안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 15일) 오전 '입사지원 합니다'라는 입사 지원서를 사칭한 피싱 메일이 유포되고 있어 채용 담당자분들의 주의가 필요합니다. 이번에 포착된 피싱 메일은 어제 발견된 견적 요청 메일에서 제목과 내용만 약간 수정되었을 뿐, 전반적으로 비슷한 형태를 띠고 있습니다. [그림 1] 입사지원서를 사칭한 피싱 메일 화면 해당 메일에는 '(OOO)이력서.alz'라는 '(지원자명)이력서' 형태의 제목을 가진 압축 파일(alz)이 첨부되어 있습니다.(지원자명의 경우 피싱메일에 따라 상이할 수 있습니다.) 채용 담당자가 해당 메일을 입사 지원서 관련 파일로 착각하여 압축 해제하면, 다음과 같이 PDF 문서(.pdf)를 위장한 악성 실행 파일이..

악성코드 분석 리포트 2019. 5. 15. 14:36

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 14일) 오전 '견적 요청 드려요'라는 피싱 메일이 급격하게 다량으로 유포되고 있어 사용자들의 주의가 필요합니다. [그림 1] 견적 요청을 위장한 피싱 메일 화면 해당 메일에는 '견적요청.alz'라는 알집 파일(alz)이 첨부되어 있습니다. 해당 악성 파일을 견적요청 파일로 착각하여 압축 해제하면, 다음과 같이 MS Word 문서(.doc)를 위장한 악성 실행 파일이 들어 있습니다. [그림 2] MS Word 문서 파일을 위장한 악성 파일1 악성 실행 파일은 '견적요청.doc(빈공백).exe'이라는 이중 확장자 형태이며, 자세히 확인하지 않으면 해당 파일을 Word 문서 파일로 착각할 가능성이 높습니다. 또한, 큰 아이콘..

악성코드 분석 리포트 2019. 5. 14. 10:32

Decryptor for MegaLocker and NamPoHyu Virus Ransomware Released Emsisoft가 노출된 Samba 서버들을 노리는 MegaLocker와 NamPoHyu 바이러스 랜섬웨어용 복호화 툴을 공개했습니다. 이제 사용자들은 이 무료 복호화 툴을 사용하여 파일을 무료로 해독할 수 있게 되었습니다. MegaLocker 및 NamPoHyu 바이러스 랜섬웨어는 노출된 Samba 서버를 노리며, 피해자 PC의 데이터를 원격으로 암호화합니다. 복호화 방법 1. 복호화 툴을 다운로드합니다.MegaLocker & NamPoHyu 복호화 툴 다운로드: https://www.emsisoft.com/decrypter/megalocker 2. 라이선스 문구가 팝업되면 동의를 클릭하고..

국내외 보안동향 2019. 5. 3. 10:58

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 어제(4/29) 알약 행위기반 차단기능으로 수집된 신종 랜섬웨어 'Sodinokibi'가 발견되었습니다. Sodinokibi 랜섬웨어는 국내 URL을 통해 랜섬웨어를 감염시키며, 불특정 다수에게 대량으로 유포 중인 상태로 사용자들의 각별한 주의가 필요합니다. 이번에 발견된 신규 랜섬웨어는 Powershell 이용한 샘플도 발견되었습니다. 해당 악성코드는 사용자 PC의 파일을 .(영문숫자랜덤) 확장자로 파일을 암호화합니다. [그림 1] .(영문숫자랜덤) 확장자로 암호화된 파일 해당 랜섬웨어에 감염되면 아래와 같은 랜섬 노트를 사용자 PC에 생성하며 “Hello, dear friend” 또는 “Welcome. Again”으로 시작하는 문구와 함께 ..

악성코드 분석 리포트 2019. 4. 30. 14:53

안녕하세요? 이스트시큐리티입니다. 2019년 1분기 알약을 통해, 총 32만 506건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격수를 기준으로 집계되었습니다. 통계에 따르면 2019년 1분기에는 알약을 통해 랜섬웨어 공격이 총 32만 506건 차단되었으며, 이를 일간 기준으로 환산하면 일평균 약 3,561건의 랜섬웨어 공격이 차단된 것입니다. 이는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많다고 볼 수 있겠습니다. 이번 1분기 역시 갠드크랩(GandCrab) 랜섬웨어가 업데이트를 거듭하며 지속적으로..

전문가 기고 2019. 4. 10. 10:00

Researchers: LockerGoga coding error can be exploited to prevent malicious encryption 2019년 초 제조업계를 노린 LockerGoga 랜섬웨어에서 코딩 에러가 발견되었습니다. 연구원들은 이를 이용하면 파일 암호화를 멈출 수 있을 것이라 밝혔습니다. ※ 관련글 보러가기 ▶ Altran 공격에 사용된 것으로 추정되는 LockerGoga 랜섬웨어 발견 위협 관리 회사인 Alert Logic는 블로그 포스팅을 통해 해당 악성코드가 .Ink 파일 확장자를 처리하는 방식에서 문제를 발견했습니다. 연구원들에 따르면, LockerGoga 랜섬웨어는 손상된 기기에 어떤 파일들이 있는지 확인하기 위해 시스템을 스캔합니다. 시스템을 스캔하는 중에 Lock..

국내외 보안동향 2019. 3. 27. 10:52

시리즈④ 알약이 지키는 PC에 랜섬웨어란 없다! '랜섬웨어 차단 기능' 사용자 후기 안녕하세요? 이스트시큐리티입니다. 앞선 시리즈 포스팅으로 알약의 랜섬웨어 차단 기능, 이스트시큐리티가 보유한 랜섬웨어 차단기술 등을 소개해드렸습니다! 이번 포스팅에서는 앞선 포스팅에서 소개한 국내 최초 랜섬웨어 차단 기술을 적용한 이스트시큐리티의 알약을 통해 랜섬웨어를 차단한 사용자분들의 생생한 후기를 만나보도록 하겠습니다! 랜섬웨어 차단 후기 첫번째 - 알약이 랜섬웨어도 자동으로 차단해주네요! 사용자님이 올려주신 알약 랜섬웨어 차단 알림화면 딱 켜니까 나오는데 눈돌아가는거 참고 해결했습니다...전용처리툴이 알약에 배포되네요.우회포트는 자동으로 차단해주네요. 네이버 카페 모듬******님의 후기 랜섬웨어의 파일 암호화 시..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 3. 25. 10:44

안녕하세요? 이스트시큐리티입니다. 2019년 2월, 기업에서 사용하는 중앙관리 서버(AD서버)를 주요 타깃으로 공격을 하는 랜섬웨어가 발견되었습니다. 개인이 아닌 기업들을 주요 공격 대상으로 하기 때문에 이미 한국 인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다. 해당 악성코드에 감염되면 관리 서버에 연결된 모든 드라이브가 전부 암호화되고 유효한 인증서를 사용하기 때문에 사용자들의 각별한 주의가 필요합니다. [그림 1] 인증서 화면 따라서 본 보고서에서는 Clop 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지 중복 실행을 방지하기 위해 ‘Mutex’를 사용합니다. 뮤텍스의 이름은 ‘HappyLife^_.’이며, 만약 뮤텍스가..

악성코드 분석 리포트 2019. 3. 22. 11:31