안녕하세요? 이스트시큐리티입니다. 최근까지 사용자의 중요 파일을 암호화한 뒤 복호화를 대가로 비트코인을 요구하는 랜섬웨어가 꾸준하게 발견되고 있는 가운데 Saturn으로 불리는 새로운 랜섬웨어가 발견되었습니다. 이번에 발견된 Saturn 랜섬웨어는 파일을 암호화한 뒤 .saturn 확장자를 추가하고, Cerber 랜섬웨어와 마찬가지로 스크립트를 이용해 음성으로 감염 사실을 알리는 것이 특징입니다. 또한, 한글이 포함된 경로에 대해서는 암호화를 진행하지 않습니다. 암호화 대상 확장자는 총 162개로 이 중에는 비트코인 지갑 .wallet를 포함한 금융정보와 관련된 확장자가 포함되어 있습니다. 본 보고서에서는 Saturn 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 프로세스 실행 유무를 위..

악성코드 분석 리포트 2018. 3. 22. 16:30

Zenis Ransomware Encrypts Your Data & Deletes Your Backups 연구원들이 새로운 랜섬웨어인 Zenis를 발견했습니다. 아직까지 Zenis가 어떻게 배포 되고 있는지는 알려지지 않았지만, 이미 많은 피해자들이 이 랜섬웨어에 감염 되었습니다. Zenis의 특징은, 피해자의 파일을 암호화할 뿐만 아니라 백업을 삭제한다는 것입니다. 연구원들이 이 랜섬웨어의 첫 번째 샘플을 발견했을 때는, 파일을 암호화 시 커스텀 된 암호화법을 사용했습니다. 하지만 최신 버전은 AES 암호화를 사용했습니다. 현재로써는 Zenis로 암호화 된 파일을 복호화 할 수 있는 방법은 없지만, 연구원들이 이 랜섬웨어의 취약점을 찾아내기 위해 분석 중입니다. 따라서 Zenis에 감염 되었더라도 랜섬..

국내외 보안동향 2018. 3. 19. 13:48

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 페이스북 아이콘으로 가장한 ‘직소 랜섬웨어 변종’의 악성 파일이 발견되어 사용자들의 주의를 당부 드립니다. [그림 1] Facebook 위장 아이콘 이번에 발견된 직소 랜섬웨어는 소름 돋는 단편 공포 영화 ‘러브 크래프트’의 ‘크툴루’ 이미지를 보여주고, 일정 시간이 지날 때마다 암호화된 일부 파일을 삭제해 사용자가 비트코인을 지불하도록 공포감을 조성하는 특징을 가지고 있습니다. [그림 2] 크툴루 이미지를 포함한 안내문 이번 랜섬웨어 변종은 크툴루 신화 이미지 노출을 제외하고 대부분의 특성이 기존 직소 랜섬웨어와 흡사한 것으로 나타났습니다. 암호화가 완료되면 PC 화면에 창을 띄워 먼저 스페인어로 된 문장을 한 줄씩 순차적으로 보여준 후 영어..

악성코드 분석 리포트 2018. 3. 15. 16:45

Thanatos Ransomware Is First to Use Bitcoin Cash. Messes Up Encryption 랜섬웨어 개발자들은 제대로 테스트 하지 않고 버그가 포함 된 상태인 랜섬웨어를 배포하고 있습니다. 이로 인해, 희생양들이 파일을 복구하기 어렵거나 불가능하게 됩니다. 최근 보안 연구원들이 발견한 새로운 랜섬웨어인 Thanatos도 같은 경우인 것으로 나타났습니다. Thanatos 랜섬웨어가 희생양을 감염 시키면, 암호화 된 각 파일 마다 새로운 키를 사용합니다. 하지만 문제는 이 키들이 어디에도 저장되지 않는 다는 것입니다. 이는 즉, 사용자가 랜섬머니를 지불 하더라도, 랜섬웨어 개발자들은 사실상 파일을 복호화 할 수 있는 방법이 없다는 이야기입니다. 따라서 Thanatos에 피..

국내외 보안동향 2018. 2. 28. 09:30

SamSam ransomware infects Colorado Department of Transportation SamSam 랜섬웨어가 돌아왔습니다. 가장 최근 피해를 입은 곳은 콜로라도의 교통부인 것으로 나타났습니다. 랜섬웨어가 전체 인프라를 통해 확산 되는 것을 막기 위해, 해당 기관의 컴퓨터 2천 대 이상이 종료 되었습니다. CBS 로컬 뉴스는 도로 교통 및 경보를 관리하는 주요 시스템은 이에 영향을 받지 않았다고 보도했습니다. 공격자들은 일부 파일들을 암호화했으며, 복호화 키를 인질로 비트코인을 요구했습니다. 교통부는 시스템을 수리하기 위해 보안 업체와 협력 중입니다. OIT의 CTO인 David McCurdy는 “오늘 아침, 한 랜섬웨어가 콜로라도 교통부의 시스템들을 감염시킨 것을 발견했습니다..

국내외 보안동향 2018. 2. 26. 09:25

안녕하세요? 이스트시큐리티입니다. 이번에 등장한 랜섬웨어는 ‘Hermes’ 2.0 버전으로 기존 ‘Hermes’ 랜섬웨어의 변종입니다. 랜섬웨어 특성에 따라 악성코드 제작자는 사용자의 중요 파일을 암호화한 뒤 복호화 대가로 비트코인 결제를 유도하여 금전적인 이득을 취합니다. 기존 버전에서 파일 암호화가 진행된 이후‘.hermes’확장자를 추가하던 것과 달리 별도의 확장자를 추가하지 않는 것이 특징입니다. 또한 암호화 대상 확장자에는 ‘.hwp’가 포함되어 있어 국내 사용자들의 피해가 우려됩니다. 본 분석 보고서에서는 ‘Heremes’ 2.0 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 안티 디버깅 Hermes 랜섬웨어는 정상적인 디버깅을 방해하기 위하여 프로세스 실행 시간을 이용한 안티..

악성코드 분석 리포트 2018. 2. 21. 15:28

GandCrab, a new ransomware-as-a-service emerges from Russian crime underground LMNTRIX 보안 연구원들은 GandCrab이라 불리는 새로운 랜섬웨어(RaaS)를 발견했습니다. 공격자들은 RIG 및 GrandSoft EK를 이용해 해당 랜섬웨어를 유포하고 있는 것으로 확인되었습니다. 해당 랜섬웨어 판매 정책은 다음과 같습니다. - 구매자는 랜섬 수익을 6대 4로 나누는 ‘파트너 프로그램’ 조항에 동의해야 합니다.- 대형 구매자는 수익의 70%까지 요구할 수 있습니다.- 서비스형 랜섬웨어로서 구매자에게 기술지원과 업데이트를 제공합니다.- 독립국가연합(러시아, 몰도바, 벨라루스, 아르메니아, 아제르바이잔, 우즈베키스탄, 카자흐스탄, 키르기스스탄..

국내외 보안동향 2018. 2. 5. 15:26

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 한국식 표현이 포함된 ‘카카오톡 위장 랜섬웨어 변종’이 발견되어 주의가 필요합니다. [그림 1] 2018년 변종 KOREAN 랜섬웨어 새롭게 발견된 카카오톡 위장 랜섬웨어는 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분의 특성이 흡사한 것으로 나타났습니다. [그림 2] 2016년 발견된 KOREAN 랜섬웨어] Hidden-Tear 오픈 소스 기반으로 제작된 이 랜섬웨어는 바탕 화면 경로에 있는 파일들 중 아래에 해당하는 확장자만 AES 알고리즘을 이용하여 “[기존파일명][기존확장자명].암호화됨” 으로 암호화를 진행한 뒤 1 비트코인을 요구 합니다. (한화 13,500,000 원) ”..

악성코드 분석 리포트 2018. 1. 23. 11:01