안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩 랜섬웨어가 또 다시 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련글보기 ▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중!▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견! 이번 악성메일은 명함제작 이메일을 위장하고 있습니다. [그림 1] 수신된 메일 첨부 파일 ‘문의사항.alz’ 에는 아래와 같이 3개의 파일이 있습니다. [그림 2] 첨부파일 '문의사항.alz' 압축파일에 첨부되어 있는 doc 파일은 정상 파일이며, jpg 파일은 이미지 파일을 ..

악성코드 분석 리포트 2019. 1. 17. 08:32

안녕하세요? 이스트시큐리티입니다. 2018년 4분기 알약을 통해, 총 33만2179건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격수를 기준으로 집계되었으며, 통계에 따르면 2018년 4분기에는 알약을 통해 랜섬웨어 공격이 총 33만 2179건 차단되었으며, 이를 일간 기준으로 환산하면 일평균 약 3,691건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많다고 볼 수 있겠습니다. 이번 4분기 역시 갠드크랩(GandCrab) 랜섬웨어가 업데이트를 거듭하..

전문가 기고 2019. 1. 14. 11:00

PyLocky Ransomware Decryption Tool Released — Unlock Files For Free Cisco Talos의 보안 연구원인 Mike Bautista가 PyLocky 랜섬웨어에 감염 된 피해자들이 랜섬 머니를 지불하지 않고도 암호화 된 파일을 무료로 복호화할 수 있는 무료 복호화 툴을 공개했습니다. 이 복호화 툴은 누구나 사용할 수 있지만, 매우 큰 제약이 있습니다. 파일을 성공적으로 복구해내기 위해서는 PyLocky 랜섬웨어와 C&C 서버간의 초기 네트워크 트래픽(PCAP 파일)이 필요한데, 보통 아무도 의도적으로 하지 않는 일이기 때문입니다. 랜섬웨어가 C&C 서버와 통신하고 복호화 키 관련 정보를 제출할 때의 아웃 바운드 연결이 초기화 벡터 (IV – Initial..

국내외 보안동향 2019. 1. 14. 08:34

Did Aurora Ransomware infect you? You can decrypt file for free Aurora 랜섬웨어의 피해자들이 데이터를 무료로 복호화할 수 있는 툴이 개발 되었습니다. 윈도우 악성코드인 Aurora 랜섬웨어는 많은 변종들이 있지만, 피해자 대부분은 암호화 된 파일에 .Nano 확장자를 사용하는 버전에 감염 되었습니다. 공격자들은 원격 데스크탑 서비스를 통해 시스템을 감염시킵니다. 파일이 암호화 되면, 이 랜섬웨어는 윈도우 바탕화면과 다양한 폴더에 랜섬노트를 생성합니다. 보안 연구원인 Michael Gillespie는 이 랜섬웨어에 암호화 된 파일들을 복호화할 수 있는 툴을 개발해 공개했습니다. 이 복호화 툴은 암호화 된 파일에 아래 확장명을 붙이는 버전을 지원합니다:..

국내외 보안동향 2019. 1. 7. 10:37

JungleSec Ransomware Infects Victims Through IPMI Remote Consoles JungleSec이라는 랜섬웨어가 11월 초부터 안전하지 않은 IPMI (Intelligent Platform Management Interface)카드를 통해 피해자들을 감염시키고 있는 것으로 나타났습니다. 11월 초에 발생한 피해자들은 윈도우, 리눅스, 맥을 사용하고 있었지만 이들이 어떻게 감염 되었는지는 알 수 없었습니다. 이후 랜섬웨어 피해자들을 조사해본 결과, 한가지 동일한 점이 발견 되었습니다. 이들은 안전하지 않은 IPMI기기를 통해 감염 된 것입니다. IPMI는 서버 마더보드에 내장 되거나 애드온 카드로써 설치 되는 관리 인터페이스로 관리자들이 원격으로 컴퓨터를 제어하고, ..

국내외 보안동향 2019. 1. 2. 08:31

Shamoon Disk-Wiping Malware Re-emerges with Two New Variants 데이터 파괴형 악성코드인 Shamoon의 샘플 2개가 실제 공격에서 발견 되었습니다. 이는 Shamoon이 활동을 중지한지 약 2년만입니다. Shamoon은 2012년 사우디의 아람코(Aramco) 석유 생산 회사를 노린 공격에서 처음 발견되었습니다. 당시 이 악성코드는 아람코의 컴퓨터 시스템 35,000대 이상의 데이터를 삭제했습니다. 4년 후, 이는 2017년 1월까지 지속 된 동일한 지역의 민간 조직을 노린 공격에서 또 다시 발견 되었습니다. 이전 트리거 날짜가 포함 된 샘플 구글의 모회사인 Alphabet Inc.의 Chronicle 연구팀이 Bleeping Computer에 보낸 보고서에..

국내외 보안동향 2018. 12. 14. 14:53

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

Satan Ransomware Variant Exploits 10 Server-Side Flaws 2년 전 처음 등장한 랜섬웨어의 새 버전이 윈도우와 리눅스 서버 플랫폼의 취약점 10개를 악용하여 확산될 수 있는 것으로 나타났습니다. 이 새로운 악성코드의 이름은 “Lucky”이며, Satan의 변종입니다. Satan은 서비스형 랜섬웨어(RaaS)의 형태로2017년 1월 출시 되었습니다. Satan과 마찬가지로, Lucky 또한 행동 및 사람의 조작 없이도 스스로 확산될 수 있다는 점이 웜과 유사합니다. 보안 업체인 NSFocus는 지난 11월 말 금융 서비스를 이용하는 고객들의 시스템에서 이 변종을 발견했으며, 전 세계적으로 광범위한 감염을 일으킬 수 있다고 설명했습니다. 이 악성코드는 Windows S..

국내외 보안동향 2018. 12. 12. 09:30