PETYA 랜섬웨어 언락(Unlocked)! 파일 해독에 필요한 패스워드 생성 가능해진다PETYA Ransomware Unlocked, You Can Now Recover Password Needed for Decryption PETYA 랜섬웨어에 감염된 사용자들에게 좋은 소식입니다. 두 명의 보안 연구원들이 PETYA 랜섬웨어로부터 암호화된 파일을 해독하는데 필요한 패스워드를 생성하는 온라인 서비스 및 데스크탑 툴을 제작 및 공개했습니다. 트위터에서 Leo Stone이란 필명으로 활동하는, 신원을 공개하지 않기를 바라는 이 연구원은 유전 알고리즘(genetic algorithm)을 통해 이 랜섬웨어를 해킹하는 방법을 발견해냈습니다. 또한 피해자들이 복호화 패스워드를 얻을 수 있는 웹사이트도 제작했습니다..

국내외 보안동향 2016. 7. 4. 17:10

부트 레코드를 암호화하여 PC 실행을 막는 Satana 랜섬웨어Satana Ransomware Encrypts Your Boot Record and Prevents Your PC from Starting 사용자의 마스터 부트 레코드(MBR)를 망가뜨리는 Petya 랜섬웨어와 클래식 랜섬웨어를 결합한 새로운 형태의 Satana 랜섬웨어가 등장했습니다. Satana 랜섬웨어는 다른 랜섬웨어 패밀리들이 사용하는 것과 동일한 방법으로 사용자의 파일을 암호화하며, 암호화시킨 파일 이름은 “email@domain.com___파일명.확장자”와 같이 변경합니다. 그리고 사용자 PC의 MBR 영역을 암호화시키며 자신의 것으로 대체 시켜버립니다. 이후 사용자가 컴퓨터를 부팅시키면 Satana의 MBR 부트 코드가 로드되며..

국내외 보안동향 2016. 7. 4. 14:58

ATM 악성코드 Skimmer 업데이트 버전 발견ATM infector 2009년, 사용자 PC를 감염시키지 않고 직접 ATM을 공격하는 Skimmer라는 악성코드가 최초로 발견되었습니다. 그리고 최근, Skimmer 악성코드의 업데이트 버전이 발견되었습니다. 공격자들은 분석가들의 분석을 어렵게 하기 의하여 패킹을 합니다. Skimmer 역시 Themida를 이용하여 패킹을 하였으며, infector과 dropper 역시 패킹을 하였습니다. 악성코드가 실행된 후에는 파일시스템이 FAT32인지 아닌지 확인을 합니다. 만약 FAT32 이라면 C:WindowsSystem32 경로 하위에 netmgr.dll파일을 드랍합니다. 만약 NTFS 라면 XFS서비스의 실행가능파일의 NTFS 데이터스트림 중 동일한 파일을..

국내외 보안동향 2016. 6. 16. 09:24

멀티 플랫폼에서 동작하는 키로거 PWOBot 발견!Newly discovered PWOBot malware is a total keylogger 최근 보안연구원들은 멀티 플랫폼에서 동작하는 PWOBot 악성코드를 발견하였습니다. 이 악성코드는 Windows, Linux, OS X등 다양한 플랫폼에서 동작하는 악성코드로, Python으로 제작되었습니다. Palo Alto Networks 연구결과에 따르면, 현재까지 이 악성코드는 폴란드의 Windows OS 시스템에 대규모로 퍼져있으며, 전 세계적으로 유포되어 실행될 가능성도 있다고 밝혔습니다. Palo Alto Networks의 Josh Grunzweig 보안연구원은 "이 악성코드는 이미 유럽, 특히 폴란드 조직들에 영향을 미치고 있습니다. 이 악성코드는..

국내외 보안동향 2016. 4. 25. 11:11

토렌트 웹사이트, 한 달에 1,200만 사용자 악성코드 감염 시켜Torrent websites infect 12 million users a month with malware 미국에서만 한 달에 1,200만 사용자가 불법 파일들을 다운로드 하는 토렌트 링크를 통해 악성코드에 감염되었으며, 해커들은 이를 통해 7천만 달러 이상을 벌어들였다는 사실이 조사를 통해 밝혀졌습니다. Digital Citizens Alliance 및 RiskIQ사의 연구 결과, 2015년 6월부터 8월까지 800개 유명 토렌트 사이트에서 악성 광고 및 다운로드를 통해 악성코드가 유포되었습니다. 이른바 “악성 광고”를 통해 해커들은 일반 웹사이트뿐만 아니라 토렌트 검색 사이트에서도 익스플로잇, RAT, 애드웨어, 랜섬웨어 및 봇넷 등..

국내외 보안동향 2015. 12. 16. 10:08

‘vvv랜섬웨어’, 감염경로는 ‘스팸’과 ‘취약성 공격사이트’「vvvランサムウェア」、感染経路は「スパム」と「脆弱性攻撃サイト」 최근 일본 SNS에서 이슈가 되었던 'vvv랜섬웨어'에 관하여 트렌드 마이크로에서 조사 결과를 발표하였습니다. (▶ 'vvv랜섬웨어' 자세히 보기) 트렌드 마이크로 조사에 따르면, 이번 vvv랜섬웨어의 주된 감염경로는 '스팸메일'과 '취약한 웹사이트'라고 하였습니다. 처음에 트렌드마이크로는 이번 vvv악성코드가 다른 악성코드와 비교하였을 때 특별하게 확산범위나 피해가 크지 않으며, 일본 내에서의 피해도 한정적이라는 견해를 12월 7일날 밝혔지만, 일본 내 관심이 높은 화제라서 조사를 진행했다고 하였습니다. 이번 일본에서 이슈된 vvv랜섬웨어는 사용자 PC에 있는 문서들을 암호화 하고..

국내외 보안동향 2015. 12. 10. 14:10

HWP 2014 취약점 공격주의 한컴오피스2014 제품의 문서파일(HWP) 취약점(CVE-2015-6585)을 이용한 악성파일이 지속적으로 발견되고 있어, 해당 제품 이용자들의 각별한 주의가 필요합니다. 이 보안 취약점은 2015년 09월 07일 한글과컴퓨터 업체에서 제공한 보안업데이트를 통해 취약점을 제거할 수 있습니다. HWP 2014 취약점 공격절차 이번 공격은 한컴 오피스 2014 제품을 설치한 특정 환경에서 취약점이 작동하며, 8월 전후부터 보안 업데이트가 완료된 9월 초까지 Zero-Day 공격으로 활용됐습니다. 또한, 한글 2014 환경설정에 존재하는 “악성코드 차단” 동작 기능 설정과는 무관하게 취약점이 작동합니다. 유포과정 공격자는 취약점 모듈을 삽입한 HWP(X) 문서파일을 첨부해 특정..

국내외 보안동향 2015. 10. 6. 14:20

JR홋카이도에서 업무용PC 7대가 바이러스감염, 표적형 메일 ’Emdivi’ 개봉으로JR北海道で業務用PC7台がウイルス感染、標的型メール「Emdivi」開封で 홋카이도여객철도(JR홋카이도)는 2015년8월28일, 업무용PC가 표적형 메일에 의한 사이버공격을 받아서 7대가 악성코드(바이러스)에 감염된 사실을 발표했습니다. 피해 확산을 막기 위해서 8월31일 시점에서 사내에서 외부로의 인터넷접속 제한을 시행중이라고 합니다. 현 시점에서는 개인정보가 유출된 흔적은 없다고 발표했으며, 열차운행에 관한 시스템에 영향은 전혀 없다고 합니다. JR홋카이도의 설명에 따르면 8월11일에 어느 부서의 사원 2명앞으로 외부에서 표적형 메일이 도착했는데, 그 중 1명이 첨부파일을 열어서 PC가 악성코드에 감염되었다고 합니다. 상세..

국내외 보안동향 2015. 9. 2. 08:30