본문 바로가기

벌새::Analysis

벌새::Analysis 2016. 7. 10. 13:04 파일명과 확장명을 변경하는 CryptXXX 랜섬웨어 변종 유포 (2016.7.10) 암호화된 파일을 다양한 패턴으로 변경하던 CryptXXX 랜섬웨어(Ransomware)가 2016년 7월 8일경부터 파일명과 확장명 모두를 랜덤(Random)하게 변경하는 변종을 유포하고 있는 것을 확인하였습니다. 랜덤(Random) 확장명으로 암호화되는 CryptXXX 랜섬웨어 유포 주의 (2016.6.22) 이전에 파일 확장명을 랜덤(Random)하게 변경하던 CryptXXX 랜섬웨어는 지금까지 ".crypt → .cryp1 → .cryptz → 확장명 랜덤(Random) → 파일명/확장명 변경없음" 패턴으로 변화되어 오고 있었으며 이번에 확인된 변종은 파일명과 확장명 모두가 무슨 파일인지 알 수 없도록 변경합니다. "C:\Windows\SysWOW64\rundll32.exe" "C:\User\%Us..
벌새::Analysis 2016. 7. 8. 20:06 사이트 접속 시 시스템 경고창을 생성하는 허위 광고 주의 (2016.7.8) 최근 국내 특정 프로그램 다운로드 사이트 접속 시 눈에 보이지 않는 스크립트를 추가하여 시스템 경고창을 생성하는 사례가 확인되어 살펴보도록 하겠습니다. 허위 바이러스 감염 메시지를 이용한 해외 제휴 프로그램 설치 주의 (2015.9.28) 해당 광고 방식은 이전에 유사 방식을 소개한 적이 있으며 실제 활용되는 사례를 통해 보이지 않는 광고가 사용자에게 어떻게 노출되는지 알아보도록 하겠습니다. 사용자가 웹 브라우저를 이용하여 사이트에 접속할 경우 눈에는 표시되지 않는 영역에 광고 스크립트가 추가되어 있는 부분을 확인할 수 있습니다. 스크립트에 노출된 PC는 자동으로 특정 웹 서버로 연결될 수 있으며, 접속 시마다 매번 동일하게 이벤트가 발생하는 것은 아닌 것으로 파악되고 있습니다. 1차적으로 연결된 URL..
벌새::Analysis 2016. 7. 7. 15:32 파일 확장명 변경없이 암호화되는 CryptXXX 랜섬웨어 유포 주의 (2016.7.7) 2016년 7월 6일경부터 보안 패치를 제대로 하지 않은 상태로 인터넷을 이용하는 국내 인터넷 사용자 중에서 파일 확장명 변경없이 암호화되는 CryptXXX 랜섬웨어(Ransomware) 감염자가 확인되고 있습니다. 뽐뿌 커뮤니티를 통한 CryptXXX 랜섬웨어(.crypz) 유포 소식 (2016.6.7) 랜덤(Random) 확장명으로 암호화되는 CryptXXX 랜섬웨어 유포 주의 (2016.6.22) CryptXXX 랜섬웨어는 2016년 4월경부터 ".crypt → .cryp1 → .cryptz → 랜덤(Random)" 파일 확장명 형태로 변종이 발견되고 있었으며, 이번에 유포된 CryptXXX 랜섬웨어는 Neutrino Exploit Kit을 통해 다양한 웹 사이트 접속 과정에서 자동 감염될 수 있습..
벌새::Analysis 2016. 7. 1. 19:22 파일 삭제 후 금전을 요구하는 가짜(Fake) AnonPop 랜섬웨어 정보 (2016.7.1) 최근 해외에서 발견된 금전을 요구하는 랜섬웨어(Ransomware)처럼 구성된 악성 프로그램 중 실제로는 파일 암호화 대신 파일 삭제 후 랜섬웨어처럼 동작하는 사례가 확인되어 간단하게 살펴보도록 하겠습니다. 최초 감염 방식은 이메일에 첨부된 complaint376878.pdf.bat 파일(SHA-1 : 9006330bc21723788d4b67cda684bb97bd548f67 - Sophos : Bat/Ransom-DHA)로 PDF 문서 파일로 착각하여 실행하도록 구성되어 있습니다. complaint376878.pdf.bat 배치 파일을 살펴보면 Windows PowerShell 기능을 통해 아마존(Amazon) 서버에 등록된 wr6.bat 배치 파일(SHA-1 : fcc0a0da13f5eb16d30f54..
벌새::Analysis 2016. 6. 28. 20:43 중국어(Chinese) 사용자를 표적으로 한 Cute 랜섬웨어(Ransomware) 정보 (2016.6.28) 파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware)가 범죄 산업으로 발전하면서 중국어(Chinese) 사용자를 표적으로 한 랜섬웨어도 서서히 등장하고 있습니다. Chinese-language Ransomware ‘SHUJIN’ Makes An Appearance (2016.5.12) 이미 2016년 5월경에 공식적으로 중국어를 금전을 요구하는 SHUJIN 랜섬웨어가 공개되었으며, 2016년 6월 중순경 또 다른 Cute Ransomware (= MyLittle Ransomware)가 추가적으로 발견됨에 따라 차후 한국(South Korea)을 표적으로 발전할 가능성이 있기에 살펴보도록 하겠습니다. 확인된 Cute 랜섬웨어 파일(SHA-1 : 0b9251d69961b880b06def392f0..
벌새::Analysis 2016. 6. 25. 16:06 자동 로그인 정보를 수집하는 MicroCop 랜섬웨어 정보 (2016.6.25) 최근 Trend Micro 보안 업체에서 공개한 MicroCop 랜섬웨어(Ransomware)는 감염된 PC 사용자가 48.48 BTC을 훔쳤으니 돈을 되돌려주면 암호화된 파일을 해제해주겠다는 협박 메시지를 표시하고 있다고 합니다. MIRCOP Crypto-Ransomware Channels Guy Fawkes, Claims To Be The Victim Instead (2016.6.24) 그런데 MicroCop 랜섬웨어는 감염 과정에서 사용자 PC에 저장된 웹 브라우저, FTP 로그인 정보를 수집하며, 암호화 대상 영역에 존재하는 폴더 내에 존재하는 하위 폴더의 파일들은 암호화 대신 자동 삭제하는 행위가 있기에 살펴보도록 하겠습니다. 우선 Trend Micro 보안 업체에서 밝힌 감염 방식은 메일에 첨..
벌새::Analysis 2016. 6. 23. 19:56 다시 활동을 시작한 Locky 랜섬웨어 유포 소식 (2016.6.23) 2016년 3월경부터 스팸(Spam) 메일에 첨부된 JS 스크립트 파일을 이용하여 활발하게 유포가 이루어졌던 Locky 랜섬웨어(Ransomware)는 2016년 5월을 끝으로 일시적으로 활동이 중지되었다는 소식이 있었습니다. It's Quiet...Too Quiet: Necurs Botnet Outage Crimps Dridex and Locky Distribution (2016.6.9) 그런데 한동안 잠잠하던 Locky 랜섬웨어가 Necurs 봇넷을 이용하여 다시 활동을 시작했다는 소식과 함께 실제 국내에서도 다수의 스팸(Spam) 메일을 통해 전파되고 있는 것이 확인되고 있습니다. Necurs Botnet Returns With Updated Locky Ransomware In Tow (2016.6..
벌새::Analysis 2016. 6. 22. 14:31 랜덤(Random) 확장명으로 암호화되는 CryptXXX 랜섬웨어 유포 주의 (2016.6.22) 2016년 4월경부터 취약점(Exploit)을 이용한 CryptXXX 랜섬웨어(Ransomware) 유포 행위가 활발하게 이루어지고 있으며, 최근 국내에서도 뽐뿌 커뮤니티의 Google AdSense 광고 배너를 통해 많은 피해를 유발한 적이 있습니다. 뽐뿌 커뮤니티를 통한 CryptXXX 랜섬웨어(.crypz) 유포 소식 (2016.6.7) 그런데 ".crypt → .cryp1 → .cryptz" 파일 확장명으로 변하던 CryptXXX 랜섬웨어가 랜덤(Random) 확장명으로 파일 암호화를 수행하는 변종이 발견되었습니다. "C:\Windows\SysWOW64\rundll32.exe" "C:\Users\%UserName%\AppData\Local\Temp\rad24cd3.tmp.dll" MS1 이번 역시..

티스토리툴바