‘vvv랜섬웨어’, 감염경로는 ‘스팸’과 ‘취약성 공격사이트’「vvvランサムウェア」、感染経路は「スパム」と「脆弱性攻撃サイト」 최근 일본 SNS에서 이슈가 되었던 'vvv랜섬웨어'에 관하여 트렌드 마이크로에서 조사 결과를 발표하였습니다. (▶ 'vvv랜섬웨어' 자세히 보기) 트렌드 마이크로 조사에 따르면, 이번 vvv랜섬웨어의 주된 감염경로는 '스팸메일'과 '취약한 웹사이트'라고 하였습니다. 처음에 트렌드마이크로는 이번 vvv악성코드가 다른 악성코드와 비교하였을 때 특별하게 확산범위나 피해가 크지 않으며, 일본 내에서의 피해도 한정적이라는 견해를 12월 7일날 밝혔지만, 일본 내 관심이 높은 화제라서 조사를 진행했다고 하였습니다. 이번 일본에서 이슈된 vvv랜섬웨어는 사용자 PC에 있는 문서들을 암호화 하고..

국내외 보안동향 2015. 12. 10. 14:10

일본, .vvv 확장자로 암호화 시키는 랜섬웨어 발견「.vvv」ウイルスの被害と対策。強制暗号＝ランサムウェアが、サイト表示＝広告だけで感染してしまう 최근 일본에서 파일들을 .vvv 확장자로 변환시키는 랜섬웨어가 발견되고 있습니다. 12월 5일부터, 일본의 SNS에서는, .vvv 확장자로 변환시키는 랜섬웨어에 감염되었다는 글들이 속속 올라왔으며, Malvertising형태로 유포되고 있다고 주장하였습니다. * MalvertisingMalware + Advertising의 줄임말로, 광고서버가 해킹되어 드라이브 바이 다운로드 형태로 사용자들에게 유포되는 것 감염된 일본 사용자들에 따르면, 해당 랜섬웨어에 감염 후 감염 PC에 존재하는 특정 확장자 파일들을 .vvv 확장자로 암호화 시킬 뿐만 아니라, Windows ..

국내외 보안동향 2015. 12. 8. 13:00

랜섬웨어 방어 기능을 우회하는 Cryptowall 포착 최근 안티랜섬웨어 솔루션 및 실시간 파일백업 솔루션을 우회하는 변종 Cryptowall 랜섬웨어가 확인되었습니다. 해당 Cryptowall의 경우 Angler Exploit Kit을 활용하여 유포되고 있는 것은 기존과 유사하나, 이전 Cryptowall과 다르게 안티랜섬웨어 기능을 우회할 수 있도록 암호화하는 동작방식을 일부 변경하였습니다. 파일이 변경되는 부분을 감지하여 랜섬웨어의 공격을 차단하고 파일을 실시간으로 백업하는 기능을 가진 몇몇 안티랜섬웨어 솔루션의 감시를 회피하기 위해, 새로 발견된 랜섬웨어는 일단 기존 사용자PC에 존재하는 파일에 대한 파일명을 한번 변경한 후에 암호화를 진행하고 있습니다. 좀 더 자세히 설명해드리면 다음과 같습니다..

국내외 보안동향 2015. 11. 25. 11:30

리눅스 랜섬웨어의 데뷔가 추측 가능한 암호화 키 때문에 실패로 끝나다Linux Ransomware Debut Fails on Predictable Encryption Key 리눅스 랜섬웨어(Linux Ransomware)의 AES키는 희생양의 로컬 컴퓨터에서 생성됩니다. 비트디펜더 연구원들은 키와 초기화 벡터(IV)가 어떻게 생성되는지 Linux.Encoder.1의 샘플을 리버스엔지니어링하여 확인해 보았습니다. 그리고 이들은 시큐어 랜덤 키 및 초기화 벡터를 생성하는 것 보다, 암호화 당시 libc rand() 함수의 시드인 현 시스템의 타임 스탬프를 이용해 이 두 가지 정보 (랜덤키, IV)를 추측해 내는 편이 낫다는 사실을 깨닫게 되었습니다. 이 정보는 파일의 타임스탬프를 통해 쉽게 얻어낼 수 있습니..

국내외 보안동향 2015. 11. 11. 18:04

최근 CryptoWall, Crypt0L0cker 등 다양한 랜섬웨어가 등장하고 있습니다. 랜섬웨어란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/217 Crypt0L0cker란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/305 CryptoWall이란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/455 그중 얼마전 새롭게 등장한 Chimera(이하 키메라)라고 하는 랜섬웨어에 대해 간단하게 살펴보겠습니다. 키메라 랜섬웨어는 지금까지 확인된 것으로는 2015년 9월말경부터 발견되기 시작했으며, 랜섬메시지에서 피해자의 PC에 저장된 사진과 비디오파일을 가져간다는 추가협박을 하는 랜섬웨어입니다. (수집된 샘플로 분석한 결과, 실제로 랜섬웨어에 감염된..

국내외 보안동향 2015. 11. 10. 08:30

안전한 인터넷환경을 위한 프로젝트(?)라는 내용과 함께 크립토월 4.0 재등장CryptoWall 4.0 returns to the wild, posing as good guy 악명 높은 CryptoWall 랜섬웨어 패밀리가 돌아왔습니다. 이들은 데이터를 보호하기 위한 안티 바이러스 솔루션이 “적절한지” 테스트해보겠다는 이유를 들어 파일을 암호화 시킵니다. CryptoWall은 다음과 같이 말합니다."CryptoWall 프로젝트는 악의적이지 않으며, 사람들이나 그들의 데이터에게 해를 입히기 위해 만들어진 것이 아니다. 이 프로젝트는 정보 보안 분야에 교훈을 주고, 안티바이러스 제품들이 적절히 데이터를 보호하는지 증명해내기 위해 실시되었다. 모두 함께 더욱 좋은, 안전한 인터넷 환경을 만들기 위함이다." 악..

국내외 보안동향 2015. 11. 6. 17:12

CoinVault와 Bitcryptor 랜섬웨어에 감염되었을 경우 복구방법 일부 랜섬웨어에 감염되었을 경우 복구가 가능한 방법이 공개되어 소개드립니다. 카스퍼스키랩과 네덜란드 검찰이 CoinVault와 Bitcryptor 랜섬웨어가 사용한 C&C 서버에서 암호화 키의 마지막 세트를 습득하여 공개했습니다. CoinVault는 2014년 11월 처음 탐지 되었고, 이는 108개국에 1,500명 이상의 희생양을 만든 랜섬웨어입니다. 2015년 4월, 네덜란드 경찰은 복호화 키 데이터베이스를 압수한 CoinVault의 C&C 서버에서 얻어내는데 성공했으며, 이 때 발견한 복호화 키를 이용하여 랜섬웨어 복호화 서비스를 만들었습니다. 이 랜섬웨어 복호화 서비스는 네덜란드에 위치한 CoinVault 서버에서 복구한 ..

국내외 보안동향 2015. 11. 2. 15:04

한글로 감염메시지를 보여주는 Crypt0L0cker 랜섬웨어 또다시 유포중! 감염되면 한글로 감염되었다는 내용과 함께 비트코인을 요구하는 Crypt0L0cker 랜섬웨어가 또다시 등장했습니다. 랜섬웨어란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/217 Cyrpt0L0cker란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/305 지난 주말부터 피해가 보고되고 있는 해당 랜섬웨어의 경우, 일단 감염되었을 경우 아래와 같은 한글로 제작된 화면을 띄우게 됩니다. 이전에 발견되었던 Crypt0L0cker와 거의 동일한 형태입니다. 암호화된 파일을 원래대로 되돌리기 위해서 해독프로그램을 구입하라는 메시지를 띄웁니다. 랜섬웨어 제작자는 시한을 정해두고, 이 시한까지 금액을 ..

국내외 보안동향 2015. 10. 29. 10:30