본문 바로가기

랜섬웨어

벌새::Security 2016. 11. 3. 18:33 원격 데스크톱 프로토콜(RDP)을 통한 BitLocker 디스크 암호화 방식의 랜섬웨어(Ransomware) 주의 (2016.11.3) 악성코드를 직접 감염시키지 않고 관리가 부실한 팀뷰어(TeamViewer) 원격 제어 프로그램을 통해 금전 피해를 유발하는 사례를 소개한 적이 있었습니다. 팀뷰어(TeamViewer) 해킹을 통한 금전 피해 주의 (2015.8.22) 하지만 팀뷰어(TeamViewer)와 같은 원격 제어 프로그램을 설치하지 않은 환경에서도 Windows 운영 체제에 기본적으로 내장된 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 통해 접근하여 디스크 암호화를 통해 금전을 요구하는 랜섬(Ransom) 행위가 확인되어 간단하게 살펴보도록 하겠습니다. 우선 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)은 외부에서 원격 접속이 가능하도록 지원하는 기능으로 Window..
벌새::Analysis 2016. 10. 2. 16:34 랜덤(Random) 확장명으로 변신한 Cerber 랜섬웨어 소식 (2016.10.2) 2016년 3월 초 처음 등장한 Cerber 랜섬웨어(Ransomware)는 파일 암호화 완료 후 텍스트 음성 변환(TTS) 기능을 활용하여 여성 목소리로 암호화 시실을 출력하는 특징을 가지고 있습니다. 특히 장기간 활발하게 유포가 이루어짐에 따라 마이크로소프트(Microsoft)에서는 2016년 7월 정기 보안 업데이트를 통해 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서 Win32/Cerber 진단명으로 제거를 시작하였습니다. 우선 기존에 유포된 Cerber 랜섬웨어는 총 3종의 암호화된 파일 패턴을 가지고 있었으며, 스팸 메일에 첨부된 스크립트 파일 또는 웹사이트 접속 시 취약점(Exploit)을 통해 자동 감염이 이루어지는 방식을 전파되고 있습니다. 2016년 3월 초 ..
벌새::Analysis 2016. 8. 29. 20:39 KMSpico 윈도우 정품 인증툴로 위장한 Domino 랜섬웨어 주의 2016년 4월경부터 윈도우(Windows) 정품 인증툴로 유명한 KMSpico 프로그램으로 위장한 Domino 랜섬웨어(Ransomware)가 유포되었던 것으로 확인되어 살펴보도록 하겠습니다. 일반적으로 KMSpico 윈도우 정품 인증툴의 경우 백신 프로그램에서 당연히 진단할 수 있다는 인식으로 인해 인터넷 상에서 다운로드 및 실행하는 과정에서 백신 실시간 감시 기능을 비활성화(OFF)한 상태로 진행하는 경우가 있기에 광범위하게 유포될 경우 피해를 입을 가능성이 높아질 것으로 생각됩니다. 우선 랜섬웨어(Ransomware) 기능이 포함되어 있지 않은 KMSpico 윈도우 정품 인증툴의 경우에는 신뢰된 인증 기관에서 검증할 수는 없는 @ByELDI 디지털 서명이 포함되어 있는 특징이 있습니다. 그런데 K..
벌새::Analysis 2016. 8. 20. 14:50 한국인이 제작한 카카오톡 위장 랜섬웨어(Ransomware) 소식 (2016.8.20) 그 동안 파일 암호화를 통한 금전 협박을 하는 랜섬웨어(Ransomware) 악성코드는 하나의 사이버 범죄 산업으로 발전하였으며, 국내에서도 대형 커뮤니티의 광고 배너를 통해 크게 이슈가 된 적이 있었습니다. 한국형 랜섬웨어(Ransomware) Crypt0L0cker 악성코드 감염 주의 (2015.4.21) 뽐뿌 커뮤니티를 통한 CryptXXX 랜섬웨어(.crypz) 유포 소식 (2016.6.7) 이런 분위기에서 한국인이 랜섬웨어(Ransomware) 유포에 참여한다는 정보는 간접적으로 들었지만 직접 제작까지 한 사례는 정식으로 확인된 것이 없었습니다. 그런데 2016년 8월 16일경 국내에서 제작되어 해외 보안 감시망에 노출된 일명 Korean 랜섬웨어(Ransomware)에 대한 정보가 확인되어 살..
벌새::Analysis 2016. 7. 24. 14:59 바이너리(Binary)가 포함된 JavaScript 파일을 이용한 Locky 랜섬웨어 유포 (2016.7.24) 메일을 통해 감염을 유발하는 Locky 랜섬웨어(Ransomware)는 지금까지 첨부된 JavaScript 파일(.js), MS Word 문서(.doc / .docm), Windows 스크립트 파일(.wsf)을 실행 시 웹 서버에서 악성 파일을 다운로드하여 동작하는 구조였습니다. 다시 활동을 시작한 Locky 랜섬웨어 유포 소식 (2016.6.23) Windows 스크립트 파일(.wsf)을 이용한 Locky 랜섬웨어(.zepto) 유포 주의 (2016.7.14) 그런데 최근에 첨부된 JavaScript 파일(SHA-1 : 153d4cc2da095967f8a60f3ae0f015ff40bbffd4 - 알약(ALYac) : Trojan.JS.Agent.MJE)의 경우에는 코드 내부에 바이너리(Binary) 코..
벌새::Analysis 2016. 7. 22. 14:02 바로 가기(.LNK) 파일을 이용한 Vault 랜섬웨어 감염 주의 (2016.7.22) 최근 하우리(Hauri) 보안 업체에서 메일 첨부 파일로 동봉된 바로 가기(.LNK) 파일을 실행할 경우 파일 암호화를 통해 금전을 요구하는 Vault 랜섬웨어(Ransomware)에 감염될 수 있다는 정보를 공개하였습니다. [보도자료] (주)하우리, 윈도우 바로가기 형태로 유포되는 신종 랜섬웨어 주의요망! (2016.7.20) 바로 가기(.LNK) 파일은 바탕 화면에 생성되는 특정 프로그램 실행을 위한 연결 고리로 실행 시 일반적으로 특정 파일을 실행할 수 있는 형태입니다. 그런데 이번 사례와 같이 메일 첨부 파일에 동봉된 문서 아이콘 형태의 바로 가기(.LNK) 파일(SHA-1 : f21d2636b1b30df708be5de427e3ddb500b3136d - BitDefender : Trojan.LNK..
벌새::Analysis 2016. 7. 16. 16:18 MS Word 문서로 유포되는 CryptXXX 랜섬웨어 변종 주의 (2016.7.16) 그 동안 CryptXXX 랜섬웨어(Ransomware)의 유포 방식은 대부분 Exploit Kit을 이용하여 보안 패치가 제대로 이루어지지 않은 PC가 특정 웹사이트 접속 시 자동 감염되는 방식으로 유포되고 있었습니다. Spam, Now With a Side of CryptXXX Ransomware! (2016.7.14) 그런데 최근 메일에 첨부된 MS Word 문서(.doc)에 포함된 매크로(Macro) 기능을 통해 CryptXXX 랜섬웨어가 유포되고 있다는 정보가 공개되어 살펴보도록 하겠습니다. 참고로 CryptXXX 랜섬웨어 감염으로 인해 암호화된 파일은 변종에 따라 파일명과 확장명이 ".crypt → .cryp1 → .cryptz → 확장명 랜덤(Random) → 파일명/확장명 변경없음 → 파일명..
벌새::Analysis 2016. 7. 14. 19:16 Windows 스크립트 파일(.wsf)을 이용한 Locky 랜섬웨어(.zepto) 유포 주의 (2016.7.14) 스팸(Spam) 메일 방식을 이용하여 첨부된 JS 스크립트 파일을 실행할 경우 .locky 파일 확장명으로 암호화하는 Locky 랜섬웨어(Ransomware) 감염 방식은 2016년 3월경부터 지속적으로 확인되고 있었습니다. 다시 활동을 시작한 Locky 랜섬웨어 유포 소식 (2016.6.23) 특히 2016년 6월경 일시적으로 활동을 중지하였던 Locky 랜섬웨어는 다운로드되는 악성 파일에 대한 백신 진단 우회를 목적으로 XOR 암호화 방식까지 확인되고 있는 상태였습니다. 그런데 JS 스크립트 실행에 대한 경고가 높아짐에 따라 최근에는 Windows 스크립트 파일(.wsf) 형태로 변경되어 유포되고 있기에 전반적인 흐름을 살펴보도록 하겠습니다. 다양한 스팸(Spam) 메일에 첨부된 ZIP 압축 파일 내..

티스토리툴바