Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

99950C335A08F03A0DBEA3



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2017년 11월 06일 한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 등장했습니다. 제작자는 해외에서 공개된 오픈소스 기반의 '히든 티어(Hidden Tear)' 랜섬웨어 소스를 활용했습니다.


랜섬웨어는 PDF 문서파일 아이콘으로 위장하고 있으며, 제작자는 'BlackListCP' 라는 이름으로 명명하였습니다.



99B515335A090011329957

[그림 1] 랜섬웨어 속성 화면



랜섬웨어가 작동하면 하기의 약 158종의 확장자를 대상으로 암호화 작업을 진행합니다.



".3dm", ".3g2", ".3gp", ".aaf", ".accdb", ".aep", ".aepx", ".aet", ".ai", ".aif", ".arw", ".as", ".as3", ".asf", ".asp", ".asx", ".avi", ".bay", ".bmp", ".cdr", ".cer", ".class", ".cpp", ".cr2", ".crt", ".crw", ".cs", ".csv", ".db", ".dbf", ".dcr", ".der", ".dng", ".doc", ".docb", ".docm", ".docx", ".dot", ".dotm", ".dotx", ".dwg", ".dxf", ".dxg", ".efx", ".eps", ".erf", ".fla", ".flv", ".idml", ".iff", ".indb", ".indd", ".indl", ".indt", ".inx", ".jar", ".java", ".jpeg", ".jpg", ".kdc", ".m3u", ".m3u8", ".m4u", ".max", ".mdb", ".mdf", ".mef", ".mid", ".mov", ".mp3", ".mp4", ".mpa", ".mpeg", ".mpg", ".mrw", ".msg", ".nef", ".nrw", ".odb", ".odc", ".odm", ".odp", ".ods", ".odt", ".orf", ".p12", ".p7b", ".p7c", ".pdb", ".pdf", ".pef", ".pem", ".pfx", ".php", ".plb", ".pmd", ".pot", ".potm", ".potx", ".ppam", ".ppj", ".pps", ".ppsm", ".ppsx", ".ppt", ".pptm", ".pptx", ".prel", ".prproj", ".ps", ".psd", ".pst", ".ptx", ".r3d", ".ra", ".raf", ".rar", ".raw", ".rb", ".rtf", ".rw2", ".rwl", ".sdf", ".sldm", ".sldx", ".sql", ".sr2", ".srf", ".srw", ".svg", ".swf", ".tif", ".vcf", ".vob", ".wav", ".wb2", ".wma", ".wmv", ".wpd", ".wps", ".x3f", ".xla", ".xlam", ".xlk", ".xll", ".xlm", ".xls", ".xlsb", ".xlsm", ".xlsx", ".xlt", ".xltm", ".xltx", ".xlw", ".xml", ".xqx", ".zip", ".txt"

[표 1] 랜섬웨어 감염 확장자 대상



암호화가 완료되면 바탕화면 경로에 'notice.txt' 이름의 랜섬노트를 생성하고 한국어와 영문으로 감염사실을 안내합니다. 그리고 제작자의 계정으로 보이는 'SkyDragon7845' 라는 아이디와 특정 웹 사이트 URL 주소를 보여주게 됩니다.



9962C3335A09002003B86B

[그림 2] 악성프로그램 내부에 포함되어 있는 랜섬노트 코드 화면



해당 웹 사이트로 접속을 하게 되면 'YouTube', 'Twitch' 링크가 다시 보여지게 됩니다.



998150335A09002D0165FE

[그림 3] 랜섬노트에 포함된 주소의 웹 사이트 화면



특히, 해당 동영상 웹 사이트에는 'BlackListCP' 랜섬웨어 감염 동영상과 함께 전 세계적으로 이슈가 된 바 있는 'WannaCry', 'Petya' 랜섬웨어 감염 동영상도 올려져 있습니다.



99FB72335A09003B2ACD39

[그림 4] 제작자가 운영중인 것으로 추정되는 동영상 사이트



랜섬웨어에 감염되면 컴퓨터에 존재하던 주요 파일들이 암호화되고, 원본파일에 'blacklistcp' 확장명이 추가됩니다. 그리고 바탕화면 경로에 생성된 랜섬노트를 생성하여 이용자로 하여금 특정 웹 사이트로 접속을 안내하게 됩니다.



99DB81335A09004B1E1940

[그림 5] 실제 랜섬웨어가 동작하여 감염된 화면



해당 악성프로그램 제작자의 동영상 사이트를 살펴보면 이미 다양한 랜섬웨어에 관심을 가지고 있는 것으로 보이며, 실제 오픈소스를 활용해 직접 랜섬웨어 제작까지 한 상태입니다.


아무리 단순 호기심이나 장난이라도 랜섬웨어를 제작하는 것은 매우 위험한 행위이며, 현재 이 랜섬웨어는 정상적으로 감염활동이 가능한 상태이기 때문에 각별한 주의가 필요합니다.


이스트시큐리티 시큐리티대응센터는 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 확산 및 피해 최소화에 긴밀하게 협력하고 있습니다.


알약에서는 Trojan.Ransom.HiddenTear 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.



99D3B3335A08FBD301825E


http://blog.alyac.co.kr/1407

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

토마토좋아

2017.11.26 21:54
가입일:
총 게시물수: 1
총 댓글수: 8

네 참고해야 겠네요..

profile

루인루

2017.12.07 00:30
가입일:
총 게시물수: 1
총 댓글수: 104

지난 내용이지만 잘보고 갑니다

profile

은희사랑

2017.12.09 13:19
가입일: 2017:11.18
총 게시물수: 81
총 댓글수: 360

좋은 정보 감사합니다.

profile

mantoman

2017.12.27 16:22
가입일:
총 게시물수: 0
총 댓글수: 185

좋은자료 고맙습니다..

profile

suhyou

2018.01.11 09:12
가입일:
총 게시물수: 1
총 댓글수: 784
좋은자료 고맙습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
470 보안 소식 확장자 숨겨 악성 파일 클릭 유도 메일 유포중…랜섬웨어 피해 주의 + 17 크로커스 01-20 482
469 보안 소식 홈피 방문만으로 감염되는 ‘체포 협박’ 랜섬웨어 매트릭스 출현 + 12 ordo 05-07 301
468 보안 소식 호기심에 클릭했다가… 음란물 위장 악성코드 '주의' + 11 티오피 08-04 209
467 보안 소식 행자부, ‘개인영상정보 보호법’ 제정안 입법예고 + 9 언제나 12-15 77
466 보안 소식 해킹해드립니다…"공격 1회 50만원, 좀비PC 300원" + 5 Op 03-08 253
465 보안 소식 해킹으로부터 보호하기 위해 당신의 기기를 해킹하는 봇넷 발견 + 8 ordo 05-01 232
464 보안 소식 해킹 여부는 보안사항 + 5 덕애 10-12 231
463 보안 소식 해커들의 연말연시 하루 일과를 예상해 본다면? file + 9 따봉 12-23 51
462 보안 소식 해커들 귀가 쫑긋! DNS 하이재킹 선호도가 높아지는 이유 + 5 ordo 03-30 33
461 보안 소식 해커, 악성 코드로 ATM 기기에서 현금 인출 + 6 우오아아아웅 10-03 323
460 보안 소식 해외 직구족 노리는 악성코드? 페이팔 계정 탈취 주의! + 12 j1159 03-03 233
459 일반 한컴오피스 취약점 공격 차단 가능한가? [네트워크 보안장비 체크포인트 #3, 토크아이티, 파이어아이] + 10 매니안 10-22 393
458 보안 소식 한컴오피스 보안 업데이트 권고 + 5 티오피 12-01 436
457 보안 소식 한컴오피스 NEO 보안 업데이트 12월 7일 + 9 티오피 12-07 398
456 보안 소식 한글문서 ‘자료연결’ 기능 악용한 국내 표적 악성코드 주의 file + 3 파란하늘 11-07 424
455 일반 한국 세계 6번째 타깃 + 5 파란하늘 04-25 793
454 보안 소식 한국 사이트 100여곳 홈페이지 변조...왜? file + 2 티오피 08-28 227
453 보안 소식 한국 비트코인 거래소 ‘야피존’ 해킹!...55억 규모 탈취 + 7 ordo 04-27 285
452 보안 소식 한국 겨냥 ‘올크라이’ 랜섬웨어 소강상태 “긴장 늦춰선 안 돼” + 6 우오아아아웅 10-03 294
451 보안 소식 학회가 뽑은 2017년 정보보호 10대 이슈 file + 7 따봉 01-02 77
450 보안 소식 하나투어’ 100만건 이어 화장품 쇼핑몰 ‘뷰티퀸’까지 고객정보 털렸 file + 5 따봉 10-18 133
449 보안 소식 핀테크 시대, 사용성과 안전성의 두 마리 토끼를 잡아라 file + 6 따봉 01-04 56
448 보안 소식 프랑스 해커, 모든 삼성 스마트폰 벽돌로 만들 수 있는 방법 발견 kargans 05-27 52
447 보안 소식 풀린 자물쇠 데누보, 게임 출시 ‘하루 만에’ 줄줄이 불법복제 + 5 인어공주 10-20 240
446 보안 소식 포털 인터넷 뉴스 ‘아웃링크’ 방식 통해 랜섬웨어 유포 루릿페 02-20 109