Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

99950C335A08F03A0DBEA3



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2017년 11월 06일 한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 등장했습니다. 제작자는 해외에서 공개된 오픈소스 기반의 '히든 티어(Hidden Tear)' 랜섬웨어 소스를 활용했습니다.


랜섬웨어는 PDF 문서파일 아이콘으로 위장하고 있으며, 제작자는 'BlackListCP' 라는 이름으로 명명하였습니다.



99B515335A090011329957

[그림 1] 랜섬웨어 속성 화면



랜섬웨어가 작동하면 하기의 약 158종의 확장자를 대상으로 암호화 작업을 진행합니다.



".3dm", ".3g2", ".3gp", ".aaf", ".accdb", ".aep", ".aepx", ".aet", ".ai", ".aif", ".arw", ".as", ".as3", ".asf", ".asp", ".asx", ".avi", ".bay", ".bmp", ".cdr", ".cer", ".class", ".cpp", ".cr2", ".crt", ".crw", ".cs", ".csv", ".db", ".dbf", ".dcr", ".der", ".dng", ".doc", ".docb", ".docm", ".docx", ".dot", ".dotm", ".dotx", ".dwg", ".dxf", ".dxg", ".efx", ".eps", ".erf", ".fla", ".flv", ".idml", ".iff", ".indb", ".indd", ".indl", ".indt", ".inx", ".jar", ".java", ".jpeg", ".jpg", ".kdc", ".m3u", ".m3u8", ".m4u", ".max", ".mdb", ".mdf", ".mef", ".mid", ".mov", ".mp3", ".mp4", ".mpa", ".mpeg", ".mpg", ".mrw", ".msg", ".nef", ".nrw", ".odb", ".odc", ".odm", ".odp", ".ods", ".odt", ".orf", ".p12", ".p7b", ".p7c", ".pdb", ".pdf", ".pef", ".pem", ".pfx", ".php", ".plb", ".pmd", ".pot", ".potm", ".potx", ".ppam", ".ppj", ".pps", ".ppsm", ".ppsx", ".ppt", ".pptm", ".pptx", ".prel", ".prproj", ".ps", ".psd", ".pst", ".ptx", ".r3d", ".ra", ".raf", ".rar", ".raw", ".rb", ".rtf", ".rw2", ".rwl", ".sdf", ".sldm", ".sldx", ".sql", ".sr2", ".srf", ".srw", ".svg", ".swf", ".tif", ".vcf", ".vob", ".wav", ".wb2", ".wma", ".wmv", ".wpd", ".wps", ".x3f", ".xla", ".xlam", ".xlk", ".xll", ".xlm", ".xls", ".xlsb", ".xlsm", ".xlsx", ".xlt", ".xltm", ".xltx", ".xlw", ".xml", ".xqx", ".zip", ".txt"

[표 1] 랜섬웨어 감염 확장자 대상



암호화가 완료되면 바탕화면 경로에 'notice.txt' 이름의 랜섬노트를 생성하고 한국어와 영문으로 감염사실을 안내합니다. 그리고 제작자의 계정으로 보이는 'SkyDragon7845' 라는 아이디와 특정 웹 사이트 URL 주소를 보여주게 됩니다.



9962C3335A09002003B86B

[그림 2] 악성프로그램 내부에 포함되어 있는 랜섬노트 코드 화면



해당 웹 사이트로 접속을 하게 되면 'YouTube', 'Twitch' 링크가 다시 보여지게 됩니다.



998150335A09002D0165FE

[그림 3] 랜섬노트에 포함된 주소의 웹 사이트 화면



특히, 해당 동영상 웹 사이트에는 'BlackListCP' 랜섬웨어 감염 동영상과 함께 전 세계적으로 이슈가 된 바 있는 'WannaCry', 'Petya' 랜섬웨어 감염 동영상도 올려져 있습니다.



99FB72335A09003B2ACD39

[그림 4] 제작자가 운영중인 것으로 추정되는 동영상 사이트



랜섬웨어에 감염되면 컴퓨터에 존재하던 주요 파일들이 암호화되고, 원본파일에 'blacklistcp' 확장명이 추가됩니다. 그리고 바탕화면 경로에 생성된 랜섬노트를 생성하여 이용자로 하여금 특정 웹 사이트로 접속을 안내하게 됩니다.



99DB81335A09004B1E1940

[그림 5] 실제 랜섬웨어가 동작하여 감염된 화면



해당 악성프로그램 제작자의 동영상 사이트를 살펴보면 이미 다양한 랜섬웨어에 관심을 가지고 있는 것으로 보이며, 실제 오픈소스를 활용해 직접 랜섬웨어 제작까지 한 상태입니다.


아무리 단순 호기심이나 장난이라도 랜섬웨어를 제작하는 것은 매우 위험한 행위이며, 현재 이 랜섬웨어는 정상적으로 감염활동이 가능한 상태이기 때문에 각별한 주의가 필요합니다.


이스트시큐리티 시큐리티대응센터는 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 확산 및 피해 최소화에 긴밀하게 협력하고 있습니다.


알약에서는 Trojan.Ransom.HiddenTear 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.



99D3B3335A08FBD301825E


http://blog.alyac.co.kr/1407

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

토마토좋아

2017.11.26 21:54
가입일:
총 게시물수: 1
총 댓글수: 8

네 참고해야 겠네요..

profile

루인루

2017.12.07 00:30
가입일:
총 게시물수: 1
총 댓글수: 104

지난 내용이지만 잘보고 갑니다

profile

은희사랑

2017.12.09 13:19
가입일: 2017:11.18
총 게시물수: 81
총 댓글수: 360

좋은 정보 감사합니다.

profile

mantoman

2017.12.27 16:22
가입일:
총 게시물수: 0
총 댓글수: 185

좋은자료 고맙습니다..

profile

suhyou

2018.01.11 09:12
가입일:
총 게시물수: 1
총 댓글수: 784
좋은자료 고맙습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수sort
공지 보안 게시판 신설 file + 8 Op 2016-10-16 667
170 보안 소식 [긴급] NSA 해킹 의혹 해커조직, MS 윈도우 공격도구 공개 파장 + 5 ordo 04-18 135
169 보안 소식 CCTV 영상정보 보안의 끝...데이터 암호화, 위변조 방지 등 기술적 필수요건 file + 7 따봉 12-28 135
168 바이러스 MBR 감염형 랜섬웨어 ‘골든아이’ 출현 file + 11 따봉 12-12 135
167 보안 소식 [KISA]Samba 원격 코드 실행 취약점 보안 업데이트 권고 + 7 Soundofsol 05-29 133
166 보안 소식 새로운 콜드 부트 공격, 거의 모든 최신 PC에서 디스크 암호화 해제해 + 1 티오피 09-15 132
165 일반 [대중문화와 사이버 개념 이해] ①모든 해킹의 단초는 인간이다 + 6 ordo 05-01 132
164 보안 소식 KISA가 IoT 기기 버그바운티를 시작하는 이유 file + 8 따봉 12-29 132
163 일반 [대중문화와 사이버 개념 이해] ⑤보안 프로그램도 악용될 수 있다 + 6 ordo 05-01 131
162 보안 소식 중국발 사이버공습이 시작됐다 file + 8 Op 03-08 131
161 일반 몰지각한 10대들의 돈벌이 해킹에 보안 전문교육 ‘불똥’ + 4 ordo 04-05 130
160 일반 광고 산업의 기생충, 애드웨어 사용자와 광고 사기범들 + 8 크로커스 03-09 130
159 보안 소식 긴급] 사용자 PC ‘원격 제어’하는 악성 파일, 토렌트 통해 급속히 유포 중 file + 5 따봉 12-28 130
158 보안 소식 안랩, `해외 직구족 노린 랜섬웨어` 주의 당부 + 10 언제나 12-09 130
157 보안 소식 랜섬웨어 기승에...모방 악성파일까지 등장 file + 7 파란하늘 07-12 129
156 보안 소식 미국 민주당 해킹 사건 범인, 우크라이나 포병부대도 노려 file + 10 따봉 12-23 129
155 보안 소식 2017년 해킹을 일반인에게 이해시켜야 할지도 모르는 해 file + 7 따봉 01-04 128
154 보안 소식 랜섬웨어, 올해 최악의 ‘사이버 보안위협’ 자리 굳혔다 file + 7 따봉 12-30 127
153 일반 [대중문화와 사이버 개념 이해] ⑧사이버 보안의 기본은 물리적 보안이다 + 6 ordo 05-01 125
152 보안 소식 보안담당자여! 우리옆 의사, 네트워크 엔지니어를 공략하라 file + 8 따봉 12-28 123
151 보안 소식 Apple(iOS) 보안 업데이트 권고 + 6 ordo 04-09 122
150 일반 [대중문화와 사이버 개념 이해] ④SNS의 지속 성장은 유용성과 보안성에 있다 + 5 ordo 05-01 120
149 보안 소식 3·20 사이버테러 악몽 되살아나나? 국내 ATM 해킹 ‘파장’ + 6 j1159 03-21 119
148 일반 (ISC)²가 트럼프에게 사이버보안 행정명령 권고안 제시하다 + 4 ordo 04-21 118
147 보안 소식 러시아 해킹, 미국 및 국제 정치의 주요 쟁점되는가 file + 9 따봉 01-03 118
146 보안 소식 지능정보시대, 정보보호산업 육성에 1,285억 투입” file + 6 따봉 12-30 118