4월 21일 이슈된 CryptoLocker 의 변종파일이 4월 28일 발견되었다. 특이한 점은 기존에 확인된 랜섬웨어 기능외에 DDoS 공격목적의 실행파일이 추가로 확인되어 주의가 필요하다.

 

 1. 랜섬웨어 기능

엑셀 아이콘 모양으로 제작된 악성코드를 실행 시, 아래의 [그림-1]의 (2)번째 단계에서 처럼 "explorer.exe" 프로세스가 실행되며, 해당 프로세스 메모리에 랜섬웨어 기능의 실행파일이 Injection 되어 동작하는 것을 알 수 있다. 해당 랜섬웨어는 국내 커뮤니티 사이트인 C업체 광고배너를 통해 유포된 것과 동일한 형태이며, 접속시도하는 사이트는 다음과 같다.  

- tidisow.ru

[그림-1] 악성 기능별 인젝션 대상 프로세스

해당 랜섬웨어의 상세 기능은 하기의 글을 참고

- http://asec.ahnlab.com/1030

 

 2. DDoS 기능

기존 알려진 랜섬웨어 기능외에 해당 샘플은 DDoS 공격기능의 실행파일을 구동하는 특징을 갖는다. 구체적 DDoS 공격방식은 Nitol 이라는 이름으로 알려진 악성코드와 동일하며, 아래의 C&C 주소와의 통신을 통해 공격자의 명령에 따라 파일 다운로드 및 DDoS 기능을 수행한다.

- b.googlex.me (Port: 22, 23, ...)

 

아래의 [그림-2]는 공격자 명령에 의해 DDoS 공격이 발생하는 부분을 나타내며, DDoS 기능관련 Thread가 반복적으로 생성되는 구조이다.

[그림-2] DDoS 관련 쓰레드 생성루틴

 

아래의 [그림-3]은 DDoS 공격 시 사용하는 다양한 HTTP 메시지 내용을 나타낸다.

[그림-3] DDoS 공격 시 사용되는 HTTP 메시지

 

랜섬웨어 동작방식과 유사하게 악성행위를 하는 실행파일이 별도의 파일형태로 생성되는 구조가 아닌, 정상 프로세스 실행 및 인젝션(Injection)을 통해 동작하여 파일기반의 진단을 우회하도록 한다.

인젝션 대상이 되는 프로세스는 감염 시스템의 아래의 레지스트리 정보를 통해 얻은 웹 브라우저이며, 테스트 시스템에서는 "chrome.exe"가 기본 웹 브라우저로 설정되어있어 [그림-1]의 (1)번째 단계에서 보여진 것  처럼 "chrome.exe"가 실행됨을 알 수 있다.

- HKCR\http\shell\open\command

[그림-4] 인젝션 대상 웹 브라우저 정보

 

해당 악성코드가 생성하는 뮤텍스 정보는 다음과 같다.

- "qazwsxedc" (고정)

 

최초 C&C 주소와 통신 시, 공격자에게 전송되는 정보는 아래의 API 호출을 통해 얻는다. (최종 전송 시, XOR 를 통해 암호화되어 전송)

- KERNEL32.GetComputerNameA
- KERNEL32.GetLocaleInfoW
- ADVAPI32.RegOpenKeyExA ("HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion")
- ADVAPI32.RegQueryValueExA ("ProductName", "ProcessorNameString")
- KERNEL32.GlobalMemoryStatusEx
- KERNEL32.GetSystemInfo

 

Anti-VM 기능으로 아래의 [그림-5]에서 처럼 C&C 접속 전 30분간의 Sleep()을 수행하며, GetTickCount API를 이용하여 정상적으로 30분간 Sleep()을 수행하였는지 여부를 체크하는 코드가 존재한다.

 

[그림-5] 30분 Sleep() 정상 수행여부 체크

 

해당 악성코드에 대한 V3 진단명은 다음과 같다.

- Win-Trojan/Cryptolocker.Gen

 

 

신고
Posted by yhayoung

1. 개요

랜섬웨어는 사용자 시스템에 설치된 후 파일들을 암호화해서 정상적으로 사용하지 못하도록 하고 이를 정상적으로 돌려준다는 조건으로 비트코인 또는 추적이 어려운 전자 화폐를 통한 금액 지불을 요구하는 악성코드이다. 주로 국외에서 확산되면서 많은 피해자를 양산했는데 최근 몇 년 사이에 국내에서도 랜섬웨어에 감염된 사용자가 증가하였으며 그 중 국내 유명 인터넷 커뮤니티 사이트를 통해 유포된 CryptoLocker 에 대한 분석 정보를 공유하고자 한다.

최근에 발견된 ‘CryptoLocker’는 [그림-1]에서 볼 수 있듯이 과거 2013년 9월에 처음 발견이 되었으며 ‘CryptoWall’, ‘TorrentLocker’, ‘CryptographicLocker’, ‘TeslaCrypt’ 등의 이름으로 변형들이 계속해서 나타났다. 주로 이메일을 통해 유포되던 랜섬웨어 악성코드가 최근 국내 인터넷 커뮤니티 사이트를 이용해 유포되었고 해당 랜섬웨어인 ‘CryptoLocker’ 도 과거의 그것들과 같은 류이다.

 

[그림-1] 주요 랜섬웨어 타임라인

 

이번 랜섬웨어에 감염되면 나타나는 페이지는 [그림-2]와 같은데 암호화된 파일들을 복원하기 위해 한화 약 438,900원의 BitCoin을 요구한다. 피해자들이 비용 지불을 쉽게 할 수 있도록 결제 방법을 상세하게 설명하고 있으며 실제 복원이 됨을 증명하기 위해 암호화된 파일 중 1개의 파일을 무료로 복호화 해주고 있다. 이를 통해 악성코드 제작자는 중요한 파일을 암호화하여 사용자의 금액 지불을 유도하는 것이 목적임을 알 수 있다.

 

[그림-2] CryptoLocker에 감염 시, 보여지는 웹 페이지

 

그리고 사용자 PC의 IP대역을 확인해서 해당 국가에 맞은 언어의 안내 페이지를 생성 및 실행하여 보여 준다. 결제를 진행하기 위해 안내된 링크를 클릭하면 아래와 같은 정보가 기본으로 세팅 되어 있는데, Tor (anonymity network)를 사용해서 네트워크를 추적하기 어렵게 해 놓았다.

(예제) http://zoqowm4kzz4cvvvl.torlocator.org/jxt85f9.php 
- User-Code:  12lrne9
- User-Pass:  8394

 

2. 감염 경로

아래의 [그림-3]과 같이 사용자 시스템의 취약점을 이용한 전형적인 웹 기반의 DBD(Drive-By-Download) 방식을 통해 감염이 이루어졌다. 국내에서 많은 사용자들을 보유하고 있는 유명 커뮤니티 사이트에 접속하게 되면 취약한 사이트로 리다이렉션(Redirection) 되면서 특정 취약점에 의해 랜섬웨어 악성코드가 다운로드 되고 실행되었다.

 

[그림-3] 감염경로

 

1) 최초 유포지 및 경유지

이번 랜섬웨어 악성코드 배포에는 국내 3곳의 대표적인 IT 커뮤니티가 악용되었음이 확인되었다.

(1) C업체
(2) S업체
(3) R업체

이들 국내 사이트에는 광고 데이터를 동적으로 받아서 화면에 보여주는 기능이 포함되어 있다. 공격자는 이 기능을 악용하여, 아래와 같이 광고서버에 악의적인 스크립트를 삽입하거나 또는 직접 사이트를 변조하는 방법으로 사용자들이 인지하지 못한 채 악의적인 사이트로 연결되도록 유도하였다.

[그림-4] C업체에 삽입된 악성스크립트

 

[그림-5] S업체에 삽입된 악성스크립트

 

[그림-6] R업체에 삽입된 악성스크립트 (SWF 이용)

 

특히, 삽입된 악성 스크립트들은 경유지 사이트를 거쳐, 최종적으로 취약점 공격코드가 탑재된 사이트로연결된다. 이 때, 사용자 클라이언트 시스템 상의 취약점을 이용하기 위해 자동화된 웹 공격 툴킷인  “Angler EK” 가 사용되었다. 

 

2) 자동화된 웹 공격 툴킷 –“Angler EK”

아래의 [그림-7], [그림-8]과 같이 사용자는 최종적으로 난독화된 “Angler EK”의 취약점 랜딩페이지로  연결된다.

[그림-7] Angler EK 난독화된 취약점 랜딩페이지

 

[그림-8] Angler EK 동작구조

 

이 때, 악성코드의 탐지우회 기능과 유사하게, 스크립트 레벨에서도 취약점 'CVE-2013-7331'을 이용하여 가상환경, 분석환경, 백신 프로그램 등의 클라이언트 환경을 체크한다. 만약, 해당 프로그램들이 존재하는 경우, 공격이 정상적으로 이루어지지 않는다.

또한, 다음과 같이 특유의 변수를 이용하여 개별 애플리케이션들의 공격여부를 제어한다.

애플리케이션

변수

 

 

Adobe Flash Player

 

window.sf325gtgs7sfdf1

window.sf325gtgs7sfdf2

 

MS SilverLight

 

window.sf325gtgs7sfds

 

Oracle Java

 

window.sf325gtgs7sfdj

 

환경체크

 

window.sf325gtgs7sfdfn

[표-1] 애플리케이션 제어 변수

 

3) 취약점 및 페이로드 (쉘코드)

일반적인 Angler EK는 다양한 애플리케이션 취약점을 이용하는 것으로 알려져 있으나, 이번 공격에는 “God Mode”로 알려진 'CVE-2014-6332'와 Flash 취약점인 'CVE-2014-0515' 취약점이 이용되었다.

[그림-9] 'CVE-2014-6332' 취약점

 

[그림-10] 'CVE-2014-0515' 취약점 발생부분

 

[그림-11] 웹으로부터 전달된 “exec” 파라미터(Base64 인코딩) 처리

 

[그림-12] 'CVE-2014-0515' 취약점 원인 'Pixel Bender Binary Data'

 

[그림-13] 'CVE-2014-0515' 취약점 코드

 

다음과 같이 실제 쉘코드 실행 시, 공격자 사이트로부터 추가적인 Payload를 다운로드 받는다. 이를 해당 KEY 문자열로 해제한 후, 페이로드의 시작이 “9090” 또는 “MZ” 인지 구별하여 직접 메모리 상에서 실행하거나 tmp 파일(%temp%폴더)로 생성하여 실행한다.

[그림-14] 쉘코드(ShellCode) 일부

 

3. 기능분석

 

1) 전체 동작 흐름

이번 랜섬웨어가 실행이 되면 기타 다른 악성코드처럼 자기 자신을 ‘%WINDOWS%’ 폴더에 복사해놓고 ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<랜덤명>’ 에 등록한다. 해당 키에 실행 파일을 동록 해 놓으면 시스템을 재 부팅할 때마다 자동으로 실행이 되는데, 이렇게 되면 해당 파일을 찾아서 삭제하지 않는다면 감염된 PC의 사용자가 금액을 지불하고 파일을 복구했다고 하더라도 재감염 될 가능성이 높다. 자신을 자동 실행되게 등록한 후에는 정상 ‘explorer.exe’ 프로세스를 생성하고 C&C 서버 통신 및 파일을 암호화하는 주요 기능을 포함한 PE파일을 인젝션 시켜서 동작한다.

[그림-15] CryptoLocker 동작흐름

 

2) 세부 내용

 

a) 네트워크 접속

네트워크 통신 상태를 확인하기 위해 ‘www.download.windowsupdate.com’ 와 ‘akamaitechnologies.com’에 접속한다. 이후 아래의 [그림-16]과 같이 C&C 서버 인 ‘https://lepodick.ru/topic.php’에 두 번에 걸쳐 ‘POST’ 패킷을 전송하는데 첫 번째는 사용자 PC의 정보를 전달한 후 IP대역에 따른 (각 나라별) ‘.txt’와 ‘.html’ 파일을 받아 온다. 그리고 두 번째에는 앞에서 보낸 정보에 암호화된 파일들을 복호화 할 때 필요한 키 정보(256byte)를 함께 보내고 서버에서 ‘200 OK’ 응답을 받으면 파일들을 암호화하기 시작한다. 서버로부터 받은 ‘DECRYPT_INSTRUCTIONS.txt’와 ‘DECRYPT_INSTRUCTIONS.html’ 파일은 암호화한 파일이 있는 모든 폴더에 생성되며, 시스템이 감염되었다는 메시지를 사용자에게 보여주고 파일을 정상적으로 복원하기 위해 BitCoin을 사용한 결제 방법이 설명되어 있다.

[그림-16] C&C 통신과정

 

b) 볼륨 섀도우 카피 삭제

아래 명령을 실행해서 볼륨 섀도우 카피를 삭제하는데 이렇게 되면 Windows 운영체제에서 제공하는 파일 백업 및 복원 기능을 정상적으로 사용할 수 없다. 이 명령은 CryptoLocker류에서 공통적으로 확인 할 수 있는 기능이다.

- vssadmin.exe Delete Shadows /All /Quiet

 

c) 파일 암호화

랜섬웨어의 가장 특징적인 기능인 사용자의 중요 파일들을 암호화하는데 아래에 리스트 되어 있는 확장자를 가진 파일과 폴더는 대상에서 제외된다. 그리고 ‘이동식 드라이브’와 ‘네트워크 드라이브’에 있는 파일도 암호화 대상이 되며 암호화가 완료된 파일에는 확장자 뒤에 ‘.encrypted’ 문자열이 붙게 된다.

 

[제외대상 확장자]

.avi, .wav, .mp3, .gif, .ico, .png, .bmp, .txt, .html, .inf, .manifest, .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe

 

[제외대상 폴더]

- %Program Files%
- %ProgramW6432%
- C:\WINDOWS
- C:\Documents and Settings\All Users\Application Data
- C:\Documents and Settings\사용자계정\Application Data
- C:\Documents and Settings\사용자계정\Local Settings\Application Data
- C:\Documents and Settings\사용자계정\Cookies
- C:\Documents and Settings\사용자계정\Local Settings\History
- C:\Documents and Settings\사용자계정\Local Settings\Temporary Internet Files

앞에서 리스트 되어 있던 암호화 대상 제외 확장자 및 폴더를 제외하고는 파일 외형적으로는 아래 [그림-17]처럼 파일의 확장자에 ‘.encrypted’ 가 추가가 된 것을 확인 할 수 있다. 이렇게 암호화된 파일 내부에는 변경된 원본 데이터와 시그니쳐 그리고 복호화에 필요한 256 바이트 Public Key가 포함되어 있다.

[그림-17] 감염 전/후의 변경된 파일명

 

4. 복구 프로그램

이번 국내 이슈가된 CryptoLocker 에 대한 복구 프로그램은 내부에 감염 사용자 별로 다른 복호화 키 인덱스 정보(0x20 바이트)를 포함하고 있다. 실행 시, 아래의 [그림-18]과 같은 화면이 나타나며 "Start Decryption" 버튼을 클릭하면, 감염 조건에 부합하는 드라이브 및 폴더에 대한 스캔과정을 수행하며 ".encrypted" 확장자를 갖는 파일들에 대해 실제 복호화작업이 이루어짐을 확인할 수 있다.

[그림-18] 복구 프로그램 내부에 저장된 Key 정보

".encrypted"로 암호화된 파일은 공통적으로 원래 파일크기에 0x108(264 바이트)가 증가한 것을 알 수 있다. 파일 끝에 추가된 0x108 크기의 데이터는 다음과 같은 구조를 갖는다.

증가한 264 바이트 = 해쉬정보(4-bytes) + 시그니처(4-bytes) + 공개키(256-bytes)

아래의 [그림-19]는 실제 복구툴 내부에 저장된 키 인덱스 정보(0x20 바이트)룰 통해 생성된 데이터(0x108 바이트)와 ".encrypted" 파일에 존재하는 해쉬정보 비교를 통해 유효한 키 인지 검증하는 과정을 나타낸다.

[그림-19] 유효한 키 여부 검증하는 부분

 

5. 결론

이번 CryptoLocker 랜섬웨어는 국내 유명 커뮤니티 웹사이트의 광고 배너를 통해 유포되면서 많은 국내 피해자를 발생시켰다. 이에 웹 관리자의 보안에 대한 주의가 필요하며 PC 사용자는 랜섬웨어 악성코드를 예방하기 위해 발신자가 불명확한 이메일의 열람에 주의하고 중요 파일들은 별도로 백업해 놓을 필요가 있겠다. 그리고 취약점에 의한 감염 피해를 줄이기 위해 운영체제와 응용프로그램들을 항상 최신으로 업데이트해야 하겠다. 이 외에도 백신프로그램을 통해 예방 할 수 있는데 V3에서는 해당 악성코드를 ‘Win-Trojan/Cryptolocker.229892’, ‘Win-Trojan/Cryptolocker.Gen’, ‘Trojan/Win32.Cryptolocker’ 등으로 진단하고 있으며 현재까지 파악된 관련 악성 경유지 및 유포지를 아래와 같이 확보하였다. 이에 주의가 필요하겠다.


[경유지]
- medbps.filmwedding.ro/bkktab2.html (gtdgq2.html, lrvqdg2.html, nprgj2.html)
- guhm.gusg.com.br/pzvjqn2.html
- aker.ktc66.com/tpgop2.html
- lub.liuboya.com/xzrwqh2.html (wvbrrd2.html, gibusn2.html, jibnnm2.html, lxhufq2.html, ubodwx2.html)
- lab.lamo.ro/tpgop2.html

[유포지]
- row.bottomwebsites.xyz/elusiveness_sugarcoated_icepack_worthier/41294017316481015
- gate.moneyslistsarea.xyz/dynasty_sunset_trepidation_guitarists/65630335056125154
- gate.nothaveillinous.xyz/tyrant_absolves_pimply_casualness/16752510507522986
- gate.nothaveillinous.xyz/shirked_edison_gatehouses_springier/47090670725834176

[C&C]
- lepodick.ru/topic.php
- possoqer.ru/topic.php
- koposorer.ru/topic.php
- wosowpe.ru/topic.php
 

 

신고
Posted by yhayoung

 

 금일 한국의 인터넷 사용자를 노린 랜섬웨어가 인터넷 커뮤니티 사이트에서 유포되었다. 러시아, 동유럽 국가 등에서 등장한 랜섬웨어는 서유럽, 미국 등으로 확산되어 많은 피해자를 양산하였다. 최근 몇 년 사이 한국에서도 랜섬웨어 악성코드에 감염된 사용자가 증가 하였으며, ASEC블로그에서 랜섬웨어 악성코드, 예방Tip등을 소개한 바 있다.

랜섬웨어(Ransomware)란, 

Ransom(몸값)과 Software(소프트웨어)란 단어가 합쳐져서 생성된 단어로 악성코드가 PC에 존재하는 중요한 자료들을 암호화하여 사용하지 못 하도록 한 후, 만약 암호화된 파일을 복구하려면 피해자로 하여금 돈을 지불하도록 강요하는 악성코드를 의미한다.

이번 등장한 크립토락커(CryptoLocker) 랜섬웨어는 한글로 되어 있으며, 한국의 인터넷 커뮤니티에서 유포된 점을 보아 한국의 사용자를 표적으로 하였음을 알 수 있다.

 

해당 악성코드의 동작방식과 증상은 아래와 같다..

-. 악성코드에 감염되면 아래와 같이 파일 및 레지스트리를 생성 한다.


[파일 생성 정보]

 

CREATE

C:\Windows\이름(랜덤).exe

 

[레지스트리 등록]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\이름(랜덤)
""C:\WINDOWS\파일명(랜덤).exe""

-. 레지스트리 Run키에 자기 자신을 등록하여 재부팅 시 자동실행 하도록 하였다.

 

[네트워크 연결]

 

 lexxxck.ru/topic.php 6x.1xx.1x5.xx2:443 (러시아)

 

랜섬웨어는 PC에 저장된 파일을 암호화하며, 해당 악성코드에 의해서 암호화된 파일은 아래 그림에서 보는 것처럼 [원본파일명.encrypted]형식을 가지게 된다.



[그림 1] 암호화된 파일


[표 1]의 확장자를 제외한 모든 파일을 암호화한다.

*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe

[표 1] 암호화 대상에서 제외된 확장자




[그림 2] 암호화 대상 코드

 

WhiteList 13개 확장자가 아니면 모두 감염대상에 포함된다.

 

PC에 존재하는 파일들에 대한 암호화 작업이 완료되면 [그림 3]의 파일을 생성하고 실행하여 화면에 보여준다.

[그림 3] 생성 파일


[그림 4] 감염 안내 메시지1




[그림 5] 감염 안내 메시지2

 


[그림 6]의 내용은 CryptoLocker에 의해 PC에 저장된 파일이 암호화되었으니, 파일을 복호화 하기 위해선 비트코인을 지불하라는 메시지이다.


[그림 6] 비트코인 요구 및 지원 서비스 제공


랜섬웨어 악성코드 제작자는 암호화된 파일들을 인질로 한화 약 438,900원의 비트코인을 요구한다. 피해자들이 비용 지불을 쉽게 할 수 있도록 비트코인 결제 방법을 상세하게 설명해주고, 암호화된 파일 중 1개 파일을 무료로 복호화 해준다.

최종적으로 악성코드 제작자는 중요한 파일을 암호화하여 사용자의 돈을 목표로 했음을 알 수 있다. 악성코드 제작자에게 돈을 지불하면 암호화된 파일을 복호화 방법을 알려준다고는 하나 이 역시 확인된 바가 없다.

이번 랜섬웨어는 국내 웹사이트에서 유포되어 많은 피해자를 양산하였다. 사이트 관리자의 사이트 및 광고 배너 보안에 주의가 요구된다. PC 사용자는 랜섬웨어 악성코드를 예방하기 위해 아래와 같은 수칙을 생활화 해야 한다.


랜섬웨어 예방수칙

  1. 스팸성 이메일 실행 자제
  2. 중요 파일 별도 백업
  3. 중요 문서 '읽기전용' 설정
  4. 운영체제 및 응용프로그램 최신버전 업데이트



V3 제품에서는 아래와 같이 진단하고 있다.

<V3 제품군의 진단명>

Win-Trojan/Cryptolocker.229892 (2015.04.21.03)



신고
Posted by DH, L@@

   

랜섬웨어 악성코드는 주로 문서나 컴퓨터 시스템의 정상적인 사용을 방해하고, 대가로 금전을 요구하는 방식으로 이루어져 있다.

최근 스팸메일의 첨부파일을 통해 랜섬웨어가 유포되고 있어 사용자의 각별한 주의가 필요하다.

악성코드를 유포하는 스팸메일 중 하나를 확인해보겠다.

 

[그림 1] 메일 원본

 

첨부파일은 압축되어 있으며, 압축을 풀면 아래 파일을 확인할 수 있다. 파일의 확장자는 일반적인 실행파일의 확장자인 'EXE'가 아니다. 화면보호기 파일의 확장자인 'SCR'이다. 하지만 대부분 사용자는 윈도우 탐색기 옵션 중 '[폴더 옵션] - [알려진 파일 형식의 파일 확장명 숨기기]'를 사용하기 때문에, 파일명인 'hunkered'만 표기된다.

이 때문에 사용자는 별다른 의심 없이 파일을 실행하게 된다.

 

[그림 2] 확장자가 보이지 않는 상태(좌) / 확장자가 보이는 상태(우)

 

파일 'hunkered.scr'을 실행하면, 문서파일이 사용자에게 보여진다.

 

[그림 3] 문서의 내용

 

실행된 파일은 단순한 문서파일이다. 그러나 파일 실행과 동시에 또 다른 악성파일을 생성하며, 외부 네트워크에 연결을 시도한다.

 

[생성되는 파일]

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hunkered.rtf    

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\12200593.exe (랜덤 파일명)

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qgkhcub.exe

[표 1] 생성되는 파일

 

외부 네트워크 연결]

157.56.96.56:80 → windowsupdate.microsoft.com

2**.1**.3*.1**:443

1**.9*.*.7:443

2**.1**.3*.1*:443[

2**.1**.3*.3:443

46.19.37.108:80 → ip.telize.com

1**.*5.3*.5:443

1**.15*.1**.7*:443

7*.*3.*7.*4:9090

1*.*9.*6.*2:443

1*.*1.*6.*6:443

1*.1*.1*.*2:443

8*.*9.**.*8:443

[표 2] 외부 네트워크 연결

 

네트워크 연결을 시도하는 IP 중 일부는 Tor 네트워크로 접속을 시도한다. 이는 Tor 네트워크 특성 상 추적이 힘든 점을 이용한 것으로, 공격자가 사용자의 정보 수집 시 이용하는 것으로 추정된다.

 

생성하는 파일 '12200593.exe (랜덤 파일명)'과 'qgkhcub.ex'e'는 같은 파일이며, 파일 'qgkhcub.exe'이 시스템에 존재하는 파일을 암호화한다.

 

파일 'qgkhcub.exe'이 실행되면 다음과 같이 사용자에게 파일이 암호화된 사실과 복호화하는 방법을 바탕화면 및 경고 팝업창을 통해 알린다.

 

[그림 4] 변경된 바탕화면

 

[그림 5] 사용자에게 띄워주는 경고 팝업창

 

악성코드에 의해 아래 확장자 파일을 모두 암호화 시키며, 암호화하는 파일 확장자를 살펴보면 아래와 같다.

 

[암호화 대상 파일 확장자]

.AI, .C, .CDR, .CER, .CRT, .DBF, .DER, .DOC, .DOCM, .DOCX, .EPS, .JPEG, .JPG, .JS, .MDB, .P12, .PAS,
.PDF, .PFX, .PHP, .PL, .PPT, .PPTX, .PST, .PY, .RTF, .SQL, .TXT, .XLK, .XLS, .XLSM, .XLSX, etc

[표 3] 암호화 대상 파일 확장자

 

암호화 대상 파일 확장자에는 '공인 인증서 관련 파일, 그림 파일, 문서 파일, 아웃룩 데이터 백업 파일' 등 사용자들이 자주 사용하는 것들이 주를 이루고 있다. 이 때문에 랜섬웨어에 감염된 사용자들은 많은 불편을 겪는다.

또한, 이전의 랜섬웨어와 동일하게 사용자에게 테스트로 암호화된 파일을 복호화하는 기능을 제공하며, 이를 통해 사용자에게 결제를 유도한다.

 

[그림 6] 사용자의 결제를 유도하는 메시지

 

암호화되는 파일들은 아래 [그림 7]와 같이 확장자 뒤에 랜덤문자열로 구성된 문자가 추가된다.

 

[그림 7] 암호화되어 확장자가 변경된 파일

 

이후 파일 복호화를 위해 진행하면 다음과 같이 비트코인 결제를 안내한다.

 

[그림 8] 비트코인 결제방법 안내

 

하지만, 여기서 알아야 할 것은 결제를 하더라도 파일 복구가 될 가능성은 적다는 것이다.

 

그렇다면, 랜섬웨어에 감염되지 않으려면 어떻게 해야 하는 걸까?

 

랜섬웨어는 보통 메일을 통해 유포되는 경우가 많다. 그러므로 출처가 확인되지 않은 메일의 첨부 파일의 실행은 하지 말아야 한다. 또한, 메일의 내용을 읽어서 스팸 메일 여부에도 주의를 기울여야 한다.

일반 사용자들은 Windows 폴더 옵션 항목 중 "알려진 파일 형식의 파일 확장명 숨기기" 기능을 사용하고 있는 경우가 많다. 이 기능을 사용하게 되면 문서 파일과 일반적인 프로그램 파일로 위장한 실행 파일 및 화면보호기 파일을 한눈에 구별하기 힘들다. 해당 기능을 해제하면, 확장자를 혼동하여 악성코드를 실행하는 사례가 줄어들게 될 것이다.

랜섬웨어의 경우 한번 암호화가 되었을 때는 안티 바이러스 프로그램에서는 복구가 불가능하므로 주기적으로 문서 및 중요 자료들을 별도의 저장장치에 백업해두는 습관이 필요하다. 자료들을 백업해두면 악성코드에 의해 자료가 손상되거나 삭제가 된 경우 복구를 할 수 있기 때문이다.

 

V3 제품에서는 아래와 같이 진단 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Agent (2015.01.20.04)

Trojan/Win32.CTBLocker (2015.01.21.04)

Trojan/Win32.Ransom (2015.01.20.04)


저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by DH, L@@

Your computer was automatically blocked

 

작년부터 악명을 떨친 랜섬웨어는 크립토락커(CryptoLocker)와 크립토월(CryptoWall)이 있다. 이러한 랜섬웨어는 시스템 내부의 특정 파일을 암호화한 후 암호화 해제를 빌미로 돈을 요구한다. 하지만 최근 사용자에게 몸값을 요구하는 새로운 악성코드가 발견되었다.

 

이 악성코드는 국가안보국(National security bureau, NSB)으로 가장하여 사용자에게 경고 메시지 표기 및 시스템 사용을 방해한다. 이를 해결하기 위해서 미화 250달러를 입금하도록 유도하고 있다.

 

해당 악성코드에 감염되면, 아래 [그림 1]와 같은 화면이 나타나면서 "불법 소프트웨어가 탐지되어, 시스템을 사용을 차단하였습니다."는 메시지를 화면에 보여준다. 또한, 다른 프로그램의 실행을 방해하고, 메시지를 강제로 종료하여도 자동으로 다시 실행되므로 사용자는 시스템을 정상적으로 사용할 수 없다.

 

[그림 1] 감염 시 시스템에 표기되는 메시지

 

 

악성코드에 감염되면 아래 경로에 악성파일을 숨김속성으로 생성한다. 생성된 악성파일은 시작프로그램에 등록되어 시스템이 시작할 때 자동실행된다.

 

C:\Documents and settings\All Users\CEloogwA\

C:\Documents and settings\Administrator\AlAcUMcc\

[표 1] 악성파일 생성 경로

 

또한, 악성파일의 은폐를 목적으로 다음과 같이 레지스트리 값을 수정한다.

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA

사용자 계정 컨트롤 설정을 사용하지 않도록 변경

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

알려진 파일의 확장자가 보이지 않게 변경

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

탐색기 폴더 옵션의 "숨김폴더 표시 안함"으로 변경

[표 2] 수정된 레지스트리 경로

 

이후, 'C:\Documents and Settings' 경로 내부에 존재하는 파일(ppt, jpg, doc, png, exe, wav 등)을 감염시킨다. 감염 방식은, 시스템의 루트(C:\) 경로에 정상파일의 바이너리를 복사한 후 악성코드에 삽입하는 방법으로 진행된다.

 

감염된 파일들은 모두 실행파일(exe) 형태로 변경되며, 감염 시 정상파일에서 아이콘을 추출해 변조된 파일에 삽입시키기 때문에 외관상의 모습으로는 감염 여부를 구분하기 어렵다.

 

[그림 2] 감염 전 파일(좌) / 감염 후 파일(우)

 

위 그림은 악성코드 감염 전과 감염 후의 파일의 비교를 위한 그림이다. 보다 쉬운 이해를 위해 그림에서는 감염된 파일의 확장자를 보이게 설정하였다. 그러나 실제로 악성코드에 감염될 경우 확장자 '.exe'는 보이지 않는다.

 

 

[그림 3] 감염된 파일의 프로세스 트리

 

이처럼 감염된 파일은 파일명과 아이콘이 정상파일과 동일하게 위장하고 있다. 하지만, 악성파일의 실행이 선행되도록 조작되어있다. 그렇기 때문에 실행 시 위 [그림 3]와 같은 비정상적인 프로세스 트리를 가지게 된다.

 

[그림 4] 악성코드 내에 정상파일 실행 부분

 

감염된 파일을 실행하면, 악성코드를 생성/실행 하고 정상 파일을 temp 경로에 생성한 후 악성코드의 실행 시 인자 값으로 정상파일의 경로를 줌으로써, 악성코드의 자식프로세스로 실행되도록 만든다.

 

해당 악성코드는 국가안보국으로 가장하여 시스템의 가용성을 인질로 돈을 요구하고 있다. 파일들이 감염되는 과정에서 파일을 암호화하지는 않지만, 정상파일의 바이너리가 손상될 경우 정상 파일을 복구할 수 없을 수도 있기 때문에 사용자의 각별한 주의가 필요하다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

 

Trojan/Win32.Agent (2014.12.16.03)

Trojan/Win32.Agent (2014.12.16.03)

Trojan/Win32.Dynamer (2014.12.12.02)

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by DH, L@@

 

 요즘 유포되는 악성코드의 대부분은 금전적 이득을 목적으로 제작된다. 소액결제를 노린 'chest' 금융정보를 노린 'bankun' 등의 능동적 수익 모델과 랜섬웨어와 같은 입금을 기다리는 수동적인 모델이 있는데, 오늘 다루고자 하는 악성 앱은 후자의 경우에 속하는 모바일 랜섬웨어를 다루고자 한다.

 

국내의 경우에는, 아직 대부분 문서작업등을 PC에서 하고 있기 때문에 PC(Windows)보다 상대적으로 위협적이진 않다. 하지만 스마트 폰에 의해 만들어진 사진, 영상 등은 스마트 폰에서 생성되는 유일한 자료라고 본다면 그렇지 않을지도 모르겠다.

 

과거 ASEC Blog를 통하여 안드로이드 랜섬웨어인 ANDROID DEFENDER에 대해 다룬 적이 있다. 해당 악성 앱은 허위 감염 내용으로 금전적 이득을 취하려는 내용이었다.

 

ASEC Blog : http://asec.ahnlab.com/974 (안드로이드 랜섬웨어)

 

이번에는 SimpleLocker 라고 불리는 랜섬웨어에 대하여 살펴보겠다. 해당 악성 앱은 스마트 폰의 파일을 암호화하고 이를 통하여 금전적 이득을 취하려고 한다. 이런 모습은 Windows 기반의 랜섬웨어와 유사하다. 이 악성앱은 지난 5월경부터 꾸준히 발견되고 있다.

 

악성 앱이 사용한 아이콘을 비교하기 위해 몇 개의 아이콘을 확인해봤다. 안드로이드, iGO, Flash player의 아이콘을 사용함으로써 사용자를 속이기 위한 것으로 보인다.

 

[그림 1] 랜섬웨어의 아이콘

 

위 악성 앱(iGO아이콘)을 설치하는 과정에서 아래와 같은 권한과 휴대폰 관리자 권한을 요구한다. 앱을 설치하면 4PDA(iGO) 러시아 페이지를 보여준다.

 

[그림 2] SimpleLocker 설치

 

휴대폰 관리자를 활성화 할 경우 보여지는 페이지의 소스

[그림 3] 4pda 페이지 로딩 소스

 

악성 앱의 패키지명은 com.simplelocker 이며, Android 4.2 버전에 맞춰서 제작되었다.

 

Android 4.2, 4.2.2

17

JELLY_BEAN_MR1

[표 1] 악성 앱 Android 제작 버전

[그림 4] 악성 앱의 권한정보

 

악성 앱 설치 후에는 스마트폰의 디바이스 정보(IMEI)를 전송한다.

 

[그림 5] 디바이스 정보 전송

 

실제 전송되는 패킷을 살펴보면 아래와 같다.

[그림 6] 디바이스 정보 전송 패킷

 

이후 스마트폰에 저장된 문서, 이미지, 동영상 파일을 'jddlasssadxc322323sf074hr' 키 값으로 암호화한다.

 

또한, 암호화한 파일의 끝에 '.enc' 확장자를 추가하여 저장하며, 원본 파일은 삭제한다. 암호화 대상 파일은

'jpeg', 'jpg', 'png', 'bmp', 'gif', 'pdf', 'doc', 'docx', 'txt', 'avi', 'mkv', '3gp', 'mp4' 이다.

 

[그림 7] 암호화 대상 파일 리스트

 

암호화된 파일은 아래 그림과 같이 확장자가 추가되었다. 일반적으로 이미지(사진) 파일은 갤러리 앱으로 보게 되는데, [그림 8]과 같이 암호화된 경우에는 사진 목록에서 확인할 수 없게 된다.

 

[그림 8] 암호화된 파일

 

 추가적으로 Flash Player 아이콘으로 위장하고 com.common.weather 패키지명을 사용하는 랜섬웨어 악성 앱의 증상을 살펴보겠다. 스마트폰의 기기모델명, IMEI, 전화번호, 통신사, 국가 정보를 가져와 첫 화면에 표시하고, 불법 저작권 및 관리법 위반에 해당하므로 벌금을 내지 않을 경우 2~8년 동안 자유를 박탈하겠다고 협박한다.

 

[그림 9] 랜섬웨어 악성 앱 설치 화면

설명이 장황하지만, 랜섬웨어에 자주 등장하는 단어들이 보인다. 'FBI', 'pornography', 'card with $500' 요약하자면 잠긴 스마트폰을 풀고, 파일을 복호화 하고 싶으면 $500를 입금하고, 입금이 확인되면 미국 재무부에서 24시간 안에 차단을 해제해 주겠다는 내용이다.

 

"To unlock your device and avoid legal persecution to the maximum extent of the law, you are obligated to pay a fine of $500. Acceptable payment must be made through GreenDot MoneyPak. Load a MoneyPak card with $500 and enter the code below. MoneyPak cards can be found in most stores, gas stations and paypoints." (중략)

"As soon as the money arrives to the U.S. Department of the Treasury, your device will be unblocked in 24 hours."

 

[그림 10] FBI 를 사칭한 협박과 금전 요구

화면 중간에 스마트폰 사용자가 보이도록 카메라를 설정했다. 그리고 자신을 범죄자처럼 묘사했다.

 

"Your camera is used for gathering additional information for investigation. All the footage will be added to a criminal case."

 

대부분 랜섬웨어에 감염된 스마트폰은 사용자의 제어를 불가능하게 만든다. 다른 앱의 실행은 물론, 악성 앱 삭제를 할 수 없도록 여러 가지 방법을 사용한다. 이런 경우에는 스마트 폰을 "안전모드"로 부팅하여 "기기 관리자(휴대폰 관리자)"를 비활성화하여 삭제하면 된다.

 

제조사 별로 안전모드에 접근하는 방법은 다양하다. 사용자가 많은 2개 제조사의 안전모드 부팅 방법은 아래와 같다.

 

LG : 전원버튼 -> "전원끄기" 메뉴를 길게 누르고 있으면 안전모드 부팅 메시지가 보인다.

삼성 : 리부팅 시 통신사 로고가 나올 때 '메뉴' 버튼에 불이 들어오는데 이때 '메뉴'버튼을 누르고 있으면 안전모드로 부팅 된다.

 

기기관리자 권한을 획득한 악성 앱을 삭제하려면 아래의 순서로 조치하면 된다.

 

안전모드로 부팅 후, [설정] – [기기관리자(휴대폰 관리자)] 메뉴에서 악성 앱을 비활성화(체크해제)해준다.

다음으로 애플리케이션 목록에서 해당 앱을 제거하면 된다.

 

[그림 11] 기기관리자(휴대폰 관리자) 악성 앱의 권한(체크해제) 및 제거

 

 요즘은 간단한 작업이나 인터넷을 이용할 경우, PC보다 스마트폰을 이용하는 경우가 많아졌다. (2014년 7월 기준 스마트폰 가입자: 39,348,621명, 출처: 지식경제부 IT통계포털) 가입자의 증가와 더불어 악성 앱 역시 증가했다. 따라서 앱은 공식 마켓에서 다운로드 하여 설치하는 것이 상대적으로 안전하지만, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 확인하고 설치하는 습관을 지녀야 한다. 무심코 문자에 포함된 URL을 클릭하다 보면 악성 앱이 설치될 수도 있기 때문에 안전성이 확인되지 않은 URL 및 앱은 설치는 하지 않도록 주의해야 한다. 또한, 모바일 전용 보안 앱(V3 모바일 등)이나 스미싱 탐지 앱(안랩 안전한 문자 등)을 설치하고, 자동 업데이트 설정으로 항상 최신 엔진을 유지하여 더욱 안전한 스마트폰 환경을 만들어야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Android-Trojan/Simplelock

저작자 표시 비영리 변경 금지
신고
Posted by DH, L@@

안랩 ASEC에서 2013년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.47을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

PC 내 파일을 암호화하는 랜섬웨어 CryptoLocker

악성 매크로를 포함한 엑셀 파일

USB에 생성되는 ‘바로가기’ 파일

MS 오피스 제로데이 취약점(CVE-2013-3906) 주의

새터민 자기소개서로 위장한 악성 한글 파일 출현

신용카드 명세서로 위장한 악성코드 변종 유포

가짜 음성 메시지가 첨부된 악성 스팸 메일 등장

동영상 파일로 위장한 악성코드

이력서 문서 파일로 위장한 실행 파일


2) 모바일 악성코드 이슈

정상 앱을 가장한 광고 앱 주의

신뢰할 수 있는 기업의 웹사이트로 위장한 모바일 사이트

음란 페이지로 가장해 모바일 악성 앱 배포

웹서핑 중 자동으로 다운로드 되는 앱


3) 보안 이슈

비트코인 지갑 저장소를 노린 공격 발생

Apache Struts 2 취약점 업데이트 권고


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.47 발간



저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

포털 사이트 겨냥한 금감원 사칭 피싱 악성코드 주의’

택배 사이트 배송조회 페이지에서 유포된 악성코드

토렌트 사이트에서 유포된 hosts.ics 생성 악성코드

최신 영화 공유 파일을 이용한 악성코드 유포

다앙한 DDoS 공격 기능이 있는 악성코드

PUP(불필요한 프로그램)의 습격

한컴 엑셀 파일 취약점을 이용한 백도어 유포

전자 계정 명세서로 위장한 스팸 메일

이메일로 도착한 문자메시지


2) 모바일 악성코드 이슈

금융사 피싱 앱 주의

문자메시지 수집하는 사생활 침해 악성 앱 주의

성인 악성 앱 주의

안드로이드 랜섬웨어 주의 


3) 보안 이슈

주요 정부기관 DNS 서버 DDoS

국제 사회에 영향을 미치는 에드워드 스노든 효과


4) 2013년 상반기 보안 동향

* 상반기 보안 위협 동향

정부기관, 언론 및 금융기관을 대상으로 한 대규모 보안 사고

메모리 패치 기능을 이용한 인터넷 뱅킹 악성코드

국내 소프트웨어 대상 제로데이 취약점 증가

한국적 특색이 강해지는 모바일 악성코드

파밍과 결합된 온라인 게임 계정정보 탈취 악성코드

자바와 인터넷 익스플로러 취약점의 지속적인 악용

국가간 갈등을 유발하는 인터넷의 사이버 첩보전


* 상반기 모바일 악성코드 동향

2013년 상반기 모바일 악성코드 급증

정보 유출 및 과금 유발 트로이목마 다수

사용자 과금 유발 악성 앱 최다

국내 스마트폰을 노린 악성코드


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.42 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.35을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

JPEG 이미지 파일을 탈취해가는 악성코드

공다팩 (Gongda Pack) 스크립트 악성코드

과도한 트래픽을 발생시키는 악성코드 1

과도한 트래픽을 발생시키는 악성코드 2

이란에서 발견된 스턱스넷과 유사한 형태의 웜

특정 기관의 공고 관련 문서로 위장한 악성코드

조어도 영유권 분쟁 관련 문서로 위장한 악성코드

18대 대선 관련 엑셀문서로 위장한 악성코드

맥도널드 공짜 쿠폰 받아가세요!

Security Shield 허위 백신

해커 그룹  어나니머스  를 사칭한 랜섬웨어 발견

PayPal 결제정보 수정권고 피싱메일 주의


2) 모바일 악성코드 이슈

국내 타깃 안드로이드 악성코드 (스마트 청구서)

국내 타깃 안드로이드 악성코드 (구글 Play Store)

브라우저로 위장한 모바일 악성코드 


3) 악성코드 분석 특집

2012년 7대 악성코드 이슈


4) 보안 이슈

인터넷 익스플로러 취약점(MS12-071)

구글 크롬 제로데이 발표 예정자, 갑작스런 발표 취소. 이유는?

Cool Exploit Kit


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.35 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

랜섬웨어(Ransomware)는 동유럽과 러시아 등지에서 제작되는 것으로 알려져 있으며, 주로 문서나 사용하는 컴퓨터 시스템의 정상적인 사용을 방해하고, 그 댓가로 금전을 요구하는 형태로 알려져 있다.


현재까지 ASEC에서 파악한 랜섬웨어들은 악성코드 제작자에 의해 직접 제작되는 경우도 있으나 최근에는 다른 일반적인 악성코드와 동일하게 랜섬웨어 생성기에 의해 제작되는 사례도 존재 한다


그리고 국지적인 한계를 벗어나 감염된 시스템의 윈도우에서 사용하는 언어를 확인하여 그에 맞는 언어로 표기하는 형태도 있어, 한국어 윈도우에서는 한국어로 표기하는 랜섬웨어도 발견된 사례가 있다.


11월 2일, 해외에서 유명 해커 그룹인 어나니머스(Anonymous)를 사칭한 랜섬웨어가 발견되었다. 


이 번에 발견된 랜섬웨어는 감염된 시스템에서 스위스 보안 그룹 Abuse.ch에서 공개한 아래 이미지처럼 어나니머스의 로고와 메시지를 보여주고, 정상정인 시스템 사용을 위해 금전적인 댓가를 지불할 것을 요구 하고 있다.



이 번에 발견된 랜섬웨어가 시스템에서 실행 되면 우선 구글로 접속을 시도하여 감염된 시스템이 존재하는 지리적 위치를 확인하게 된다.


그리고 러시아에 위치한 다음 IP의 시스템으로 접속하여 감염된 시스템의 사용자에게 보여줄 내용이 담긴 picture.php 를 다운로드하게 된다. 


http://62.76.45.83/picture.php


분석 당시에는 정상적인 접속이 이루어지지 않음으로 어나니머스를 사칭한 메시지는 보여지지 않는다. 그러나 시스템의 정상 사용을 방해하는 기능은 정상적으로 수행된다.


해당 랜섬웨어는 감염된 시스템이 재부팅하더라 실행이 되더라도 랜섬웨어가 정상 동작하도록 레지스트리에 다음 키를 생성하게 된다.


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

sv??t = "%SystemDrive%\[파일 존재 위치]\[유포 당시 파일명]


그리고 감염된 시스템이 안전 모드로 부팅하지 못하도록 다음 레지스트리 키와 하위 키들을 모두 삭제하게 된다.


HKLM\SYSTEM\ControlSet001\Control\SafeBoot


이 번에 발견된 랜섬웨어가 해커 그룹인 어나니머스에서 제작되었는지는 알려지지 않았다. 그러나 다양한 형태의 랜섬웨어들이 지속적으로 발견되고 있음으로, 사용하는 시스템의 보안 패치와 함께 백신을 최신 엔진으로 업데이트 하는 것이 중요하다.


해커 그룹 어나니머스를 사칭한 해당 랜섬웨어는 V3 제품 군에서 다음과 같이 진단한다.


Trojan/Win32.PornoAsset

 

저작자 표시 비영리 변경 금지
신고
Posted by 비회원