bluecrab5 새롭게 변형되어 유포 중인 JS.BlueCrab 랜섬웨어 ASEC 분석팀은 JS형태로 유포되는 BlueCrab 랜섬웨어의 감염 과정에서 큰 변형이 발생한 것을 확인하여 관련 내용을 공유하고자 한다. JS.BlueCrab 랜섬웨어는 다운로드 페이지를 위장한 피싱 페이지로부터 유포된다. 공격자는 취약한 워드프레스 환경의 웹 서버를 탈취하여 다수의 악성 게시글을 업로드 하며 해당 악성 게시글에 접속 시 다음과 같이 다운로드 페이지로 위장한 피싱 페이지가 출력된다. 각 게시글마다 키워드를 다르게 하여 사용자의 악성코드 다운로드를 유도한다. 모니터링 과정에서 다음 그림처럼 외국어(독일어)로 된 피싱 페이지도 존재하는 것을 확인했다. 피싱 페이지에서 다운로드된 .JS 파일은 BlueCrab 랜섬웨어를 다운로드하여 실행하는 스크립트로 해당 스크립트에 대한 설명은 아래 블로.. 2020. 10. 26. 랜섬노트가 변경 된 BlueCrab 랜섬웨어 EXE (2020.03.11) ASEC분석팀은 작년부터 활발히 유포 중인 Bluecrab(=Sodinokibi) 랜섬웨어 실행파일(EXE)이 3월 11일 부터 랜섬노트가 변경되어 유포되고 있음을 확인하였다. 확인 된 유포방식은 Drive-By-Download 기법으로 다운로드되어 실행된 것으로 확인되었다. 그러나 이력서와 같은 방식으로 유포 될 가능성도 있으므로 사용자의 주의가 요구된다. 특정 파일, 폴더를 제외 하고 감염하는 것과 특정 프로세스가 존재하면 종료하는 행위, 특정 서비스 비활성화, 파워쉘을 이용해 볼륨섀도우카피를 삭제하는 방법까지 모두 과거 BlueCrab 과 동일하다. [감염 제외 폴더] "program files" "boot" "msocache" "appdata" "program files (x86)" "perflo.. 2020. 3. 19. 가짜 윈도우 화면과 함께 설치되는 신종 랜섬웨어 국내 발견(*.rezm 확장자) ASEC분석팀은 2020년 3월 2일 가짜 윈도우 업데이트 화면과 함께 설치되는 신종 랜섬웨어를 발견하였다. 해당 랜섬웨어는 기존 국내에 널리 유포되고 있는 Bluecrab, Nemty, Paradise 이름의 랜섬웨어와 동일한 패커(Packer)를 사용하여 유포 중이며 암호화된 파일은 확장자가 .rezm 이 추가되는 특징을 갖는다. 파일 실행 시 아래 주소에서 Fake 윈도우즈 업데이트 파일을 다운로드 받아 실행 되어, 사용자에게는 마치 윈도우즈 업데이트가 되는 듯한 화면을 보여준다. 그러나, 실제로는 랜섬웨어가 동작하여 사용자 컴퓨터 파일들을 감염 시킨다. http[:]//mopg.top/files/penelop/updatewin1.exe http[:]//mopg.top/Asjdi435784ihjk6.. 2020. 3. 2. 이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab) 갠드크랩(GandCrab)은 지난 2018년 초부터 2019년 2분기까지 1년이 넘는 긴 시간 동안 활발하게 유포된 랜섬웨어로 다양한 변종을 통해 전 세계적으로 막대한 피해를 끼쳤다. 국내 사용자를 노린 이력서나 한글 파일 형식 등으로 위장하기도 하였으나 2019년을 지나 2020년 현재는 사실상 자취를 감춘 상태이고, 블루크랩(BlueCrab) 이라는 새로운 랜섬웨어가 기존 갠드크랩과 유사한 방식으로 활발히 유포되고 있는 상황이다. 대다수의 일반적인 악성코드는 감염 시스템에 백신 제품이 설치되었거나 동작 중인 것이 확인되면 악성코드의 기능을 중단하거나 동작 프로세스를 변경한다. 이에 반해 갠드크랩 랜섬웨어는 랜섬웨어의 본래의 목적인 파일 암호화 외에도 코드 상에 ‘안랩’과 ‘V3 Lite’ 제품을 직접.. 2020. 1. 2. 빠르게 변화하는 BlueCrab 랜섬웨어 감염방식 (notepad.exe) 안랩 ASEC 분석팀은 피싱 다운로드 페이지로 유포되는 자바스크립트 형태의 BlueCrab(=Sodinokibi) 랜섬웨어를 지속해서 관찰하고 있다. 해당 피싱 다운로드 페이지는 유틸리티 다운로드 페이지로 위장하고 있으며, [그림 1]과 같이 구글 검색 상단에 노출되는 경우도 발견된다. 이러한 감염방식은 과거 갠드크랩(GandCrab) 랜섬웨어부터 사용되는 방식으로 이미 많이 알려진 내용이다. 하지만, 이러한 유포방식(자바스크립트 형태: *.js)에서의 변화는 없지만 자바스크립트 코드 상에서는 새로운 변화가 확인되었으며 변화하는 속도가 빠르게 진행되고 있어 사용자의 주의가 요구된다. *.js 파일 실행 시, 아래와 같은 프로세스 실행흐름을 보여주고 있으며 랜섬웨어 행위는 정상 윈도우 시스템 프로세스를 이.. 2019. 11. 5. 이전 1 다음
