CryptXXX V.3 파일의 잠금을 해제하는 새로운 복호화 툴 개발돼NEW DECRYPTOR UNLOCKS CRYPTXXX V3 FILES CryptXXX v.3 랜섬웨어의 가장 최신 버전으로 암호화된 파일들을 위한 복호화 툴이 개발돼 RannohDecryptor에 추가되었습니다. 이 툴은 Kaspersky Lab의 No Ransom Project가 제공하는 무료 툴입니다. 이전 버전은 CryptXXX v.3으로 암호화된 파일들 중 일부분만 복호화가 가능했으나, 최신 버전은 이 랜섬웨어로 암호화된 모든 파일을 복호화할 수 있습니다. CryptXXX는 암호화 한 파일에 .crypt, .cryp1, .crypz 확장자를 사용합니다. 해당 복호화 툴은 여기에서 다운로드 할 수 있습니다. 출처 :https:/..

국내외 보안동향 2016. 12. 23. 15:07

Trojan.Ransom.CryptXXX 현충일 연휴를 포함해 지난 6월 3일 금요일부터 6월 7일 화요일까지, 국내에서는 대형 휴대폰 커뮤니티 사이트를통하여 랜섬웨어가 유포되어 많은 이용자들이 피해를 호소했습니다. 이번에 유포된 랜섬웨어는 올해 4월 발견된 CryptXXX의 변종으로, 사용자 파일들을 “.cryp1” 확장자로 암호화 시키며, “Angler Exploit Kit”을 통하여 유포되기 때문에 이런 이름이 붙었습니다. CryptXXX 악성코드는 꾸준하게 다양한 변종이 제작되고 있고, 한국어를 포함해 25개국 언어 서비스를 제공할 정도로국제적인 특성을 갖고 있습니다. 또 유포지를 쉽게 파악하지 못하도록 하면서, 동시에 보안이 취약한 광고 플랫폼을경유하여 불특정 다수 이용자를 대상으로 공격하는 “..

악성코드 분석 리포트 2016. 7. 25. 16:12

SoakSoak 봇넷, Neutrino 익스플로잇 키트와 CryptXXX 랜섬웨어 배포해SOAKSOAK BOTNET PUSHING NEUTRINO EXPLOIT KIT AND CRYPTXXX RANSOMWARE 해킹된 기업 웹사이트들을 통해 CryptXXX 랜섬웨어가 배포되고 있습니다. 웹사이트들은 Neutrino 익스플로잇 키트로 연결되도록 조작되어 있습니다. Invincea가 발행한 보고서에 따르면, 공격자들은 Revslider 슬라이드쇼 플러그인을 사용하는 워드프레스 웹사이트들을 노리고 있습니다. Invincea의 보안 연구 부문 디렉터인 Pat Belcher는 해당 공격은 2014년부터 시작됐으며, 웹사이트의 취약점을 자동으로 스캔하는 것으로 알려진 SoakSoak 봇넷이 공격의 배후에 있다고 밝..

국내외 보안동향 2016. 7. 25. 14:57

CryptXXX 개발자, 일부 랜섬웨어 버전에 무료 복호화 키 제공CryptXXX Devs Provide Free Decryption Keys for Some Ransomware Versions CryptXXX 랜섬웨어에 의해 데이터가 암호화된 사용자들에게 희소식이 있습니다. CryptXXX 랜섬웨어 Tor 기반의 지불 사이트에 방문한 사용자들이 그들의 ID로 로그인하자, 복호화 안내를 받는 대신 실제 복호화 키를 무료로 받았습니다. 그들은 로그인 외에 특정한 조치를 취하지 않았습니다. 이는 모든 사용자를 대상으로 한 것이 아니라, 파일에 .crypz와 .cryp1 확장자가 붙은 채로 암호화하는 CryptXXX 랜섬웨어 변종에 걸린 사용자들에게만 해당됩니다. 지난 5월, TeslaCrypt 랜섬웨어의 배..

국내외 보안동향 2016. 7. 15. 14:10

2016 상반기 랜섬웨어 동향 안녕하세요 알약입니다. 올해 1월부터 현재까지 알약 PC버전의 행위기반 탐지기능을 통해 차단된 랜섬웨어 공격은 총 2,470,094건으로, 일 평균 약 13,723건, 매달 약 411,682건 이상의 랜섬웨어 공격을 차단한 수치입니다. 알약을 사용하지 않은 PC에 대한 공격시도까지 감안할 경우 올해 상반기 랜섬웨어의 공격확산이 매우 심각한 수준임을 알 수 있습니다. 2016년 상반기에는 Lechiffre, Locky, PETYA, CryptXXX 등 매월 새로운 형태의 신,변종 랜섬웨어가 꾸준히 출현하였으며, 이메일 첨부파일, 웹사이트 베너, 불법 TV다시보기 무료사이트 등이 주요 유포경로로 활용되었습니다. 특히 ‘Locky’ 및 ‘Cerber’ 랜섬웨어의 경우는 2016년..

이스트시큐리티 소식 2016. 6. 30. 10:16

안녕하세요 알약입니다. 알약에서 CryptXXX 2.x 버전 복호화 툴을 개발하였습니다. CryptXXX 2.x버전은 dll형태로 유포되고 있으며, DLLMain이 구동되면서 추가적인 Export 함수가 실행되는 구조를 취하고 있습니다. 사용자 PC를 감염시킨 후 시스템에 존제하는 드라이브 문자열을 얻어와 DriveType을 얻어오며, 이동식 드라이브, HDD, SSD, 네트워크 드라이브라면 암호화의 대상이 됩니다. 랜섬웨어 제작자는 암호화 하고자 하는 파일의 크기가 13,631,488(0xD00000) 바이트를 넘을 경우 최대 13,631,488 바이트만 암호화 하고 나머지 부분은 암호화가 되지 않도록 해 두었습니다. 부분 암호화가 되더라도 파일의 구조가 손상되기 때문에 암호화가 된 것과 마찬가지이기 ..

이스트시큐리티 소식 2016. 6. 27. 14:53

랜덤으로 확장자 명을 바꾸는 CryptXXX 랜섬웨어 변종 주의! 안녕하세요 알약입니다. 지난 3일부터 7일까지 국내 대형 커뮤니티를 중심으로 피해가 속출했던 ’CryptXXX’ 랜섬웨어 변종이 또 다시 해외에서 등장하였습니다. 이번에 발견된 ‘CryptXXX’ 랜섬웨어도 기존과 마찬가지로 한국어를 포함해 25개국의 다국적 언어 서비스를 제공하고 있으며, 1.2 BTC 비트코인을 요구하고 있습니다. 22일 현재 1 BTC 비트코인 시세는 한화로 약 80만원 정도 거래되고 있어, 랜섬웨어에 감염되면 약 100만원 상당의 금액 요구를 받게 됩니다. 감염된 후 100시간 정도 후에는 2.4 BTC 비트코인으로 2배 증가합니다. 새롭게 등장한 ‘CryptXXX’ 변종은 Neutrino Exploit Kit을 통..

이스트시큐리티 소식 2016. 6. 22. 18:22

멀버타이징을 활용한 랜섬웨어 대량유포 주의! 안녕하세요최근 국내 대형 커뮤니티를 중심으로 'CryptXXX' 랜섬웨어 변종 유포가 급격히 증가했습니다. 이번에 유포된 'CryptXXX' 랜섬웨어는 다양한 변종이 꾸준히 제작되고 있으며, 현재는 한국어를 포함하여 약 25개국의 다국어 언어 서비스를 제공할 정도로 국제적 사이버 범죄 양상을 띄고 있습니다. 랜섬웨어 공격자들은 유포지를 쉽게 파악할 수 없도록 하는 동시에 보안이 취약한 광고 플랫폼을 경유하여 불특정 다수의 사용자를 대상으로 동시다발적 공격을 수행하는 '멀버타이징(Malvertising)'공격 기법을 이용하고 있습니다. 이 기법은 주로 광고를 보여주기 위해 사용되는 '플래시 플레이어' 등의 취약점을 이용합니다. 사용자가 취약한 버전의 플래시 플러..

국내외 보안동향 2016. 6. 10. 14:05