PyLocky Ransomware Decryption Tool Released — Unlock Files For Free Cisco Talos의 보안 연구원인 Mike Bautista가 PyLocky 랜섬웨어에 감염 된 피해자들이 랜섬 머니를 지불하지 않고도 암호화 된 파일을 무료로 복호화할 수 있는 무료 복호화 툴을 공개했습니다. 이 복호화 툴은 누구나 사용할 수 있지만, 매우 큰 제약이 있습니다. 파일을 성공적으로 복구해내기 위해서는 PyLocky 랜섬웨어와 C&C 서버간의 초기 네트워크 트래픽(PCAP 파일)이 필요한데, 보통 아무도 의도적으로 하지 않는 일이기 때문입니다. 랜섬웨어가 C&C 서버와 통신하고 복호화 키 관련 정보를 제출할 때의 아웃 바운드 연결이 초기화 벡터 (IV – Initial..

국내외 보안동향 2019. 1. 14. 08:34

Did Aurora Ransomware infect you? You can decrypt file for free Aurora 랜섬웨어의 피해자들이 데이터를 무료로 복호화할 수 있는 툴이 개발 되었습니다. 윈도우 악성코드인 Aurora 랜섬웨어는 많은 변종들이 있지만, 피해자 대부분은 암호화 된 파일에 .Nano 확장자를 사용하는 버전에 감염 되었습니다. 공격자들은 원격 데스크탑 서비스를 통해 시스템을 감염시킵니다. 파일이 암호화 되면, 이 랜섬웨어는 윈도우 바탕화면과 다양한 폴더에 랜섬노트를 생성합니다. 보안 연구원인 Michael Gillespie는 이 랜섬웨어에 암호화 된 파일들을 복호화할 수 있는 툴을 개발해 공개했습니다. 이 복호화 툴은 암호화 된 파일에 아래 확장명을 붙이는 버전을 지원합니다:..

국내외 보안동향 2019. 1. 7. 10:37

JungleSec Ransomware Infects Victims Through IPMI Remote Consoles JungleSec이라는 랜섬웨어가 11월 초부터 안전하지 않은 IPMI (Intelligent Platform Management Interface)카드를 통해 피해자들을 감염시키고 있는 것으로 나타났습니다. 11월 초에 발생한 피해자들은 윈도우, 리눅스, 맥을 사용하고 있었지만 이들이 어떻게 감염 되었는지는 알 수 없었습니다. 이후 랜섬웨어 피해자들을 조사해본 결과, 한가지 동일한 점이 발견 되었습니다. 이들은 안전하지 않은 IPMI기기를 통해 감염 된 것입니다. IPMI는 서버 마더보드에 내장 되거나 애드온 카드로써 설치 되는 관리 인터페이스로 관리자들이 원격으로 컴퓨터를 제어하고, ..

국내외 보안동향 2019. 1. 2. 08:31

Shamoon Disk-Wiping Malware Re-emerges with Two New Variants 데이터 파괴형 악성코드인 Shamoon의 샘플 2개가 실제 공격에서 발견 되었습니다. 이는 Shamoon이 활동을 중지한지 약 2년만입니다. Shamoon은 2012년 사우디의 아람코(Aramco) 석유 생산 회사를 노린 공격에서 처음 발견되었습니다. 당시 이 악성코드는 아람코의 컴퓨터 시스템 35,000대 이상의 데이터를 삭제했습니다. 4년 후, 이는 2017년 1월까지 지속 된 동일한 지역의 민간 조직을 노린 공격에서 또 다시 발견 되었습니다. 이전 트리거 날짜가 포함 된 샘플 구글의 모회사인 Alphabet Inc.의 Chronicle 연구팀이 Bleeping Computer에 보낸 보고서에..

국내외 보안동향 2018. 12. 14. 14:53

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

Satan Ransomware Variant Exploits 10 Server-Side Flaws 2년 전 처음 등장한 랜섬웨어의 새 버전이 윈도우와 리눅스 서버 플랫폼의 취약점 10개를 악용하여 확산될 수 있는 것으로 나타났습니다. 이 새로운 악성코드의 이름은 “Lucky”이며, Satan의 변종입니다. Satan은 서비스형 랜섬웨어(RaaS)의 형태로2017년 1월 출시 되었습니다. Satan과 마찬가지로, Lucky 또한 행동 및 사람의 조작 없이도 스스로 확산될 수 있다는 점이 웜과 유사합니다. 보안 업체인 NSFocus는 지난 11월 말 금융 서비스를 이용하는 고객들의 시스템에서 이 변종을 발견했으며, 전 세계적으로 광범위한 감염을 일으킬 수 있다고 설명했습니다. 이 악성코드는 Windows S..

국내외 보안동향 2018. 12. 12. 09:30

New Ransomware Spreading Rapidly in China Infected Over 100,000 PCs 새로운 랜섬웨어가 중국에서 급격히 확산 되고 있습니다. 이는 공급망 공격을 통해 지난 4일간 10만대 이상의 컴퓨터를 감염시켰으며, 피해자는 매 시간마다 증가하고 있는 상태입니다. 흥미로운 점은, 다른 랜섬웨어들과는 달리 이 새로운 바이러스는 랜섬머니를 비트코인으로 요구하지 않는다는 것입니다. 대신 공격자들은 피해자들에 WeChat Pay를 통해 110위안(약 18,000원)을 지불하라고 요구합니다. 랜섬웨어 + 패스워드 스틸러 : 지난 해 전세계적으로 큰 혼란을 일으켰던 WannaCry와 NotPetya 랜섬웨어와는 다르게, 이 새로운 중국 랜섬웨어는 중국 사용자만을 대상으로 하고 ..

국내외 보안동향 2018. 12. 6. 08:19

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. GandCrab 5.0.9 버전이 등장하여 사용자들의 주의가 필요합니다. ※ 관련 글 보기▶ 복호화 툴로 복구 불가능한 갠드크랩(GandCrab) 5.0.5 변종 발견!▶ 멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!▶ 갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! GandCrab 5.0.9 버전은 기존의 GandCrab 랜섬웨어와 다르게 "We will become back very soon! ;)" 이라는 팝업창을 띄웁니다. 사용자가 확인 버튼을 클릭한다면 기존의 갠드크랩들과 동일하게 파일들을 ..

악성코드 분석 리포트 2018. 12. 5. 11:40