Ransomware
-
Bart 랜섬웨어 AVG 복호화툴 소개카테고리 없음 2016. 7. 21. 14:40
AVG 바이러스연구소는 최근 Bart 랜섬웨어에 대한 파일복구 툴을 제작했다. 랜섬웨어 중에서도 최신에 속하는 Bart 랜섬웨어는 이미 전 세계에 퍼졌으며 주로 사진과 이미지에 관련된 제목을 가진 이메일을 통해 배포된다. Bart 랜섬웨어는 Dridex 및 Locky 랜섬웨어 제작자가 만들었다고 추정된다. Dridex 그리고 Locky가 파일을 암호화시킨 상태로 다시 쓰는 반면 Bart의 경우 개별 파일을 별도의 암호화된 압축파일(zip)에 넣은 다음 원본 파일을 삭제한다. 물론 사용자가 돈을 지불하기 전까지는 해당 파일에 접근할 수 없다는 점은 마찬가지다. Bart 랜섬웨어에 감염될 경우 파일의 원래 이름에 bart.zip이라는 확장자가 들어가기 때문에 감염을 바로 알아낼 수 있다. 바탕화면은 대체로 ..
-
구매주문에 의한 해킹가능성카테고리 없음 2016. 7. 19. 16:07
사례: 사용자는 자신이 구입하려고 한 물품에 대한 .pdf 형식 주문서가 첨부된 이메일을 확인한다. 해당 이메일은 스팸 필터링에 걸리지 않았으며 첨부물에 대한 검사결과도 이상이 없었다. pdf 본문에는 httx://www.mesaimeerclub.com/templates/invest/just라는 링크가 있었다. 이 링크를 클릭한 결과 Gmail 로그인 페이지처럼 보이는 웹페이지로 이동했으며 이에 따라 사용자가 Gmail 아이디와 비밀번호를 입력했다. 입력 이후 몇 분이 지나고 나서 다시 구글 로그인을 시도한 결과 비밀번호가 변경된 상태였고 비밀번호 복구 옵션도 작동하지 않았다. 하루에 수신하는 소셜네트워크 업데이트, 주문확인, 업무상 연락 등 보통 사람이 하루에 수신하는 이메일의 양은 엄청나게 많다. 경..
-
파일삭제 랜섬웨어 소개카테고리 없음 2016. 7. 18. 15:16
최근 발견된 랜섬웨어는 Troj/Ransom-DJC 일반적인 여타 랜섬웨어와는 확연히 다른 차이점이 있다. 위 그림과 같이 랜섬웨어에 의해 금전지불 웹페이지가 열렸을 때 돈을 내지 않고 제출(submit)을 클릭하면 웹페이지 왼쪽 하단의 메시지가 다음과 같이 변한다. 이 때 랜섬웨어가 작동한 이후 시스템에 보관된 중요 문서파일이 실제로 사라졌음을 볼 수 있다. 이는 파일을 암호화시키는 데서 그치지 않고 하나씩 삭제하기까지 하여 피해자에게서 기어이 돈을 받아내려는 수법이라고 볼 수 있다. 이 랜섬웨어가 요구하는 금액이 약 달러에 0.2BTC, 130 달러에 불과하여 랜섬웨어 금전요구의 일반적인 시세인 300~500달러에 훨씬 못 미친다는 점도 흥미롭다. 이제 이 신종 랜섬웨어를 극도로 태만하다는 의미를 가..
-
Cerber 오피스365 랜섬웨어 소개카테고리 없음 2016. 7. 15. 15:44
최근 수많은 오피스365 사용자들이 제로데이공격의 피해를 받은 사례가 보고됐으며 그 배후에는 올해 초에 발견된 Cerber 랜섬웨어의 신형 변종이 있었다. 최근 독버섯처럼 번지고 있는 다른 제로데이 위협과 마찬가지로 이 변종 랜섬웨어 역시 오피스 매크로의 취약점을 악용함으로써 감염을 실행한다. 여기에서는 역설계(reverse engineering) 기법과 ThreatTrack 최신 맬웨어분석 샌드박스 솔루션 ThreatAnalyzer 6.1을 통해 본 Cerber 랜섬웨어 변종을 분석한 결과를 소개한다. 분석과정 역설계 기법은 분석대상이 어떤 목적을 가지고 행동하는지에 대한 보다 종합적인 판단이 요구된다. 어떤 맬웨어 샘플을 분석하거나 혹은 난독화(obfuscate)된 코드에서 어떤 함수가 무슨 기능을 ..
-
트렌드마이크로 랜섬웨어 대응 캠페인카테고리 없음 2016. 7. 15. 14:45
게시일: 2016-06-23 l 작성자: Trend Micro 보안 소프트웨어 및 솔루션의 글로벌 리더 트렌드마이크로는 급증하는 랜섬웨어에 대비하여 기업 고객과 개인 사용자를 보호하기 위한 랜섬웨어 캠페인을 시작하였습니다.트렌드마이크로는 지난 6개월 간 약 1억 건 이상의 랜섬웨어 공격을 방지했으며, 그 중 99%는 웹과 이메일을 통한 공격으로 분석하였습니다. 당사는 랜섬웨어 공격의 증가와 그 영향력을 인지하며, 고객들이 이에 적극적인 보안 조치를 취할 수 있도록 다음과 같은 포괄적인 랜섬웨어 방어 대책을 구성하였습니다.랜섬웨어 방어 대책: 기업 규모와 무관하게 기업의 보안 취약점을 조사하여 알맞은 보안 대처를 제안랜섬웨어 복구 툴: 랜섬웨어에 감염된 개인 및 고객이 데이터를 복구할 수 있도록 복구 툴 ..
-
최신 버전 윈도우만 공격하는 ZCRYPT 랜섬웨어, 의도인가? 실수인가?카테고리 없음 2016. 7. 14. 13:51
게시일: 2016-06-01 l 작성자: Jasen Sumalapao (Threat Response Engineer) 하나의 물건이 유행하기 시작하면 시장에는 그와 유사한, 하지만 저하된 품질의 유사품이 유통됩니다. 랜섬웨어는 현재 이와 같은 단계에 와 있습니다.최근 발견된 랜섬웨어 ZCRYPT는 윈도우 7 이상의 최신 시스템만 지원합니다. 개발자가 의도적으로 구 버전 윈도우를 타겟으로 삼지 않은 것인지, 혹은 악성코드가 형편없이 만들어진 것인지 정확한 이유는 알 수 없습니다. 배타적인 크립토 랜섬웨어ZCRYPT가 처음 발견되었을 때, 별다른 특징 없는 위협으로 생각되었습니다. 사용자의 파일을 암호화하고 .ZCRYPT 확장자를 사용합니다. 해당 랜섬웨어는 다음의 파일 형식들을 암호화 할 수 있습니다..z..
-
트렌드마이크로 안티 랜섬웨어 툴을 활용하여 화면잠금 랜섬웨어에 대처하기카테고리 없음 2016. 7. 13. 15:10
게시일: 2016-05-24 l 작성자: Michael Miley아직 랜섬웨어의 피해자가 아니라 할지라도, 랜섬웨어를 들어보지 못한 사람은 없을 것입니다. 랜섬웨어의 공격에 대해 들어보았다면, 어떻게 이러한 공격으로부터 자신을 방어할 수 있을 지 고민할 것입니다.랜섬웨어는 컴퓨터 또는 컴퓨터 내의 파일을 암호화하여 돈을 지불할 때까지 복호화 해주지 않는 매우 지독한 형태의 악성코드입니다. 최근 랜섬웨어의 공격이 심각해지고 있습니다. 2014년도에만 트렌드마이크로에서 15,000~48,000개의 “크립토 랜섬웨어”라 명명된 샘플을 발견했습니다. 이것은 2013년과 비교하여 27배 증가한 수치입니다.랜섬웨어는 감염된 웹사이트, 스팸메일, 또는 다른 악성코드에 포장되어 컴퓨터로 침투합니다. 최근 복호화 하기 ..
-
로키 랜섬웨어 : 플래시와 윈도우 커널 익스플로잇을 통해 확산카테고리 없음 2016. 7. 12. 15:06
게시일: 2016-05-11 l 작성자: Trend Micro2016년 4월 초 어도비 플래시 플레이어에서 발견된 제로데이 익스플로잇은(CVE-2016-1019) 곧바로 Magnitude 익스플로잇 킷에서 활용되었습니다. 이에 따라 어도비는 신속하게 패치를 배포하였습니다. 해당 취약점은 드라이브 바이 다운로드 형태의 공격으로 로키 랜섬웨어를 감염하였습니다.하지만, 사용자들은 아직 위협에서 해방되지 않았습니다. 최근 트렌드마이크로는 이러한 공격 형태에서 특이한 변형을 확인하였습니다. 플래시 익스플로잇 이외에 윈도우의 Old Escalation of Privileges 익스플로잇(CVE-2015-1701)이 사용되어 샌드박스 기술을 우회하는 것입니다. 은밀한 악성 행위트렌드마이크로 연구진은 해당 위협을 분석..