부트 레코드를 암호화하여 PC 실행을 막는 Satana 랜섬웨어Satana Ransomware Encrypts Your Boot Record and Prevents Your PC from Starting 사용자의 마스터 부트 레코드(MBR)를 망가뜨리는 Petya 랜섬웨어와 클래식 랜섬웨어를 결합한 새로운 형태의 Satana 랜섬웨어가 등장했습니다. Satana 랜섬웨어는 다른 랜섬웨어 패밀리들이 사용하는 것과 동일한 방법으로 사용자의 파일을 암호화하며, 암호화시킨 파일 이름은 “email@domain.com___파일명.확장자”와 같이 변경합니다. 그리고 사용자 PC의 MBR 영역을 암호화시키며 자신의 것으로 대체 시켜버립니다. 이후 사용자가 컴퓨터를 부팅시키면 Satana의 MBR 부트 코드가 로드되며..

국내외 보안동향 2016. 7. 4. 14:58

2016 상반기 랜섬웨어 동향 안녕하세요 알약입니다. 올해 1월부터 현재까지 알약 PC버전의 행위기반 탐지기능을 통해 차단된 랜섬웨어 공격은 총 2,470,094건으로, 일 평균 약 13,723건, 매달 약 411,682건 이상의 랜섬웨어 공격을 차단한 수치입니다. 알약을 사용하지 않은 PC에 대한 공격시도까지 감안할 경우 올해 상반기 랜섬웨어의 공격확산이 매우 심각한 수준임을 알 수 있습니다. 2016년 상반기에는 Lechiffre, Locky, PETYA, CryptXXX 등 매월 새로운 형태의 신,변종 랜섬웨어가 꾸준히 출현하였으며, 이메일 첨부파일, 웹사이트 베너, 불법 TV다시보기 무료사이트 등이 주요 유포경로로 활용되었습니다. 특히 ‘Locky’ 및 ‘Cerber’ 랜섬웨어의 경우는 2016년..

이스트시큐리티 소식 2016. 6. 30. 10:16

새로운 'Bart'랜섬웨어 등장!Doh! New "Bart" Ransomware from Threat Actors Spreading Dridex and Locky 최근 새로운 랜섬웨어인 'Bart'랜섬웨어가 발견되었습니다. 이 랜섬웨어는 Locky와 Dridex의 제작자가 개발한 것으로 보이며, 랜섬머니로 $2000을 요구합니다. Bart랜섬웨어는 C&C서버에 연결 하기도 전에 사용자들의 파일을 암호화 시킵니다. 이 랜섬웨어는 지난주에 발견되었으며, 역시 자바스크립트 코드가 포함된 zip파일이 첨부된 스팸메일 형식으로 유포됩니다. Bart랜섬웨어는 영어, 이태리어, 프랑스어, 독일어를 지원하며, 러시아, 우크라이아, 벨라루스 사용자들을 피해를 입지 않도록 설계되었습니다. 현재까지는 대부분 미국 사용자들을..

국내외 보안동향 2016. 6. 28. 17:34

안녕하세요 알약입니다. 알약에서 CryptXXX 2.x 버전 복호화 툴을 개발하였습니다. CryptXXX 2.x버전은 dll형태로 유포되고 있으며, DLLMain이 구동되면서 추가적인 Export 함수가 실행되는 구조를 취하고 있습니다. 사용자 PC를 감염시킨 후 시스템에 존제하는 드라이브 문자열을 얻어와 DriveType을 얻어오며, 이동식 드라이브, HDD, SSD, 네트워크 드라이브라면 암호화의 대상이 됩니다. 랜섬웨어 제작자는 암호화 하고자 하는 파일의 크기가 13,631,488(0xD00000) 바이트를 넘을 경우 최대 13,631,488 바이트만 암호화 하고 나머지 부분은 암호화가 되지 않도록 해 두었습니다. 부분 암호화가 되더라도 파일의 구조가 손상되기 때문에 암호화가 된 것과 마찬가지이기 ..

이스트시큐리티 소식 2016. 6. 27. 14:53

또 다시 유포되는 Locky 랜섬웨어 주의! 안녕하세요 알약입니다. 올해 2월에 최초 등장한 후 3월부터 4월까지 유행하였던 Locky 랜섬웨어가 또 다시 대량유포되고 있습니다. Locky 랜섬웨어는 이메일 첨부파일 형태로 유입되고 있으며, js파일 형태를 띄고 있습니다. 사용자 여러분들께서는 모르는 발신인에게서 온 이메일에 포함된 첨부파일 실행을 지양해 주시기 바랍니다. 이번에 유포되고 있는 Locky 랜섬웨어 역시, 알약 랜섬웨어 차단기능으로 정상적으로 차단이 가능합니다. 다만, 알약에서 랜섬웨어가 파일을 암호화 시키는 것은 성공적으로 차단하지만, 랜섬웨어에 의하여 사용자 바탕화면 배경이 변경되어 당황하시는 분들도 있을 것으로 예상되는데요. 이런 상황이 만약 발생하신다면 사용자분들께서 다시 바탕화면 ..

악성코드 분석 리포트 2016. 6. 24. 11:04

랜덤으로 확장자 명을 바꾸는 CryptXXX 랜섬웨어 변종 주의! 안녕하세요 알약입니다. 지난 3일부터 7일까지 국내 대형 커뮤니티를 중심으로 피해가 속출했던 ’CryptXXX’ 랜섬웨어 변종이 또 다시 해외에서 등장하였습니다. 이번에 발견된 ‘CryptXXX’ 랜섬웨어도 기존과 마찬가지로 한국어를 포함해 25개국의 다국적 언어 서비스를 제공하고 있으며, 1.2 BTC 비트코인을 요구하고 있습니다. 22일 현재 1 BTC 비트코인 시세는 한화로 약 80만원 정도 거래되고 있어, 랜섬웨어에 감염되면 약 100만원 상당의 금액 요구를 받게 됩니다. 감염된 후 100시간 정도 후에는 2.4 BTC 비트코인으로 2배 증가합니다. 새롭게 등장한 ‘CryptXXX’ 변종은 Neutrino Exploit Kit을 통..

이스트시큐리티 소식 2016. 6. 22. 18:22

JavaScript 만 사용한 랜섬웨어 발견!Ransomware created using only JavaScript discovered 보안 연구진이 JavaScript 만을 사용해 제작된 새로운 랜섬웨어 RAA를 발견했습니다. JavaScript는 본래 고급 암호화 함수를 포함하고 있지 않지만, 해당 랜섬웨어는 CryptoJS library를 사용하여 AES암호화를 통해 파일을 암호화할 수 있습니다. Word 문서로 가장한 이메일 및 첨부파일을 통해 배포되며, mgJaXnwanxlS_doc_.js 같은 이름을 사용합니다. 파일이 실행되면, 악성코드는 컴퓨터를 암호화 해 복호화에 $250 (0.39BTC)를 요구합니다. 해당 코드는 Windows Script Host (WSH)로 실행되며, 이는 시스템..

국내외 보안동향 2016. 6. 17. 15:55

멀버타이징을 활용한 랜섬웨어 대량유포 주의! 안녕하세요최근 국내 대형 커뮤니티를 중심으로 'CryptXXX' 랜섬웨어 변종 유포가 급격히 증가했습니다. 이번에 유포된 'CryptXXX' 랜섬웨어는 다양한 변종이 꾸준히 제작되고 있으며, 현재는 한국어를 포함하여 약 25개국의 다국어 언어 서비스를 제공할 정도로 국제적 사이버 범죄 양상을 띄고 있습니다. 랜섬웨어 공격자들은 유포지를 쉽게 파악할 수 없도록 하는 동시에 보안이 취약한 광고 플랫폼을 경유하여 불특정 다수의 사용자를 대상으로 동시다발적 공격을 수행하는 '멀버타이징(Malvertising)'공격 기법을 이용하고 있습니다. 이 기법은 주로 광고를 보여주기 위해 사용되는 '플래시 플레이어' 등의 취약점을 이용합니다. 사용자가 취약한 버전의 플래시 플러..

국내외 보안동향 2016. 6. 10. 14:05