시리즈④ 알약이 지키는 PC에 랜섬웨어란 없다! '랜섬웨어 차단 기능' 사용자 후기 안녕하세요? 이스트시큐리티입니다. 앞선 시리즈 포스팅으로 알약의 랜섬웨어 차단 기능, 이스트시큐리티가 보유한 랜섬웨어 차단기술 등을 소개해드렸습니다! 이번 포스팅에서는 앞선 포스팅에서 소개한 국내 최초 랜섬웨어 차단 기술을 적용한 이스트시큐리티의 알약을 통해 랜섬웨어를 차단한 사용자분들의 생생한 후기를 만나보도록 하겠습니다! 랜섬웨어 차단 후기 첫번째 - 알약이 랜섬웨어도 자동으로 차단해주네요! 사용자님이 올려주신 알약 랜섬웨어 차단 알림화면 딱 켜니까 나오는데 눈돌아가는거 참고 해결했습니다...전용처리툴이 알약에 배포되네요.우회포트는 자동으로 차단해주네요. 네이버 카페 모듬******님의 후기 랜섬웨어의 파일 암호화 시..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 3. 25. 10:44

안녕하세요? 이스트시큐리티입니다. 2019년 2월, 기업에서 사용하는 중앙관리 서버(AD서버)를 주요 타깃으로 공격을 하는 랜섬웨어가 발견되었습니다. 개인이 아닌 기업들을 주요 공격 대상으로 하기 때문에 이미 한국 인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다. 해당 악성코드에 감염되면 관리 서버에 연결된 모든 드라이브가 전부 암호화되고 유효한 인증서를 사용하기 때문에 사용자들의 각별한 주의가 필요합니다. [그림 1] 인증서 화면 따라서 본 보고서에서는 Clop 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지 중복 실행을 방지하기 위해 ‘Mutex’를 사용합니다. 뮤텍스의 이름은 ‘HappyLife^_.’이며, 만약 뮤텍스가..

악성코드 분석 리포트 2019. 3. 22. 11:31

JNEC.a Ransomware Spread by WinRAR Ace Exploit 새로운 랜섬웨어인 JNEC.a가 최근 보고된 WinRAR의 ACE에 존재하는 코드 실행 취약점 익스플로잇을 통해 배포되는 것으로 나타났습니다. 이 랜섬웨어는 컴퓨터를 암호화한 후 피해자가 랜섬머니를 지불하고 파일 복호화 키를 받는데 필요한 Gmail 주소를 생성하며, 피해자는 해당 Gmail 주소를 사용하여 계정을 생성해야 합니다. 이 랜섬웨어는 컴퓨터의 데이터를 암호화한 후 파일명에 .Jnec 확장자를 붙입니다. 복호화 키의 가격은 0.05 비트코인(약 $200)입니다. 흥미로운 점은, 이 랜섬웨어의 제작자는 파일 복호화 키를 전달하는데 특이한 방법을 사용한다는 것입니다. 그 방법은 바로 랜섬웨어에 감염된 컴퓨터의 고유..

국내외 보안동향 2019. 3. 19. 16:40

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 '저작권 위반'의 내용이 담긴 악성 메일로 GandCrab v5.2 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다. ※ 관련글 보기 [비너스락커(Venus Locker) 그룹]▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.01.03)▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! (2017.02.17)▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 (2017.02.23)▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 (2017.04.13)▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ ..

악성코드 분석 리포트 2019. 3. 18. 11:45

시리즈③ 알약 랜섬웨어 차단, 그 4년간의 기록 안녕하세요? 이스트시큐리티입니다. 앞선 시리즈 포스팅에서 소개해드린 바와 같이, 지난 2015년 이스트시큐리티 알약은 국내 최초 랜섬웨어 차단 기술을 적용한 백신으로 거듭났습니다. 그리고 그 이후로 수많은 랜섬웨어를 차단하며 그 역할을 톡톡히 해내고 있는데요! 그렇다면, 이번 포스팅에서는 알약 랜섬웨어 차단 기능의 과거와 현재! 그 4년간의 기록을 알아보도록 하겠습니다. 2015년 : 랜섬웨어 공격 급증과 알약 랜섬웨어 차단 기능의 탄생 알약 랜섬웨어 차단 설정화면 및 공격 시도 차단 알림 2015년 12월, 이스트시큐리티는 급증하는 랜섬웨어 공격으로부터 사용자 PC를 보호하고자 알약에 랜섬웨어 차단 기능 추가했습니다. 해당 기능은 [알약-환경설정-고급 설..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 3. 15. 14:07

Jackson County paid $400,000 to crooks after ransomare attack 조지아 주 잭슨 카운티(Jackson County)의 컴퓨터들이 공격을 받아 정부 업무가 마비되는 사건이 발생했습니다. 이 컴퓨터들은 랜섬웨어에 감염된 것으로 나타났으며, 해당 기관은 파일을 복호화 하기 위해 $400,000 상당의 랜섬머니를 지불하기로 결정했습니다. 잭슨 카운티 측은 공격이 처음 발생한지 일주일 만에 컴퓨터와 서버를 모두 복호화 하는 작업 중이라고 밝혔습니다. 응급 및 이메일 서비스를 포함한 잭슨 카운티 내 모든 부서의 컴퓨터들이 이 악성코드에 감염되었으며, 911 운영 시스템만 영향을 받지 않았습니다. 잭슨 카운티 측은 업무는 정상적으로 진행되고 있으나, 현재 이메일 서비스가..

국내외 보안동향 2019. 3. 11. 09:44

Ransomware Pretends to Be Proton Security Team Securing Data From Hackers ProtonMail과 ProtonVPN을 운영하는 Proton Technologies의 보안 팀으로 위장한 GarrantyDecrypt 랜섬웨어의 최신 변종이 발견되었습니다. 이 랜섬웨어 패밀리는 지난 2018년 10월 랜섬웨어 연구원인 Michael Gillespie가 발견했으며, 다른 랜섬웨어와 같이 대규모 배포 공격을 한 적은 없지만 공개된 직후 꾸준히 피해자들이 늘고 있습니다. 사용자들은 ID-Ransomware에 이 랜섬웨어의 랜섬노트나 암호화된 파일을 꾸준히 등록하고 있습니다. [그림] GarrantyDecrypt의 등록 현황 지난 2월 또 다시 발견된 Garra..

국내외 보안동향 2019. 3. 5. 14:33

FilesLocker病毒招募代理化身“蛇发女妖” 感染数家政企单位 중국의 보안 기업인 Tencent는 최근 중국에서 유포되고 있는 Gorgon 랜섬웨어에 대해 주의를 당부하였습니다. 고르곤(Gorgon)은 그리스신화에 등장하는 세 명의 자매 괴물로, 머리카락이 수많은 뱀으로 이루어진 괴물을 지칭합니다. Tencent 분석 결과, Gorgon 랜섬웨어는 최근 중국에서 유포 중이며, 이미 많은 정부 및 기업들이 감염되었다고 밝혔습니다. 또한 Gorgon 악성코드는 FilesLocker 랜섬웨어에서 UI만 바뀐 것 같다고 말했습니다. FilesLocker 랜섬웨어는 2018년 10월 처음 발견되었으며, 주로 정부부처 및 기관들을 타겟으로 공격을 진행하였습니다. 이 랜섬웨어 등장 후 "대리"를 모집하여 조직화, 산..

국내외 보안동향 2019. 2. 26. 16:13