zepto
-
WSF 기반 Zepto 랜섬웨어카테고리 없음 2016. 7. 27. 14:39
ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다. ThreatAnalyzer 분석 위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다. WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다. 변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일..
-
Zepto 랜섬웨어 소개카테고리 없음 2016. 7. 8. 13:20
Zepto는 최신 랜섬웨어 변종으로 유명한 로키(Locky) 랜섬웨어와 상당히 유사하며 특히 Zepto 랜섬웨어에 대한 합의금 지불 페이지로 들어가면 아래와 같은 메시지를 볼 수 있다. Zepto와 로키의 차이는 암호화시킨 파일의 확장자가 .locky가 아닌 .zepto가 된다는 데 있다. Zepto 감염과정 Zepto는 이메일에 zip 압축파일 또는 docm 문서파일로 첨부돼 피해자 컴퓨터에 도달한다. zip 압축파일을 열면 .js(자바스크립트) 확장자를 가진 파일을 열게 된다. 문서처럼 보이는 파일의 형식이 자바스크립트라는 점이 다소 이상할 수 있지만 윈도 운영체제는 기본적으로 .js 확장자를 숨기고 해당 파일을 텍스트파일처럼 보이게 한다. 이 파일을 열먼 스크립트 프로그램이 실행되어 .exe 형식 ..