본문 바로가기

전체 글보기1301

CryptXXX 랜섬웨어 3.x 버전 부분 복구대상 추가(오피스 문서파일) CryptXXX 랜섬웨어 3.x 버전의 암호화 방식 및 부분 복구툴을 배포하였다. 부분 복구 대상은 텍스트 형식의 파일들로 아래의 25개의 확장자를 갖는다. JAVA, HTML, CPP, TXT, HTM, PHP, VBS, ASP, PAS, JSP, ASM, XML, DTD, CMD, CSS, SQL, PY, JS, CS, SH, VB, PS, PL, C, H 2차로 MS Office 문서 파일들 중, PPTX, DOCX, XLSX 확장자 파일들에 대한 부분 복구기능을 추가하였다. 이들 3가지 파일들은 Open XML 형식으로 파일 시작부분이 ZIP 압축헤더 형태를 갖는 공통점이 존재한다. 부분 복구툴에서는 3가지 문서 파일들의 데이터 중 일부가 (공개키 암호화로 인해) 손실된 상태에서도 ZIP 압축헤더.. 2016. 6. 8.
CryptXXX 랜섬웨어 3.x 버전의 암호화 방식 (부분 복구툴) 지난 5월 26일 CryptXXX 이름의 랜섬웨어 중 2.x 버전에 대한 복구 툴을 배포하였다. 최근에는 복구가 불가능한 버전 3.x의 감염사례가 증가하고 있는 추세이다. 2.x 버전에 대한 복구 툴에서는 3.x 버전으로 암호화된 파일을 진단 시, "CryptXXX 3.x 악성코드에 감염된 파일로 복원이 불가능합니다."라는 메시지 창을 출력하고 있다. (암호화된 파일을 통해 버전을 확인할 수 있음) 현재까지 확인된 3.x 버전은 3.002, 3.100, 3.102, 3.200, 3.205 버전이며, 최근 "CryptXXX 랜섬웨어 한글화 버전발견" 제목으로 기사화된 파일은 3.100 버전에 해당하며, "온라인 커뮤니티의 광고배너를 통해 유포된 파일"은 3.200 버전에 해당한다. 3.100 버전 이후로는.. 2016. 6. 3.
CryptXXX 랜섬웨어의 암호화방식 (Update - 2016.06.01) 정상파일을 ".crypt" 확장자를 부여하여 암호화하는 특징을 갖는 CryptXXX 이름의 랜섬웨어는 현재까지 버전 1.x, 2.x, 3.x 세 가지 형태가 알려져 있다. 본 글에서는 이 중, 2.x 버전의 암호화 방식을 소개하고, 이를 바탕으로 일부 파일에 한해 복구가 가능함을 설명한다. 1. 암호화 방식 아래의 [그림-1]은 CryptXXX 에 의해 암호화된 "Photo.jpg.crypt" 파일을 나타낸다. 암호화는 고정크기(0x1FFF)의 블록 단위로 순차적으로 이루어지며, 암호화 최대 크기는 0xD012FE (대략 13M)로 이후의 데이터는 원본파일과 동일하다. (단, 원본파일 끝에 260바이트 크기의 데이터는 삽입) [그림-1] CryptXXX 암호화 방식 암호화된 파일은 공통적으로 원본파일과 .. 2016. 5. 25.
원본 파일 복구가 가능한 CryptXXX 랜섬웨어 최근 ‘크립트엑스엑스엑스 랜섬웨어’가 대량 유포되면서 피해 사례가 늘어나고 있다. 크립토엑스엑스엑스의 특징은 기존 랜섬웨어와는 달리 실행파일(EXE) 형태가 아니라 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다. DLL 형태로의 유포는 정상적인 프로세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다. 이 글에서는 크립트엑스엑스엑스의 동작 방식과 주요 기능 등 자세한 분석 내용을 소개한다. 또한 안랩은 이러한 분석을 바탕으로 현재 일부 버전(CryptXXX 2.x 버전)에 대한 원본 파일 복구 툴도 제공하고 있다. 크립트엑스엑스엑스 랜섬웨어(진단명: Trojan/Win32.CryptXXX, 이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤 “.crypt”확장자로 변경하.. 2016. 5. 25.
Locky 랜섬웨어와 CVE-2015-1701 취약점 4월 11일 발견된 Locky 랜섬웨어를 다운로드하는 악성코드에서 "CVE-2015-1701" 취약점이 사용된 것이 확인되었다. "CVE-2015-1701" 취약점은 2015년 4월, 'Operation RussianDoll' 이름으로 명명된 러시아발 APT(Advanced Persistent Threat) 공격에 사용되어 알려진 취약점이다. 참고로 Locky 랜섬웨어는 발견 당시부터 현재까지 윈도우 설치언어가 러시아어 인 경우, 동작하지 않는 특징을 갖는다. 즉, Locky 랜섬웨어는 러시아에서 제작/배포되는 것으로 추정되며, APT 공격에 사용된 취약점이 랜섬웨어에서도 동일하게 사용된 것이 흥미로운 부분이다. 또한, "CVE-2015-1701" 취약점과 관련하여 기 알려진 함수("ClientCopyI.. 2016. 4. 12.
음성으로 돈을 요구하는 Cerber 랜섬웨어 컴퓨터 파일을 인질로 삼은 후 돈(비트코인)을 요구하는 랜섬웨어(Ransomware)의 기세가 올해에도 식을 줄을 모르고 있다. 2월부터 꾸준히 유포되고 있는 Locky 랜섬웨어에 이어 파일을 암호화한 뒤 스크립트를 이용해 목소리로 사용자에게 친절하게 비트코인을 요구하는 "Cerber 랜섬웨어"(이하 Cerber)의 감염 사례가 최근 꾸준히 접수되었다. Cerber의 유포경로는 주로 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포하는 “멀버타이징(Malvertising)”으로 알려져 있으며, “러시아 지하 시장”에서는 Cerber가 해커들에게 활발하게 판매되고 있는 것으로 파악된다. Malvertising 에 사용된 도메인 일부는 다음 [표-1]과 같다. 2016. 4. 8.
Locky 랜섬웨어의 변화 (3가지) 3월부터 현재까지 Locky 라는 이름의 랜섬웨어의 국내감염 사례가 지속적으로 발생하고 있다. 국내뿐 아니라 해외 여러 보안업체에서도 이러한 Locky 랜섬웨어 대응을 위한 다양한 시도들이 진행되고 있으며, 제작자 또한 이를 우회하기 위해 기존의 동작방식에 변화를 주는 추세이다. 본 글에서는 최근 국내접수 Locky 를 통해 확인한 변화내용 3가지를 소개하고자 한다. 1. DGA (Domain Generation Algorithm) 호출방식 Locky 는 파일 암호화에 사용할 키 정보를 얻기위해 내부에 저장된 IP 로 접속을 시도한다. (접속 실패 시, 파일 암호화 과정 실패) 과거에는 "main.php" 가 최근에는 "submit.php"가 이용되고 있다. 최근에 발견되는 Locky 에는 총 3곳의 I.. 2016. 4. 7.
최근 급속히 유포되고 있는 신종 랜섬웨어, Locky 최근 다양한 경로를 통해 유포되고 있는 신종 Locky (록키) 랜섬웨어로 인한 피해가 급증하고 있어 사용자의 각별한 주의가 요구되고 있다. Locky 랜섬웨어는 주로 이메일 첨부파일에 가짜 송장 파일이나 급여 명세서와 같이 사용자의 호기심을 불러 일으키는 파일을 포함하여 사용자로 하여금 의심없이 파일을 실행하도록 하는 사회공학적 기법을 사용하여 유포된다.이메일 첨부파일은 오피스 문서인 Excel(엑셀) 및 Word(워드) 파일 내 악성코드를 다운로드 하는 Macro(매크로) 를 포함하는 형태이며, 최근에는 악성코드를 다운로드 하는 스크립트 파일을 압축하여 ZIP 파일로 직접 첨부하는 형태로 제작되고 있다. 또한, Locky 랜섬웨어 감염 시 사용자의 시스템 뿐만 아니라 연결된 네트워크 드라이브를 스캔하.. 2016. 3. 24.

티스토리툴바