본문 바로가기

비트코인

벌새::Analysis 2016. 5. 4. 18:02 Amazon Gift Cards 결제 방식을 추가한 TrueCrypter 랜섬웨어(Ransomware) 소식 최근 유포된 랜섬웨어(Ransomware) 중에서는 비트코인(Bitcoin) 가상 화폐 이외의 다양한 결제 방식을 추가하는 경우가 발견되고 있습니다. iTunes Gift Cards 결제 방식을 요구하는 Alpha 랜섬웨어와 복호화 도구 (2016.5.2) 대표적으로 Alpha 랜섬웨어는 iTunes Gift Cards 방식으로 결제를 하도록 유도한 사례가 있으며, 이 글에서 살펴볼 TrueCrypter 랜섬웨어는 Amazon Gift Cards 결제가 포함되어 있습니다. 생성 폴더/파일 및 진단 정보 C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter\..
벌새::Analysis 2016. 5. 2. 14:51 iTunes Gift Cards 결제 방식을 요구하는 Alpha 랜섬웨어와 복호화 도구 일반적으로 파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware)는 비트코인(Bitcoin) 가상 화폐를 통해 결제를 요구하는 경향이 매우 강한데, 최근에는 Amazon Gift Cards (TrueCrypter 랜섬웨어)를 결제 수단으로 추가한 사례가 발견되었습니다. 특히 최근 보고된 Alpha 랜섬웨어 초기 버전(SHA-1 : 2891935a4e1f3fc25c9a7c5e962d0c41705406d3 - Kaspersky : Trojan.Win32.Reconyc.flei)은 iTunes Gift Cards를 결제 수단으로만 사용하는 경우가 발견되어 살펴보도록 하겠습니다. 생성 폴더/파일 및 진단 정보 C:\Users\(로그인 계정명)\AppData\Roaming\Windows\svchost...
벌새::Analysis 2016. 4. 12. 19:28 암호화된 파일을 삭제하는 Jigsaw 랜섬웨어와 복호화 도구 정보 (2016.4.12) 공포 영화 쏘우(Saw)를 모티브로 제작된 것으로 보이는 Jigsaw 랜섬웨어(Ransomware)은 인터넷 연결이 이루어지지 않는 환경에서도 파일 암호화를 수행하는 오프라인 암호화(Offline Encryption) 방식이며, 특히 1시간 단위로 암호화된 파일을 삭제하는 기능까지 포함되어 있습니다. 다행히 정보 공개와 함께 암호화된 파일을 해제할 수 있는 JigSawDecrypter 복호화 도구가 공개된 상태입니다. 유포 방식은 확인되지 않았지만 사용자를 속여서 악성 파일(SHA-1 : 27d99fbca067f478bb91cdbcb92f13a828b00859 - AhnLab V3 : Trojan/Win32.Jigsaw.C1373537) 다운로드 및 실행을 하도록 유도하는 것으로 추정됩니다. 생성 폴더 ..
벌새::Analysis 2016. 4. 11. 18:54 FTP 서버 해킹을 통한 비트코인(BitCoin) 가상 화폐 채굴 프로그램 유포 주의 (2016.4.11) 다수의 FTP 서버 해킹을 통해 비트코인(BitCoin) 채굴 클라이언트를 설치하는 악성 프로그램 유포 사례가 확인되어 살펴보도록 하겠습니다.(※ 정보를 제공해주신 바이러스 제로 시즌 2 보안 카페 철이님에게 감사드립니다. ) 국내 특정 호텔 관련 사이트에 접속할 경우 자동으로 Photo.scr 화면 보호기 파일을 다운로드하는 시도를 확인할 수 있습니다. 연결 정보를 확인해보면 사이트 접속 과정에서 악성 iFrame을 로딩하여 동일 서버에서 Photo.scr 파일이 자동 다운로드될 수 있습니다. 다운로드된 Photo.scr 화면 보호기 파일(SHA-1 : aeccba64f4dd19033ac2226b4445faac05c88b76 - 알약(ALYac) : Misc.Riskware.BitCoinMiner, A..
벌새::Analysis 2016. 4. 4. 14:38 모바일 결제 방식이 추가된 Rokku 랜섬웨어 주의 (2016.4.4) 2016년 3월 19일경 보고된 Rokku 랜섬웨어(Ransomware)는 최근 이메일에 첨부된 JS 스크립트 파일 또는 MS Word 문서(DOC)를 통해 감염되는 Locky 랜섬웨어과 유사성이 있는 것으로 알려져 있습니다. Rokku, the "professional" ransomware (2016.3.31) 특히 Rokku 랜섬웨어는 폐쇄적인 내부망에서도 파일 암호화를 수행할 목적으로 오프라인 암호화(Offline Encryption)을 통해 C&C 서버 통신없이 자동으로 암호화가 진행되는 특징이 있는 MAKTUB Locker 랜섬웨어의 특징도 포함하고 있습니다. 또한 결제 방식이 PC 이외에 모바일에서도 비트코인(Bitcoin) 가상 화폐 결제가 가능하도록 QR 코드를 포함하고 있습니다. 이메일로..
벌새::Analysis 2016. 3. 31. 19:23 C&C 서버 연결없이 파일 암호화를 수행하는 MAKTUB Locker 랜섬웨어 주의 (2016.3.31) 일반적으로 파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware)는 실행 시 C&C 서버와의 통신을 통해 파일 암호화를 시작하도록 제작되어 있습니다. 이로 인하여 C&C 서버와의 통신이 차단될 경우에는 파일 암호화 행위는 진행되지 않는 구조인데, 최근 SamSam 또는 MAKTUB Locker 랜섬웨어는 일명 오프라인 암호화(Offline Encryption) 방식으로 파일 암호화 과정에서 C&C 서버와의 통신을 전혀하지 않는다고 합니다. Check Point Threat Alert: SamSam and Maktub Ransomware Evolution (2016.3.28)이로 인하여 네트워크 연결이 이루어지지 않는 폐쇄망에서도 파일 암호화를 통한 피해를 유발할 수 있다는 점에서 살펴보도록 하..
벌새::Analysis 2016. 3. 28. 11:32 MBR 변조를 통해 부팅을 방해하는 PETYA 랜섬웨어 주의 (2016.3.28) 최근 해외에서 특정 악성 파일을 실행 시 Master Boot Record (MBR) 전체를 변조하여 정상적인 부팅을 하지 못하도록 한 후 금전을 요구하는 PETYA 랜섬웨어(Ransomware)가 유포된다는 정보가 공개되었습니다. PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers (2016.3.24)MBR 영역을 건드리는 Locker 계열은 이전에도 등장한 적이 있었기에 새로운 방식은 아니지만 일단 감염될 경우 복구하기 어렵다는 점에서 다른 방식의 랜섬웨어(Ransomware)보다도 특히 주의해야 합니다.우선 유포 방식은 독일에 위치한 회사를 타켓으로 메일을 통해 이력서를 전송하여 Dropbox에 업로드된 파일을 다운..
벌새::Analysis 2016. 3. 8. 20:43 암호화 사실을 목소리로 알려주는 Cerber 랜섬웨어(Ransomware) 주의 (2016.3.8) 최근 해외에서 새롭게 발견된 Cerber 랜섬웨어(Ransomware)는 암호화 대상 파일을 (10자리 영문+숫자).cerber 파일 확장명으로 암호화하여 비트코인(Bitcoin) 가상 화폐를 입금하도록 요구하고 있습니다. 실제 감염자의 감염 과정은 웹사이트 접속 과정에서 취약점(Exploit)을 이용한 자동 감염 방식으로 진행된 것으로 보이며, 기존에 나온 랜섬웨어(Ransomware)와는 다르게 파일 암호화 후 여성 목소리로 암호화 사실을 전달합니다. 생성 폴더 / 파일 및 진단 정보 C:\Users\(로그인 계정명)\AppData\Roaming\{31F49A49-****-****-****-D918C1B87DEE}\dialer.exe :: 폴더명(랜덤한 GUID), 파일명(랜덤) - SHA-1 : 9..

티스토리툴바