FilesLocker病毒招募代理化身“蛇发女妖” 感染数家政企单位
중국의 보안 기업인 Tencent는 최근 중국에서 유포되고 있는 Gorgon 랜섬웨어에 대해 주의를 당부하였습니다.
고르곤(Gorgon)은 그리스신화에 등장하는 세 명의 자매 괴물로, 머리카락이 수많은 뱀으로 이루어진 괴물을 지칭합니다.
Tencent 분석 결과, Gorgon 랜섬웨어는 최근 중국에서 유포 중이며, 이미 많은 정부 및 기업들이 감염되었다고 밝혔습니다. 또한 Gorgon 악성코드는 FilesLocker 랜섬웨어에서 UI만 바뀐 것 같다고 말했습니다.
FilesLocker 랜섬웨어는 2018년 10월 처음 발견되었으며, 주로 정부부처 및 기관들을 타겟으로 공격을 진행하였습니다.
이 랜섬웨어 등장 후 "대리"를 모집하여 조직화, 산업화를 꾀하였으며, 이번에 발견된 Gorgon 랜섬웨어는 그중 하나일 것으로 추정됩니다.
[그림1] Gorgon 랜섬웨어 이미지
이 악성코드를 분석한 결과, FilesLocker와 동일하게 office, 음악파일, 압축파일 등 자주 사용하는 확장자들을 암호화 시킵니다.
또한 FilesLocker와 비교하였을 때, Gorgon 랜섬웨어는 UI 및 보안성이 많이 개선되었으며, 랜섬노트의 경우 기존의 .txt 확장자에서 .html 확장자로 변환되었고, 지원하는 언어 또한 기존의 중국어, 영어에서 중국어, 영어, 한국어 3가지 종류로 업데이트하였습니다.
[그림2] Gorgon 랜섬웨어 랜섬노트 이미지
그리고 Winlogon 시스템 로그인 항목을 추가하여 로그인 인터페이스에 랜섬웨어 정보를 노출시키는 기능도 추가하였습니다. 보안성 측면에서는 난독화 기능을 추가하여 분석 난이도를 높였습니다.
[그림3] Gorgon 랜섬웨어 정보 노출 이미지
한 보안 전문가는 이 랜섬웨어는 “Gorgon”이라는 이름에 주목하였는데, 그 이유는 파키스탄의 전문 해커조직 중 Gorgon Group의 이름과 동일한 그룹이 있기 때문입니다.
이 조직은 주로 영국, 포루투갈, 러시아 등 해외 무역인사들을 대상으로 공격을 진행합니다. 그래서 보안 전문가들은 Gorgon 랜섬웨어와 Gorgon Group과 연관성이 있는지 확인하고 있습니다.
알약에서는 해당 랜섬웨어에 대해, Trojan.Ransom.Filecoder으로 탐지 중에 있습니다.
출처:
최신 컴퓨터 대부분을 해킹 가능한 Thunderclap 취약점 발견 (0) | 2019.02.28 |
---|---|
해커들, 지난주 공개된 최신 Drupal RCE 취약점 활발히 악용해 (0) | 2019.02.27 |
악성 스팸, 백도어 설치를 위해 WinRAR ACE 취약점 악용 (0) | 2019.02.26 |
리눅스 서버를 감염시키는 B0r0nt0K 랜섬웨어, $75,000 요구해 (0) | 2019.02.26 |
NAS 장비를 노리는 신종 Cr1ptT0r 랜섬웨어 주의 (0) | 2019.02.25 |
댓글 영역