The WhiteRose Ransomware Is Decryptable & Tells A Strange Story 연구원들이 새로운 랜섬웨어를 발견했습니다. 이는 BlackRuby와 Zenis 랜섬웨어와 같은 Infinite Tear 랜섬웨어 패밀리를 기반으로 했습니다. 이 랜섬웨어는 컴퓨터를 감염시키고 파일을 암호화하고, 파일명을 섞어버리며 .WHITEROSE 확장자를 붙입니다. 이 랜섬웨어가 어떻게 배포 되었는지는 알려지지 않았지만, 원격 데스크탑 서비스를 해킹해 수동으로 설치되는 것으로 추측되고 있습니다. 게다가, ID-Ransomware에 등록 된 내용으로 미루어볼 때 이 랜섬웨어의 개발자는 유럽 국가들, 특히 스페인을 노리고 있는 것으로 보입니다. 좋은 소식은, 연구원들이 이 랜섬웨어를 복호화 ..

국내외 보안동향 2018. 4. 6. 14:14

Boeing production plant infected with WannaCry ransomware Seattle Times의 보도에 따르면, WannaCry 랜섬웨어가 사우스 캐롤라이나 주 찰스턴에 위치한 보잉의 생산 공장을 공격했습니다. 보잉의 수석 엔지니어인 Mike VanderWel이 작성한 내부 메모에는 “찰스턴 북부에서 급속히 전이되고 있으며, 777(자동 원재 조립 툴)이 중지 된 것 같다고 들었습니다.”라고 되어 있었습니다. 또한 그는 생산 라인을 막 빠져나온 기체를 테스트하는데 사용 되는 장비가 감염 되어 미치는 영향에 대해 우려했습니다. 그는 WannaCry 랜섬웨어가 “항공기 소프트웨어에 전염”될 수 있다는 가능성을 우려했습니다. 물론, 이 시나리오는 실현이 불가능합니다. 항공기 ..

국내외 보안동향 2018. 3. 30. 16:15

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 이번에는 제트캐시를 요구 하는 랜섬웨어가 발견되어 사용자들의 주의를 당부 드립니다. 해당 타나토스 랜섬웨어는 0.1 제트 캐시 (현재 시세: 한화 26,700원)을 요구하는 특징을 가지고 있습니다. 이 공격 그룹은 이전에는 비트코인 캐시를 요구하기도 하였습니다. [그림 1] 랜섬노트 화면 기존 지갑 주소 현재 지갑 주소 BTC: 1HvEZ1jZ7BWgBYPxqCvWtKja3a9hsNa9EhETH: 0x92420e4D96E5A2EbC617f1225E92cA82E24B03efBCH: qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f ZEC: t1JBenujX2WsYEZnzxSJDsQBzDquMCf8kbZ 기존 사용한 이메..

악성코드 분석 리포트 2018. 3. 26. 16:23

안녕하세요? 이스트시큐리티입니다. 최근까지 사용자의 중요 파일을 암호화한 뒤 복호화를 대가로 비트코인을 요구하는 랜섬웨어가 꾸준하게 발견되고 있는 가운데 Saturn으로 불리는 새로운 랜섬웨어가 발견되었습니다. 이번에 발견된 Saturn 랜섬웨어는 파일을 암호화한 뒤 .saturn 확장자를 추가하고, Cerber 랜섬웨어와 마찬가지로 스크립트를 이용해 음성으로 감염 사실을 알리는 것이 특징입니다. 또한, 한글이 포함된 경로에 대해서는 암호화를 진행하지 않습니다. 암호화 대상 확장자는 총 162개로 이 중에는 비트코인 지갑 .wallet를 포함한 금융정보와 관련된 확장자가 포함되어 있습니다. 본 보고서에서는 Saturn 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 프로세스 실행 유무를 위..

악성코드 분석 리포트 2018. 3. 22. 16:30

Zenis Ransomware Encrypts Your Data & Deletes Your Backups 연구원들이 새로운 랜섬웨어인 Zenis를 발견했습니다. 아직까지 Zenis가 어떻게 배포 되고 있는지는 알려지지 않았지만, 이미 많은 피해자들이 이 랜섬웨어에 감염 되었습니다. Zenis의 특징은, 피해자의 파일을 암호화할 뿐만 아니라 백업을 삭제한다는 것입니다. 연구원들이 이 랜섬웨어의 첫 번째 샘플을 발견했을 때는, 파일을 암호화 시 커스텀 된 암호화법을 사용했습니다. 하지만 최신 버전은 AES 암호화를 사용했습니다. 현재로써는 Zenis로 암호화 된 파일을 복호화 할 수 있는 방법은 없지만, 연구원들이 이 랜섬웨어의 취약점을 찾아내기 위해 분석 중입니다. 따라서 Zenis에 감염 되었더라도 랜섬..

국내외 보안동향 2018. 3. 19. 13:48

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 페이스북 아이콘으로 가장한 ‘직소 랜섬웨어 변종’의 악성 파일이 발견되어 사용자들의 주의를 당부 드립니다. [그림 1] Facebook 위장 아이콘 이번에 발견된 직소 랜섬웨어는 소름 돋는 단편 공포 영화 ‘러브 크래프트’의 ‘크툴루’ 이미지를 보여주고, 일정 시간이 지날 때마다 암호화된 일부 파일을 삭제해 사용자가 비트코인을 지불하도록 공포감을 조성하는 특징을 가지고 있습니다. [그림 2] 크툴루 이미지를 포함한 안내문 이번 랜섬웨어 변종은 크툴루 신화 이미지 노출을 제외하고 대부분의 특성이 기존 직소 랜섬웨어와 흡사한 것으로 나타났습니다. 암호화가 완료되면 PC 화면에 창을 띄워 먼저 스페인어로 된 문장을 한 줄씩 순차적으로 보여준 후 영어..

악성코드 분석 리포트 2018. 3. 15. 16:45

Thanatos Ransomware Is First to Use Bitcoin Cash. Messes Up Encryption 랜섬웨어 개발자들은 제대로 테스트 하지 않고 버그가 포함 된 상태인 랜섬웨어를 배포하고 있습니다. 이로 인해, 희생양들이 파일을 복구하기 어렵거나 불가능하게 됩니다. 최근 보안 연구원들이 발견한 새로운 랜섬웨어인 Thanatos도 같은 경우인 것으로 나타났습니다. Thanatos 랜섬웨어가 희생양을 감염 시키면, 암호화 된 각 파일 마다 새로운 키를 사용합니다. 하지만 문제는 이 키들이 어디에도 저장되지 않는 다는 것입니다. 이는 즉, 사용자가 랜섬머니를 지불 하더라도, 랜섬웨어 개발자들은 사실상 파일을 복호화 할 수 있는 방법이 없다는 이야기입니다. 따라서 Thanatos에 피..

국내외 보안동향 2018. 2. 28. 09:30

SamSam ransomware infects Colorado Department of Transportation SamSam 랜섬웨어가 돌아왔습니다. 가장 최근 피해를 입은 곳은 콜로라도의 교통부인 것으로 나타났습니다. 랜섬웨어가 전체 인프라를 통해 확산 되는 것을 막기 위해, 해당 기관의 컴퓨터 2천 대 이상이 종료 되었습니다. CBS 로컬 뉴스는 도로 교통 및 경보를 관리하는 주요 시스템은 이에 영향을 받지 않았다고 보도했습니다. 공격자들은 일부 파일들을 암호화했으며, 복호화 키를 인질로 비트코인을 요구했습니다. 교통부는 시스템을 수리하기 위해 보안 업체와 협력 중입니다. OIT의 CTO인 David McCurdy는 “오늘 아침, 한 랜섬웨어가 콜로라도 교통부의 시스템들을 감염시킨 것을 발견했습니다..

국내외 보안동향 2018. 2. 26. 09:25