TeslaCrypt 랜섬웨어 캠페인, 미국 우편 서비스(USPS)로 위장해TeslaCrypt Posing as USPS in Ransomware Campaign AppRiver가 TeslaCrypt 랜섬웨어 캠페인이 미국 우편 서비스(USPS)로 위장하고 있다고 주의를 당부하였습니다. TeslaCrypt는 USPS와 동일한 그래픽과 색상을 사용하여 ‘배달이 실패하였다’는 메시지와 함께 대금 영수증으로 위장한 파일을 첨부한 이메일을 보내 유저들을 속이고 zip 파일을 열어보게 만듭니다. 압축 된 zip 파일은 다운로더의 역할을 하는 악성 자바스크립트이며,파일명은 USPS_delivery_invoice.zip이며, 자바스크립트 파일은 invoice_[랜덤 스트링].js, invoice_copy_[랜덤 스트링..

국내외 보안동향 2016. 2. 29. 09:00

랜섬웨어 방어 기능을 우회하는 Cryptowall 포착 최근 안티랜섬웨어 솔루션 및 실시간 파일백업 솔루션을 우회하는 변종 Cryptowall 랜섬웨어가 확인되었습니다. 해당 Cryptowall의 경우 Angler Exploit Kit을 활용하여 유포되고 있는 것은 기존과 유사하나, 이전 Cryptowall과 다르게 안티랜섬웨어 기능을 우회할 수 있도록 암호화하는 동작방식을 일부 변경하였습니다. 파일이 변경되는 부분을 감지하여 랜섬웨어의 공격을 차단하고 파일을 실시간으로 백업하는 기능을 가진 몇몇 안티랜섬웨어 솔루션의 감시를 회피하기 위해, 새로 발견된 랜섬웨어는 일단 기존 사용자PC에 존재하는 파일에 대한 파일명을 한번 변경한 후에 암호화를 진행하고 있습니다. 좀 더 자세히 설명해드리면 다음과 같습니다..

국내외 보안동향 2015. 11. 25. 11:30

CoinVault와 Bitcryptor 랜섬웨어에 감염되었을 경우 복구방법 일부 랜섬웨어에 감염되었을 경우 복구가 가능한 방법이 공개되어 소개드립니다. 카스퍼스키랩과 네덜란드 검찰이 CoinVault와 Bitcryptor 랜섬웨어가 사용한 C&C 서버에서 암호화 키의 마지막 세트를 습득하여 공개했습니다. CoinVault는 2014년 11월 처음 탐지 되었고, 이는 108개국에 1,500명 이상의 희생양을 만든 랜섬웨어입니다. 2015년 4월, 네덜란드 경찰은 복호화 키 데이터베이스를 압수한 CoinVault의 C&C 서버에서 얻어내는데 성공했으며, 이 때 발견한 복호화 키를 이용하여 랜섬웨어 복호화 서비스를 만들었습니다. 이 랜섬웨어 복호화 서비스는 네덜란드에 위치한 CoinVault 서버에서 복구한 ..

국내외 보안동향 2015. 11. 2. 15:04

한글로 감염메시지를 보여주는 Crypt0L0cker 랜섬웨어 또다시 유포중! 감염되면 한글로 감염되었다는 내용과 함께 비트코인을 요구하는 Crypt0L0cker 랜섬웨어가 또다시 등장했습니다. 랜섬웨어란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/217 Cyrpt0L0cker란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/305 지난 주말부터 피해가 보고되고 있는 해당 랜섬웨어의 경우, 일단 감염되었을 경우 아래와 같은 한글로 제작된 화면을 띄우게 됩니다. 이전에 발견되었던 Crypt0L0cker와 거의 동일한 형태입니다. 암호화된 파일을 원래대로 되돌리기 위해서 해독프로그램을 구입하라는 메시지를 띄웁니다. 랜섬웨어 제작자는 시한을 정해두고, 이 시한까지 금액을 ..

국내외 보안동향 2015. 10. 29. 10:30

메일에 포함된 URL로 퍼지고 있는 러시아 랜섬웨어 주의 지난 주말부터 메일에 포함된 URL을 통해 러시아 랜섬웨어가 유포되고 있어 사용자들의 주의가 필요합니다. 해당 랜섬웨어는 보통 RAR로 압축되어 있고 스크린세이버로 위장하고 있는 경우가 많으며 일단 사용자가 압축을 풀어 파일을 실행하게 되면 화면에 moshiax@aol.com라는 이메일주소를 포함한 러시아어를 띄우고 감염된 시스템에 있는 폴더나 파일을 암호화합니다. 이 러시아산 랜섬웨어의 경우 해외에서는 2015년 초부터 발견되기 시작했으나 국내에서 해당 랜섬웨어가 포함된 URL이 확인된 것은 얼마전부터입니다.해당 랜섬웨어의 경우 Drive by Download형태의 공격은 아닙니다. 사용자가 URL을 클릭한 후 RAR 압축파일을 다운로드받아 압축..

국내외 보안동향 2015. 10. 19. 18:34

랜섬웨어로 암호화 된 파일을 어떻게 복구하는가?How We Foiled Ransomware and Got the Files Back RSA 컨퍼런스 블로그에 랜섬웨어 파일 복구 방법이 소개되어 내용을 간략히 정리하여 공유합니다. 2013년 초, 한 조직이 그들의 서버가 ACCDFISA 랜섬웨어에 감염되어 서버에 있는 모든 파일들이 암호화 되었다며 복구팀에게 복구를 요청해 왔습니다. 이 랜섬웨어는 각 파일들을 WinRAR self-extractor를 이용하여 암호화된 자동실행압축 파일로 변경하였고 파일명은 암호를 풀 수 있는 단서(예를 들어 압축을 풀기 위해서는 ~@~로 이메일을 보내시오)로 변경하였습니다. 해당 랜섬웨어는 256bit의 랜덤키를 사용하는 AES-256암호화 기법을 사용하였고, 암호화 되지..

전문가 기고 2015. 8. 7. 17:14

Tox, 맞춤형 랜섬웨어 무료 제작 사이트 등장 랜섬웨어 파일을 무료로 배포하는 웹사이트가 등장했습니다. Tox 라고 불리는 해당 웹사이트에서는 기술적 지식이 없는 사용자들도 랜섬웨어를 다운로드받아 다른 사용자들에게 배포할 수 있도록 랜섬웨어 파일을 무료로 제공하고 있습니다. 해당 사이트에서 랜섬웨어 파일을 생성하는 방법은 매우 간단합니다. 공격자는 Tox 웹사이트에 회원가입을 합니다. 이후 랜섬웨어 감염 시, 사용자들에게 표시되는 메시지 문구와 파일을 복호화하기 위해 지불해야 하는 금액을 설정합니다. '생성(Create)' 버튼을 누르면 입력한 조건에 맞는 랜섬웨어 파일이 자동으로 생성됩니다. 이후 아래와 같이 'ransom_설정해둔 파일복호화금액_dol_파일 해시.scr' 파일명으로 랜섬웨어 파일이 ..

국내외 보안동향 2015. 6. 1. 13:36

랜섬웨어의 뒤를 잇는 랜섬웹(RansomWeb) 최근 파일을 인질로 삼고 돈을 요구하는 랜섬웨어가 성행하는 가운데, 새로운 개념의 랜섬웹(RansomWeb)이 등장했습니다. 사용자 로컬 PC 파일들을 인질로 삼고 돈을 요구하는 랜섬웨어와는 다르게 랜섬웹은 웹 서버에 저장된 DB를 암호화하고, 백업 데이터 역시 암호화된 DB들로 가득 채운 후 해당 정보를 인질로 삼아 돈을 요구하는 공격기법 입니다. 랜섬웹의 원리는 이러합니다. 먼저 공격하고자 하는 웹 서버에 침투한 공격자는 관리자 몰래 서버 스크립트를 조작하여 암호화 할 때 사용하는 암호화 키(비밀키)를 공격자의 암호화 키로 변경합니다. 그 후 공격자의 암호화 키를 공격자 서버에 저장하고, 원격으로 통신할 수 있도록 합니다. 정상 데이터 흐름도 변조 후 ..

전문가 기고 2015. 2. 16. 12:42