전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안 안녕하세요. 이스트시큐리티입니다. 5월 12일부터 전세계로 급속히 유포되고 있는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 대한 내용을 정리했습니다. 또한 사전조치 방안에 대해 공유 드리며, 피해를 최소화 하고자 알약 워너크라이(WannaCry) 예방 조치툴을 개발하였으니 필요한 경우 툴을 내려받아 조치해주시길 부탁 드립니다. ▶ 알약 워너크라이(WannaCry) 예방 조치툴 다운로드 하기 ▶ 알약 워너크라이(WannaCry) 예방 조치툴 내용 자세히 보기 **이스트시큐리티에서는 해당 랜섬웨어 초동 대응에 Wcry, Wana Decrypt0r 등 여러가지 이..

악성코드 분석 리포트 2017. 5. 14. 00:39

SMB 취약점을 통해 유포되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어, 이용자 긴급 주의 2017년 5월 12일부터 미국, 중국 등 전세계 70여개 국 이상에서 워너크라이(WannaCry) 또는 워너크립터(WannaCryptor) 랜섬웨어에 감염되고 있습니다. 해당 랜섬웨어는 SMB 취약점을 통해 확산되고 있습니다. 이번에 사용된 SMB 취약점은 ‘Shadow Brokers’에서 공개한 일명 NSA 사이버무기인 ‘EternalBlue’입니다. 마이크로소프트(MS)는 이미 3월 14일경 MS17-010으로 취약점을 패치했으나, 아직 업데이트하지 않은 전세계 컴퓨터들이 감염 위험에 노출되고 있습니다. 이번 공격에 사용된 워너크라이(WannaCry)/워터크립터(WannaCry..

이스트시큐리티 소식 2017. 5. 13. 14:38

10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중! 작년 말부터 국가 기관 및 기업, 심지어 국내 포털 사이트의 블로그 서비스 이용자를 대상으로 한 한국 맞춤형 비너스락커(VenusLocker) 랜섬웨어가 다양한 형태로 다수 유포되었습니다. ※ 관련 글 - 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼... 관계자 주의 필요 (▶자세히보기) - 확장자 숨겨 악성파일 열어보게 만드는 메일 유포... 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 (▶자세히보기) - 교육 일정표 위장한 '한국 맞춤형' 비너스락커 랜섬웨어 변종 국내 유포 중! (▶자세히보기) - 쇼핑몰에서 유출된 '고객 개인정보 리스트' 사칭한 변종 랜섬웨어 유포 중 (▶자세히보기) 그러던 중 최근 특..

악성코드 분석 리포트 2017. 5. 8. 17:19

안티 분석 기능을 구현한 저렴한 서비스형 랜섬웨어 발견, Karmen 랜섬웨어Karmen Ransomware, a cheap RaaS service that implements anti-analysis features Recorded Future의 전문가들이 저렴한 서비스형 랜섬웨어(RaaS)인 'Karmen 랜섬웨어'를 발견했습니다. 이 서비스를 구매하면 특정한 기술 없이 손쉽게 랜섬웨어를 생성할 수 있습니다. 구매자들은 감염된 시스템의 수, 벌어들인 수익, 악성코드의 업데이트 등을 확인할 수 있도록 구현된 대시보드 내 "Clients" 탭을 통해 감염된 시스템을 추적할 수 있습니다. Karmen RaaS는 $175로 매우 저렴하며, 구매자들은 랜섬머니의 가격과 랜섬머니 지불 기간을 설정할 수 있습니다..

국내외 보안동향 2017. 4. 20. 11:49

쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 안녕하세요. 통합 보안 기업 이스트시큐리티입니다.특정 온라인 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’를 사칭한 악성 파일이 이메일을 통해 유포되고 있습니다. ▲ ‘고객 개인정보 리스트’를 사칭한 비너스락커 랜섬웨어 현재 유포되고 있는 악성파일은 ‘*.7z’ 포맷으로 압축되어 있습니다. 해당 파일의 압축을 해제하면 ‘개인정보유출고객리스트.doc’, ‘개인정보유출공지.jpg’ 총 2개의 파일을 확인할 수 있습니다. 압축 해제된 파일 중 이미지 파일로 보이는 ‘개인정보유출공지.jpg’의 실제 파일명은 ‘개인정보유출공지.jpg. lnk’입니다. 공격자는 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 제공한다는 점을 악용해..

악성코드 분석 리포트 2017. 4. 13. 11:02

모든 안티바이러스 프로그램에서 탐지되지 않는 새로운 안드로이드 랜섬웨어 발견New Android Ransomware Goes Undetected by All Antivirus Programs 새로운 타입의 안드로이드 랜섬웨어가 발견되었습니다. 어떠한 백신도 이를 탐지하지 못해 충격을 주고 있습니다. 보안 연구원들은 러시아의 엔터테인먼트 소셜 네트워크 앱인 'OK' 라는 인기 앱에서 이 새로운 랜섬웨어를 발견했습니다. 해당 앱의 정식버전은 구글 플레이 스토어에서 내려받을 수 있으며, 약 5000만~1억 건의 다운로드 수를 기록하고 있습니다. 또한 정식버전은 어떠한 악성코드도 포함하고 있지 않았습니다. 이번 랜섬웨어가 포함된 앱은 써드파티 스토어에서 발견된 것입니다. 이 랜섬웨어는 사용자가 안전하다고 느낄 ..

국내외 보안동향 2017. 4. 3. 16:06

CryptoMix의 변종인 Revenge 랜섬웨어, RIG 익스플로잇 키트를 통해 배포 돼Revenge Ransomware, a CryptoMix Variant, Being Distributed by RIG Exploit Kit 최근 RIG 익스플로잇 키트를 통해 배포 되는 CryptoMix 또는 CryptFile2의 변종인 Revenge 랜섬웨어가 발견되었습니다. 이 변종은 또 다른 CryptoMix의 변종인 CryptoShield와 유사하지만, 일부가 수정되었습니다. 보안 연구원들은 해킹 되어 RIG 익스플로잇 키트 자바스크립트가 추가 된 웹사이트에서 Revenge 랜섬웨어가 배포 되고 있는 것을 확인하였습니다. 이렇게 변조된 사이트들을 방문하면 사용자의 동의 없이 Revenge 랜섬웨어가 설치될 수..

국내외 보안동향 2017. 3. 17. 11:28

CryptoMix 랜섬웨어의 오프라인 버전 복호화 툴 공개해Avast Releases Decryption Tool for Offline Versions of CryptoMix Ransomware 최근 CryptoMix용 복호화 툴이 개발되었습니다. CryptoMix는 CryptFile2, Zeta, CryptoShield라고도 불리우며, 이번에 개발된 복호화 툴은 오프라인 모드에서 암호화 된 파일들을 복호화 할 수 있습니다. CryptoMix 랜섬웨어는 작년 3월 처음 발견된 랜섬웨어로, 제작자가 CryptoShield로 이름을 변경했지만 코드는 동일합니다. 이번에 개발된 복호화 툴은 사용자 PC가 오프라인 모드에서 파일이 암호화 된 경우 사용할 수 있습니다. 해당 랜섬웨어는 인터넷에 연결되어 있지 않을..

국내외 보안동향 2017. 2. 23. 14:35