MBR영역을 변조하는 'PETYA' 랜섬웨어 등장 지난 금요일(3/25)부터 MBR(Master Boot Record)영역을 변조하여 아스키코드로 제작한 해골화면을 띄우고, 랜섬웨어에 감염되었다는 랜섬메시지를 띄우는 'PETYA' 랜섬웨어가 발견되어 주의가 필요합니다. 주로 이메일 첨부파일을 통해 드롭박스를 경유하여 랜섬웨어가 유입되는 형태를 띄고 있으며, 일단 감염되면 MBR영역이 변조되기 때문에 재부팅 이후에도 정상적으로 윈도우OS 부팅이 불가능합니다. (감염되면 몇분 이내로 시스템이 강제 재부팅됩니다.) 해골 이미지가 뜬 이후, 감염된 PC의 사용자가 아무키나 입력하면 아래의 랜섬 메시지가 뜨게 됩니다. 랜섬메시지에서는 토르브라우저를 이용한 특정URL접속을 유도하는 데, 해당 주소로 실제 접근하게 ..

악성코드 분석 리포트 2016. 3. 28. 11:18

TeslaCrypt 4.0: 더 강해지고 복호화가 불가능해져TeslaCrypt 4.0: Bigger, Badder and Unbreakable TeslaCrypt라고 알려진 랜섬웨어가 복호화가 불가능한 암호화로 코드를 업그레이드 하였습니다. TeslaCrypt 랜섬웨어는 초기에는 특정 컴퓨터 게임이 설치된 PC만을 타겟으로 했지만, 지금은 그 범위를 확대하였습니다. 업그레이드 된 TeslaCrypt 4.0은 RSA 4096을 이용해 데이터를 암호화 하며, TeslaCrypt 랜섬웨어로 암호화 된 파일들을 복구할 수 있는 TeslaDecoder 역시 TeslaCrypt 4.0에는 소용이 없습니다. 또한 4GB 이상 파일 암호화 과정에서 파일을 손상시켰던 버그도 수정하였습니다. TeslaCrypt 4.0은 ..

국내외 보안동향 2016. 3. 21. 10:50

교육용 암호화 툴 EDA2를 악용하여 만든 랜섬웨어의 복호화키 공개Blundering ransomware uses backdoored crypto, unlock keys spewed 여러 랜섬웨어를 제작하는데 악용된 암호화 코드 EDA2를 개발한 소프트웨어 개발자가 랜섬웨어의 복호화 키를 공개하였습니다. * EDA2란 교육용으로 만들어진 랜섬웨어 오픈소스로, 이전에도 랜섬웨어 제작자들에게 악용된 사례가 있었습니다. (▶ 사례보러가기) 이름이 따로 붙여지지 않은 일부 랜섬웨어들이 EDA2를 기반으로 제작되어 유포되었는데, 이들은 AES 알고리즘을 이용하여 윈도우 OS 기반의 사용자 PC 내 파일들을 암호화 시킵니다. 암호화 된 파일들의 확장자는 .locked이며, 복호화를 위한 랜섬머니 0.5BTC($21..

국내외 보안동향 2016. 3. 17. 17:18

Mac 랜섬웨어인 KeRanger는 Linux.Encoder의 변종이었다!KeRanger Is Actually A Rewrite of Linux.Encoder 비트디펜더는 첫번째 Mac OS X의 랜섬웨어인 KeRanger랜섬웨어가 Linux.Encoder 랜섬웨어의 변종이라고 밝혔습니다. KeRanger 랜섬웨어에 감염된 Mac OS XBT 클라이언트를 분석해 본 결과, 4세대 Linux.Encoder와 매우 유사한 것을 확인하였습니다. Linux.Encoder 랜섬웨어는 2016년에 들어서 이미 몇천대의 Linux 서버를 감염시켰습니다. Mac OS X Mountain Lion에는 Gatekeeper라는 보안 툴을 탑재하고 있습니다. 이 툴은 사용자가 출처가 불분명한 인스톨 파일들을 설치하는 것을 제..

국내외 보안동향 2016. 3. 15. 10:14

가짜 Visa 카드 이벤트로 위장한 스팸, TeslaCrypt 랜섬웨어로 이어져Spam offering fake Visa benefits, rewards leads to TeslaCrypt ransomware 최근 Visa Total Reward 이메일로 위장한 스팸메일을 통하여 랜섬웨어가 유포되어 주의가 요구됩니다. 이메일에는 Visa 리워드 및 혜택에 대한 정보가 담겨 있는 브로슈어로 위장한 압축파일이 첨부되어 있으며, 수신자가 이 파일을 열면 난독화 된 자바스크립트 파일이 보여지게 됩니다. 이 자바스크립트 파일을 열면, 스크립트는 TeslaCrypt 랜섬웨어의 변종을 다운로드 한 후 실행합니다. 실행 후 몇분 후에 모든 파일이 암호화 되었다는 메세지와 함께 비트코인 지불을 요구합니다. 이 랜섬웨어는..

국내외 보안동향 2016. 3. 4. 09:00

CTB-Locker 랜섬웨어 수천개의 웹서버들 감염시켜 CTB-Locker 패밀리의 랜섬웨어가 '웹사이트'들을 감염시키기 위하여 업데이트 되었습니다. "CTB-Locker for Websites"라 명명된 이 랜섬웨어는 웹 사이트의 데이터를 암호화 하며, 0.4 비트코인을 지불하면 복호화 해줍니다. 이 랜섬웨어는 웹사이트를 실제로 훼손하여 관리자에게 랜섬머니를 지불하도록 만드는 첫번째 랜섬웨어이며, 복호화 키가 실제로 동작한다는 것을 증명하기 위하여 관리자에게 2개의 파일을 무료로 복호화 할 수 있도록 해줍니다. CTB-Locker for Websites 랜섬웨어 동작방식 CTB-Locker 랜섬웨어는 웹사이트를 호스팅 하는 서버의 인덱스페이지(index.php 또는 index.html)를 공격자가 만든..

국내외 보안동향 2016. 3. 3. 09:00

TeslaCrypt 랜섬웨어 캠페인, 미국 우편 서비스(USPS)로 위장해TeslaCrypt Posing as USPS in Ransomware Campaign AppRiver가 TeslaCrypt 랜섬웨어 캠페인이 미국 우편 서비스(USPS)로 위장하고 있다고 주의를 당부하였습니다. TeslaCrypt는 USPS와 동일한 그래픽과 색상을 사용하여 ‘배달이 실패하였다’는 메시지와 함께 대금 영수증으로 위장한 파일을 첨부한 이메일을 보내 유저들을 속이고 zip 파일을 열어보게 만듭니다. 압축 된 zip 파일은 다운로더의 역할을 하는 악성 자바스크립트이며,파일명은 USPS_delivery_invoice.zip이며, 자바스크립트 파일은 invoice_[랜덤 스트링].js, invoice_copy_[랜덤 스트링..

국내외 보안동향 2016. 2. 29. 09:00

모바일 기기에서 직접 생성 되는 안드로이드 랜섬웨어 변종Android ransomware variants created directly on mobile devices 보안연구원들이 AIDE(Android Integrated Development Environment)를 이용하여 안드로이드 기기에서 개발된 이미 알려진 랜섬웨어 패밀리인 Android.Lockdroid.E의 변종을 발견하였습니다. 현재까지 이 새로운 개발 기술은 적은 수의 안드로이드 랜섬웨어 그룹에만 국한되어 왔지만, 모바일 기기에서 랜섬웨어를 생성하는 기능이 랜섬웨어 제작의 새로운 길을 열어줄 것으로 보입니다. 신속한 어플리케이션 개발RAD 랜섬웨어들은 RAD(Rapid Application development) 모델을 사용하여 개발됩..

국내외 보안동향 2016. 2. 25. 09:00