New Brrr Dharma Ransomware Variant Released .brrr 확장자를 붙이는 Dharma 랜섬웨어의 새로운 변종이 발견 되었습니다. 이 변종은 보안 연구원인 Jakub Kroustek이 트위터에 VirusTotal의 샘플을 링크해 알려졌습니다. 불행히도, 아직까지 Dharma Brrr 랜섬웨어 변종에 감염 되어 암호화 된 파일을 무료로 복호화하는 방법은 없습니다. 원격 데스크탑 서비스를 해킹하여 배포 돼 Brrr 변종을 포함한 Dharma 랜섬웨어 변종은 공격자가 인터넷에 직접적으로 연결 된 원격 데스크탑 서비스를 해킹해 수동으로 배포 됩니다. 공격자들은 일반적으로 TCP 포트 3389에서 RDP를 실행하는 컴퓨터를 인터넷에서 스캔 후, 컴퓨터의 패스워드 브루트포싱을 시도합니..

국내외 보안동향 2018. 9. 19. 10:05

안녕하세요? 이스트시큐리티입니다. 최근 CrpytoJoker 랜섬웨어의 변종으로 CryptoNar로 불리는 랜섬웨어가 발견되었습니다. CryptoJoker 랜섬웨어와는 다르게 암호화 대상이나 방법에는 차이점을 보입니다. CryptoNar 랜섬웨어는 암호화 제외 확장자를 따로 구분하지 않아 바탕 화면에 존재하는 모든 폴더와 파일이 암호화 대상이 됩니다. 파일 암호화가 완료되면, 시스템 정보와 RSA키 정보를 공격자 메일로 전송합니다. 현재 복호화 도구가 공개되어 피해를 최소화할 수 있으나, 지속적인 변종이 등장할 가능성이 높은 만큼 사용자의 주의가 필요합니다. 따라서, 본 보고서에서는 CryptoNar 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지중복 실행을 방지하기 위해 특..

악성코드 분석 리포트 2018. 9. 14. 20:30

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 전자상거래 위반행위 조사 내용이 담긴 공정거래위원회(이하 공정위) 사칭 악성 메일을 통해 국내에 GandCrab 랜섬웨어가 유포되고 있습니다. 관련하여 지난 공정위 사칭 메일에 사용된 옛날 로고 대신 최신 공정위 CI 로고로 변경해 악성 메일로 유포되는 점이 ESRC 모니터링에 포착되어 이용자들의 주의를 당부드립니다. ※ 관련글 보기 ▶ 공정거래위원회를 사칭하여 유포하는 GandCrab 랜섬웨어 주의 이번에 발견된 공정위 사칭 악성메일은 기존에 발견된 '공정위' 사칭 악성 메일과 동일한 내용을 가지고 있으며, 첨부 파일 실행을 유도합니다. 특징적으로 이전에 유포된 '공정위' 사칭 악성 메일과 비교했을 때 '조사심사기간, 조사기준일, 조사대..

악성코드 분석 리포트 2018. 9. 4. 10:02

CryptoNar Ransomware Discovered and Quickly Decrypted 이번 주, 사용자들을 감염시킨 CryptoJoker 랜섬웨어의 새로운 변종인 CryptoNar가 발견 되었습니다. 좋은 소식은, 무료 해독기가 신속히 공개되어 피해자들이 무료로 파일을 되찾을 수 있게 되었다는 것입니다. 이 랜섬웨어는 연구원인 MalwareHunterTeam이 발견했으며, 언뜻 보기에는 거의 배포 되지 않은 랜섬웨어처럼 보입니다. 하지만, 이 랜섬웨어는 100명 가량의 피해자를 만들어낸 것으로 나타났습니다. 좋은 소식은 연구원인 Michael Gillespie가 피해자들이 무료로 파일을 되찾을 수 있도록 무료 해독기를 신속히 개발했다는 것입니다. CryptoNar 랜섬웨어 CryptoNar 랜..

국내외 보안동향 2018. 9. 3. 09:30

Ryuk Ransomware Crew Makes $640,000 in Recent Activity Surge Ryuk라는 새로운 랜섬웨어가 $640,000 상당의 비트코인을 벌어들인 것으로 나타났습니다. 이 새로운 랜섬웨어 공격은 8월 13일, 보안 연구원인 MalwareHunter에 의해 처음 발견되었습니다. Ryuk 랜섬웨어, 타겟 공격에만 사용 돼 지난 주, Ryuk 랜섬웨어 감염을 호소하는 피해자들의 제보가 몇 건 있었지만, 아직까지 해당 랜섬웨어가 어떻게 유포되어 피해자들을 감염시키는지는 정확히 확인되지 않았습니다. 하지만 일반적으로, 이 랜섬웨어는 APT 공격을 통해 유포된다고 추측하고 있습니다. Ryuk 랜섬웨어의 운영자들은 스피어 피싱 이메일이나 인터넷에 노출 된 보호 되지 않은 RDP 연..

국내외 보안동향 2018. 8. 24. 10:28

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 공정거래위원회를 사칭한 악성 메일로 GandCrab 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 관련 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다. [그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일 실제 첨부파일 '전자상거래 위반행위 통지서.egg'에는 2개의 바로가기 파일 '1.전자상거래 위반행위 통지서.doc.lnk', '2.전산 및 비전산 자료 보존요청서.doc.lnk'과 GandCrab 랜섬웨어인 'uandsk.exe'가 있습니..

악성코드 분석 리포트 2018. 8. 17. 14:25

Princess Evolution Ransomware is a RaaS With a Slick Payment Site Princess Locker 랜섬웨어의 새로운 변종이 Princess Evolution이라는 이름으로 배포 되고 있습니다. 이전 버전과 마찬가지로, Princess Evolution은 서비스형 랜섬웨어(RaaS)이며 언더그라운드 범죄 포럼들에서 광고 되고 있습니다. 이 랜섬웨어가 여러 협력사를 통해 배포 되고 있기 때문에, 수 많은 배포 방식을 사용하고 있습니다. 이 랜섬웨어를 배포하는 방식 중 하나는 RIG 익스플로잇 키트로 밝혀졌습니다. 안타깝게도, 현재로써는 Princess Evolution으로 암호화 된 파일을 복호화 할 수 있는 방법은 없습니다. Princess Evolution..

국내외 보안동향 2018. 8. 16. 17:44

New Cmb Dharma Ransomware Variant Released 지난 목요일, Dharma 랜섬웨어의 새로운 변종이 발견 되었습니다. 이는 암호화 된 파일에 .cmb 확장자를 붙입니다. Dharma 랜섬웨어의 Cmb 변종은 연구원인 Michael Gillespie가 ID 랜섬웨어에 업로드 된 샘플을 확인해 발견 되었습니다. 불행히도 현재 Dharma Cmb 랜섬웨어에 감염 된 파일을 무료로 복호화 하는 방법은 없습니다. 원격 데스크탑 서비스를 통해 유포 돼 Cmb 변종을 포함한 Dharma 패밀리는 원격 데스크탑 프로토콜 서비스(RDP)를 통해 컴퓨터를 해킹하여 수동으로 설치 됩니다. 공격자들은 인터넷에서 보통 TCP 포트 3389에서 실행 되는 RDP를 탐색 후 컴퓨터의 패스워드를 알아내기..

국내외 보안동향 2018. 8. 13. 16:29