벌새::Analysis
2016. 7. 1. 19:22
파일 삭제 후 금전을 요구하는 가짜(Fake) AnonPop 랜섬웨어 정보 (2016.7.1)
최근 해외에서 발견된 금전을 요구하는 랜섬웨어(Ransomware)처럼 구성된 악성 프로그램 중 실제로는 파일 암호화 대신 파일 삭제 후 랜섬웨어처럼 동작하는 사례가 확인되어 간단하게 살펴보도록 하겠습니다. 최초 감염 방식은 이메일에 첨부된 complaint376878.pdf.bat 파일(SHA-1 : 9006330bc21723788d4b67cda684bb97bd548f67 - Sophos : Bat/Ransom-DHA)로 PDF 문서 파일로 착각하여 실행하도록 구성되어 있습니다. complaint376878.pdf.bat 배치 파일을 살펴보면 Windows PowerShell 기능을 통해 아마존(Amazon) 서버에 등록된 wr6.bat 배치 파일(SHA-1 : fcc0a0da13f5eb16d30f54..