Researchers: LockerGoga coding error can be exploited to prevent malicious encryption 2019년 초 제조업계를 노린 LockerGoga 랜섬웨어에서 코딩 에러가 발견되었습니다. 연구원들은 이를 이용하면 파일 암호화를 멈출 수 있을 것이라 밝혔습니다. ※ 관련글 보러가기 ▶ Altran 공격에 사용된 것으로 추정되는 LockerGoga 랜섬웨어 발견 위협 관리 회사인 Alert Logic는 블로그 포스팅을 통해 해당 악성코드가 .Ink 파일 확장자를 처리하는 방식에서 문제를 발견했습니다. 연구원들에 따르면, LockerGoga 랜섬웨어는 손상된 기기에 어떤 파일들이 있는지 확인하기 위해 시스템을 스캔합니다. 시스템을 스캔하는 중에 Lock..

국내외 보안동향 2019. 3. 27. 10:52

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 25일) 오후, ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 해당 메일은 아래 그림과 같이 내용이 깨진 상태로 유포되었으나, 1시간 뒤에 제대로 된 내용의 메일을 재유포 하였습니다. [그림 1] 본문 내용이 깨진 상태의 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다. 하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이..

악성코드 분석 리포트 2019. 3. 25. 16:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 20일) ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 헌법재판소를 사칭한 악성이메일은 2019년 02월 25일부터 내용이 수정된 버전으로 꾸준히 유포되고 있습니다. 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다. 하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이 많이 자연스러워졌으며 금일 발견된 헌법 재판소 사칭 이메일에서도 자연스러..

악성코드 분석 리포트 2019. 3. 20. 17:27

JNEC.a Ransomware Spread by WinRAR Ace Exploit 새로운 랜섬웨어인 JNEC.a가 최근 보고된 WinRAR의 ACE에 존재하는 코드 실행 취약점 익스플로잇을 통해 배포되는 것으로 나타났습니다. 이 랜섬웨어는 컴퓨터를 암호화한 후 피해자가 랜섬머니를 지불하고 파일 복호화 키를 받는데 필요한 Gmail 주소를 생성하며, 피해자는 해당 Gmail 주소를 사용하여 계정을 생성해야 합니다. 이 랜섬웨어는 컴퓨터의 데이터를 암호화한 후 파일명에 .Jnec 확장자를 붙입니다. 복호화 키의 가격은 0.05 비트코인(약 $200)입니다. 흥미로운 점은, 이 랜섬웨어의 제작자는 파일 복호화 키를 전달하는데 특이한 방법을 사용한다는 것입니다. 그 방법은 바로 랜섬웨어에 감염된 컴퓨터의 고유..

국내외 보안동향 2019. 3. 19. 16:40

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 3월 13일 오후경부터 한국은행을 사칭한 악성 이메일이 갠드크랩(GandCrab) v5.2를 유포중인 것으로 확인되어 주의가 필요합니다. 이번 이메일은 한국어로 작성된 것뿐만 아니라, 마치 중국어처럼 보이는 한문표기가 포함된 형태도 발견되었는데, 중국어 표기법에는 맞지 않는 의미없는 표기로 확인이 되었습니다. 그리고 발신자 명에 'Min Gap Ryong' 문구가 포함되어 있는 특징이 있습니다. [그림1] 한국은행을 위장한 악성 이메일 한글 버전 [그림2] 한국은행을 위장한 의미없는 문자의 악성 이메일 지난 2월 27일 한국은행을 사칭한 악성 이메일 역시 갠드크랩 랜섬웨어가 첨부된 압축 파일을 포함하고 있었습니다. ※ 관련글 보기 ▶..

악성코드 분석 리포트 2019. 3. 14. 11:48

Ransomware Pretends to Be Proton Security Team Securing Data From Hackers ProtonMail과 ProtonVPN을 운영하는 Proton Technologies의 보안 팀으로 위장한 GarrantyDecrypt 랜섬웨어의 최신 변종이 발견되었습니다. 이 랜섬웨어 패밀리는 지난 2018년 10월 랜섬웨어 연구원인 Michael Gillespie가 발견했으며, 다른 랜섬웨어와 같이 대규모 배포 공격을 한 적은 없지만 공개된 직후 꾸준히 피해자들이 늘고 있습니다. 사용자들은 ID-Ransomware에 이 랜섬웨어의 랜섬노트나 암호화된 파일을 꾸준히 등록하고 있습니다. [그림] GarrantyDecrypt의 등록 현황 지난 2월 또 다시 발견된 Garra..

국내외 보안동향 2019. 3. 5. 14:33

B0r0nt0K Ransomware Wants $75,000 Ransom, Infects Linux Servers B0r0nt0K이라는 신종 랜섬웨어가 피해자의 웹사이트를 암호화 시키고 20 비트코인(약 $75,000상당)을 요구하고 있습니다. 이 랜섬웨어는 리눅스 서버를 감염시키는 것으로 알려졌으나, 윈도우 사용자들을 암호화할 수 있을 가능성도 있는 것으로 나타났습니다. BleepingComputer 포럼의 한 사용자는 고객의 웹사이트가 신종 B0r0nt0K 랜섬웨어에 감염되었다고 제보했습니다. 이 암호화된 웹 사이트는 우분투 16.04에서 실행되고 있었으며, 모든 파일이 암호화되고, 이름이 변경되고 .rontok 확장자가 붙었습니다. 이 랜섬웨어의 샘플은 아직까지 발견 되지 않아, 등록된 파일들 및 ..

국내외 보안동향 2019. 2. 26. 09:18

안녕하세요. 이스트시큐리티입니다. '사이버 보안 위협' 하면 어떤 키워드가 떠오르시나요? 아무래도 최근 몇 년 간은 랜섬웨어가 가장 흔하게, 가장 자주 접하게 되는 보안 위협이지 않았나 싶은데요. 주위에서 '나 랜섬웨어 걸려서 자료 다 날아갔어ㅠㅠ' 하는 이야기를 심심치 않게 들을 수 있고, 알약 블로그만 봐도 입사지원서, 쇼핑몰 할인쿠폰 등으로 위장한 새로운 랜섬웨어 공격을 발견할 수 있습니다. 랜섬웨어란?Ransom(몸값)과 Software(소프트웨어)란 단어가 합쳐져서 생성된 단어로 PC에 존재하는 중요한자료들을 암호화한 후, 암호화된 파일들을 볼모로 삼고 피해자로 하여금 돈을 지불하도록 강요하는 악성코드입니다. 랜섬웨어의 최근 공격 형태 (LINK) >> 그럼에도 랜섬웨어가 나와는 거리가 먼 이야..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 2. 26. 08:58