. 샘플건수 감소 원인은 그 동안 감염 리포트 건수가 현저히 적은 Teslacrypt 와 Nabucur 랜섬웨어를 2019년 1분기 통계에서부터 제외 했기 때문이다. Teslacrypt 의 1분기 샘플건수는 28만9천건 이지만 감염 리포트 건수는 26건에 지나지 않았다. Nabucur 는 33만6천건의 샘플건수를 갖고 있으나, 감염 리포트 건수는 불과 23건 이였다. 1분기 감염 리포트 증가 원인은 GandCrab 과 Wannacry 가 2월과 3월에 폭발적으로 증가 했기 때문이다. - 하단의 [그림2], [그림3] .. 2019. 4. 10.