Locky 랜섬웨어에 대하여 알아보자! Locky 랜섬웨어란? Locky 랜섬웨어는 파일들을 암호화 한 후 .locky 확장자 명으로 바꿔 Locky 랜섬웨어라 명명되었습니다. Locky 랜섬웨어는 2월 중순에 처음 등장하였으며, 국내에서도 활개를 치고 있습니다. 주로 이메일 첨부파일 형태로 유포되며 초반에는 악성 매크로가 포함된 워드 문서로 유포되었지만, 최근에는 JS파일을 위장하여 유포되고 있는 경우가 훨씬 더 많이 발견되고 있습니다. 해당 JS 파일을 클릭하게 되면, 공격자가 미리 설정해 둔 사이트에 접속하여 Locky 랜섬웨어를 내려받고 실행시킵니다. Locky 랜섬웨어는 로컬 파일뿐만 아니라 네트워크 공유 폴더의 파일들도 RSA-2014, AES-128 알고리즘으로 암호화 하며, 암호화 한 파일..

안전한 PC&모바일 세상/PC&모바일 TIP 2016. 4. 5. 09:32

KimcilWare 랜섬웨어의 새로운 타깃이 된 MagentoMagento becomes fresh target for KimcilWare ransomware Magento를 사용하는 웹 관리자들은 KimcilWare 랜섬웨어를 주의해야 합니다. Magento는 전 세계 20만개 이상의 기업에서 사용하는 전자결제 시스템으로, 다양한 웹 사이트들의 시스템 및 기능 백엔드를 제공합니다. 하지만 공격자가 웹 도메인의 서버단의 권한을 탈취할 경우, 중요데이터들을 탈취하고 DB에 침투하여 웹 사이트를 하이재킹 할 가능성도 있습니다. 전자결제의 경우, 금융 정보가 포함되어 있기 때문에 그 영향이 더 심각할 것입니다. 최근 KimcilWare라고 불리는 랜섬웨어가 Magento의 전자결제 플랫폼을 지원하는 웹 사이트..

국내외 보안동향 2016. 4. 1. 13:09

똑똑한 PowerWare 랜섬웨어, 해킹공격에 PowerShell 사용Smart PowerWare Ransomware Uses PowerShell for the Dirty Work Windows PowerShell로 작성된 새로운 랜섬웨어가 기업들, 특히 의료 기관들을 노리고 있습니다. 해당 랜섬웨어는 악성 매크로를 포함한 워드 문서가 인보이스로 위장하여 피싱 이메일을 통해 유포됩니다. Carbon Black에 따르면, PowerWare은 Microsft의 Word와 MS OS의 스크립트 언어인 PowerShell을 이용한다고 합니다. 기존의 랜섬웨어 변종은 시스탬 내 새로운 악성 파일을 설치하는데, 이는 안티바이러스에 탐지될 확률이 높습니다. PowerWare은 Windows 시스템의 핵심 유틸리티 중..

국내외 보안동향 2016. 3. 31. 16:02

MBR영역을 변조하는 'PETYA' 랜섬웨어 등장 지난 금요일(3/25)부터 MBR(Master Boot Record)영역을 변조하여 아스키코드로 제작한 해골화면을 띄우고, 랜섬웨어에 감염되었다는 랜섬메시지를 띄우는 'PETYA' 랜섬웨어가 발견되어 주의가 필요합니다. 주로 이메일 첨부파일을 통해 드롭박스를 경유하여 랜섬웨어가 유입되는 형태를 띄고 있으며, 일단 감염되면 MBR영역이 변조되기 때문에 재부팅 이후에도 정상적으로 윈도우OS 부팅이 불가능합니다. (감염되면 몇분 이내로 시스템이 강제 재부팅됩니다.) 해골 이미지가 뜬 이후, 감염된 PC의 사용자가 아무키나 입력하면 아래의 랜섬 메시지가 뜨게 됩니다. 랜섬메시지에서는 토르브라우저를 이용한 특정URL접속을 유도하는 데, 해당 주소로 실제 접근하게 ..

악성코드 분석 리포트 2016. 3. 28. 11:18

TeslaCrypt 4.0: 더 강해지고 복호화가 불가능해져TeslaCrypt 4.0: Bigger, Badder and Unbreakable TeslaCrypt라고 알려진 랜섬웨어가 복호화가 불가능한 암호화로 코드를 업그레이드 하였습니다. TeslaCrypt 랜섬웨어는 초기에는 특정 컴퓨터 게임이 설치된 PC만을 타겟으로 했지만, 지금은 그 범위를 확대하였습니다. 업그레이드 된 TeslaCrypt 4.0은 RSA 4096을 이용해 데이터를 암호화 하며, TeslaCrypt 랜섬웨어로 암호화 된 파일들을 복구할 수 있는 TeslaDecoder 역시 TeslaCrypt 4.0에는 소용이 없습니다. 또한 4GB 이상 파일 암호화 과정에서 파일을 손상시켰던 버그도 수정하였습니다. TeslaCrypt 4.0은 ..

국내외 보안동향 2016. 3. 21. 10:50

교육용 암호화 툴 EDA2를 악용하여 만든 랜섬웨어의 복호화키 공개Blundering ransomware uses backdoored crypto, unlock keys spewed 여러 랜섬웨어를 제작하는데 악용된 암호화 코드 EDA2를 개발한 소프트웨어 개발자가 랜섬웨어의 복호화 키를 공개하였습니다. * EDA2란 교육용으로 만들어진 랜섬웨어 오픈소스로, 이전에도 랜섬웨어 제작자들에게 악용된 사례가 있었습니다. (▶ 사례보러가기) 이름이 따로 붙여지지 않은 일부 랜섬웨어들이 EDA2를 기반으로 제작되어 유포되었는데, 이들은 AES 알고리즘을 이용하여 윈도우 OS 기반의 사용자 PC 내 파일들을 암호화 시킵니다. 암호화 된 파일들의 확장자는 .locked이며, 복호화를 위한 랜섬머니 0.5BTC($21..

국내외 보안동향 2016. 3. 17. 17:18

Mac 랜섬웨어인 KeRanger는 Linux.Encoder의 변종이었다!KeRanger Is Actually A Rewrite of Linux.Encoder 비트디펜더는 첫번째 Mac OS X의 랜섬웨어인 KeRanger랜섬웨어가 Linux.Encoder 랜섬웨어의 변종이라고 밝혔습니다. KeRanger 랜섬웨어에 감염된 Mac OS XBT 클라이언트를 분석해 본 결과, 4세대 Linux.Encoder와 매우 유사한 것을 확인하였습니다. Linux.Encoder 랜섬웨어는 2016년에 들어서 이미 몇천대의 Linux 서버를 감염시켰습니다. Mac OS X Mountain Lion에는 Gatekeeper라는 보안 툴을 탑재하고 있습니다. 이 툴은 사용자가 출처가 불분명한 인스톨 파일들을 설치하는 것을 제..

국내외 보안동향 2016. 3. 15. 10:14

가짜 Visa 카드 이벤트로 위장한 스팸, TeslaCrypt 랜섬웨어로 이어져Spam offering fake Visa benefits, rewards leads to TeslaCrypt ransomware 최근 Visa Total Reward 이메일로 위장한 스팸메일을 통하여 랜섬웨어가 유포되어 주의가 요구됩니다. 이메일에는 Visa 리워드 및 혜택에 대한 정보가 담겨 있는 브로슈어로 위장한 압축파일이 첨부되어 있으며, 수신자가 이 파일을 열면 난독화 된 자바스크립트 파일이 보여지게 됩니다. 이 자바스크립트 파일을 열면, 스크립트는 TeslaCrypt 랜섬웨어의 변종을 다운로드 한 후 실행합니다. 실행 후 몇분 후에 모든 파일이 암호화 되었다는 메세지와 함께 비트코인 지불을 요구합니다. 이 랜섬웨어는..

국내외 보안동향 2016. 3. 4. 09:00