Gold Dragon 악성코드 주의



1. 개요 


최근, 국내에서 열렸던 2018년 평창 올림픽이 무사히 막을 내렸다. 올림픽 기간 중에도 보안과 관련된 이슈는 끊임없이 계속 발생하였지만 그 중, 흥미롭게도 해외 한 백신 업체에서 평창 올림픽을 겨냥한 것으로 추정되는 악성코드에 대한 보고서를 기재하였다.

게시된 글을 확인해보면 ‘Gold Dragon’ 이라고 불려지고 있는 파일에 대하여 내용이 다루어져 있다는 것을 확인할 수 있었는데, 이번 블로그에서는 해당 악성코드에 대해 어떠한 동작을 하는지 간단히 알아보도록 하자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

49,152 byte

진단명

Trojan/W32.Agent.49152.CRX

악성동작

정보 탈취 / 추가 악성코드 다운 및 실행













2-3. 실행 과정

해당 '[임의의 파일명].exe' 를 실행하면 특정 프로세스를 탐색하여 종료하고, 특정 경로에 파일을 생성한다. 생성된 파일에 사용자의 바탕화면 목록, 실행중인 프로세스 목록, 랜카드 정보 등의 다양한 정보를 15분 간격으로 수집하며 이외에도 추가적인 악성코드를 다운로드 받아 실행시킨다.







3. 악성 동작


3-1. 특정 프로세스 종료

해당 악성코드는 실행 시 현재 실행 중인 프로세스 목록을 불러와서 'v3.exe' 또는 'Cleaner.exe' 같은 사용자의 PC를 보호하기 위한 프로그램 종료를 시도한다


[그림 1] 특정 프로세스 종료 코드[그림 1] 특정 프로세스 종료 코드





3-2. 사용자 정보 탈취

실행된 악성코드는 '%AppData%\Microsoft' 하위에 'HNC' 라는 이름의 폴더를 생성하고 '1.hwp' 파일을 'HNC' 폴더 안에 생성한다.


[그림 2] 수집한 정보 임시저장 파일[그림 2] 수집한 정보 임시저장 파일





이후 명령프롬프트 창에 아래와 같은 명령어를 인자로 주어 실행시킨다. 이러한 방식을 이용하여 다양한 정보를 수집한 후에 이전에 생성했던 임시 저장 파일인 '1.hwp' 파일에 저장한다.


[그림 3] 정보 탈취 명령어의 일부[그림 3] 정보 탈취 명령어의 일부





저장되는 정보의 종류로는 기본적인 PC 의 관련된 정보와 함께 랜카드 정보, 바탕화면 목록, 최근 오픈한 문서파일 정보, 실행중인 프로세스 정보 등이 해당된다.


[그림 4] 탈취하는 정보의 일부[그림 4] 탈취하는 정보의 일부




[그림 5] 랜카드 정보[그림 5] 랜카드 정보






필요한 정보를 저장한 후에 저장한 정보를 인코딩하여 특정 도메인의 공격자 서버로 전송한다. 이러한 정보수집 및 전송 행위는 15분 간격으로 반복하여 수행하며, 그 때문에 계속해서 변화하는 정보를 수집할 수 있다.


[그림 6] 수집한 정보 전송[그림 6] 수집한 정보 전송






3-3. 추가 악성코드 다운로드 및 실행

추가 악성코드를 실행하기 위해서 이전의 정보를 전송했던 곳과 같은 도메인을 통해 추가적인 데이터를 다운로드 요청한다.


[그림 7] 다운로드 요청[그림 7] 다운로드 요청





추가적인 데이터를 다운 받을 경우 이를 이전에 생성했던 '%Appdata%\Microsoft\HNC' 경로 하위에 'hupdate.ex' 파일로 생성하여 받아온 데이터를 파일에 덮어씌운다.


[그림 8] 다운받은 파일[그림 8] 다운받은 파일





새롭게 생성한 'hupdate.ex' 파일을 프로세스로 실행한다. 현재는 서버와 연결되지 않아 추가 악성코드의 실행 위험은 없으나 서버가 활성화되면 언제라도 추가적으로 악성코드를 다운받아 실행할 수 있다.


[그림 9] 추가 다운로드 파일 실행 코드[그림 9] 추가 다운로드 파일 실행 코드






4. 결론

이번 보고서에서 알아 본 'GoldDragon' 악성코드는 사용자 PC 의 정보를 수집하고 추가 악성코드를 다운받아 실행함으로써 추후의 공격을 위한 정찰병과 같은 역할로 생각할 수 있다. 

평창 올림픽 기간처럼 특별한 기간을 노리는 악성코드들의 움직임들은 빈번히 발생되었다. 평상시에도 주의를 기울여야 하지만 올림픽 기간과 같이 전세계적으로 이목이 집중 되는 기간에는 좀 더 사용자들의 주의가 필요할 것으로 보여진다.
또한, 신뢰할 수 없는 이메일의 첨부파일이나 다운받은 파일들을 실행하지 않도록 하고 사용하고 있는 OS 나 백신 제품을 항상 최신 버전으로 업데이트 하도록 하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면














Posted by nProtect & TACHYON

2018년 1월 악성코드 통계




악성코드 Top20

2018년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Backdoor (백도어) 유형이며 총 168,218건이 탐지되었다.

 

순위

진단명

유형

탐지 건수

1

Backdoor/W32.Orcus.9216

Backdoor

168,218

2

Worm/W32.Brontok.45374

Worm

52,962

3

Trojan-Spy/W32.SpyEyes.2270504

Trojan-Spy

52,188

4

Gen:Variant.Razy.107843

Virus

50,800

5

Application.TcpScan.E

Virus

27,616

6

Gen:Variant.Johnnie.1840

Virus

20,844

7

Suspicious/W32.CVE-2016-3266

Suspicious

17,097

8

Trojan-Dropper/W32.Inject.323584.D

Trojan-Dropper

16,331

9

Virus/W32.Neshta

Virus

15,243

10

Suspicious/W32.CVE-2016-3274

Suspicious

12,661

11

Generic.MSIL.Bladabindi.B20EE873

Virus

11,710

12

Trojan/W32.BitCoinMiner.1578496

Trojan

10,834

13

Gen:Variant.Application.LoadMoney.Symmi.2

Virus

10,330

14

Ransom/W32.Cerber.294521

Ransom

9,996

15

Suspicious/PDF.CVE-2017-16364

Suspicious

6,814 건  

16

Trojan/W32.Agent.1240576.AD

Trojan

6,195 건  

17

Trojan/W32.Agent.3584.MQ

Trojan

5,683 건  

18

Gen:Variant.Strictor.143698

Virus

5,595 건  

19

Trojan/W32.Agent.100864.ZY

Trojan

5,027 건  

20

Adware.GenericKD.6351554

Virus

4,866 건  

[표] 2018년 1월 악성코드 탐지 Top 20











악성코드 유형 비율

1월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Virus(바이러스)가 41%로 가장 높은 비중을 차지하였고, Backdoor(백도어)와 Trojan(트로잔)가 각각 20%와 8%, Worm(웜)와 Adware(애드웨어)가 각각 7%, 7%씩으로 그 뒤를 따랐다.


[그림] 2018년 1월 악성코드 유형 비율[그림] 2018년 1월 악성코드 유형 비율












악성코드 진단 수 전월 비교

1월에는 악성코드 유형별로 12월과 비교하였을 때 Adware를 제외한 대부분의 진단 수가 증가하였다.


[그림] 2018년 1월 악성코드 진단 수 전월 비교[그림] 2018년 1월 악성코드 진단 수 전월 비교












주 단위 악성코드 진단 현황

1월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 12월에 비해 증가한 추이를 보이고 있다.


[그림] 2018년 1월 주 단위 악성코드 진단 현황[그림] 2018년 1월 주 단위 악성코드 진단 현황









Posted by nProtect & TACHYON

사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의




1. 개요 


최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 


이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다.


복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다.


이번 보고서에는 무단으로 가상화폐 채굴을 수행하는 ‘KMSPico 10.2.2.exe’ 악성코드에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

KMSPico 10.2.2.exe

파일크기

2,878,711 byte

악성동작

파일 드롭(Win32.exe)









구분

내용

파일명

Win32.exe

파일크기

673,792 byte

악성동작

가상화폐 채굴기 삽입 및 실행










2-2. 유포 경로

특정 웹 사이트를 통해 채굴 프로그램을 실행시키는 ‘KMSPico 10.2.2.exe’ 를 유포한다. 아래 [그림1]은 해당 ‘KMSPico 10.2.2.exe’ 를 유포하는 웹 사이트 화면이다.


[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트




2-3. 실행 과정

‘KMSPico 10.2.2.exe’ 설치 시 사용자의 동의 없이 ‘win32.exe’ 를 실행시킨다. ‘win32.exe’ 가 실행되면 운영체제 환경에 따라 특정 프로세스에 코드를 삽입하여 모네로 코인을 채굴한다. 또한, 자동실행 레지스트리를 등록하고 채굴동작을 은폐하기 위해 프로세스 목록을 감시하여 작업관리자(taskmgr.exe) 실행 시 채굴 프로세스를 종료시킨다.






3. 악성 동작


3-1. 코드 삽입을 통한 모네로 코인 채굴

‘KMSPico 10.2.2.exe’ 실행 시 불법 윈도우 정품인증 동작은 수행하지 않고 ‘win32.exe’ 를 드롭하여 실행시킨다. 실행된 ‘win32.exe’ 는 운영체제의 32/64bit환경에 따라 채굴코드를 삽입할 대상 프로세스(wuapp.exe/svchost.exe/notepad.exe/explorer.exe)를 결정하고 채굴코드를 삽입하여 실행한다. 가상화폐 채굴 작업의 경우 복잡한 연산을 수행하기 때문에 CPU 자원에 대한 사용량이 많아 원활한 PC사용에 제한을 준다. 


아래 [그림2]는 채굴기 실행 옵션과 채굴 작업 시 CPU 점유율이 99%에 달하는 화면이다.


 [그림2] 가상화폐 채굴 작업 화면[그림2] 가상화폐 채굴 작업 화면




정상 프로세스에 삽입되는 채굴코드를 추출하여 실행했을 때 아래와 같이 가상화폐의 지갑 주소와 채굴기 옵션에 대한 내용도 확인된다.


[그림3] 추출한 채굴기의 실행 화면[그림3] 추출한 채굴기의 실행 화면



[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용




3-2. 채굴 은폐를 위한 작업관리자 프로세스 감시

‘win32.exe’ 는 채굴 프로그램이 삽입된 ‘wuapp.exe’의 동작을 숨기기 위해 아래와 [그림5]와 같이 작업관리자 프로세스인 ‘taskmgr.exe’ 를 감시하다가 작업관리자 실행 시 ‘wuapp.exe’ 종료시킨다.


[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드




3-3. 자동 실행을 위한 레지스트리 등록

‘win32.exe’ 는 시스템 시작 시 채굴 작업이 자동으로 실행될 수 있도록 레지스트리 키 ‘RunOnce’ 에 ‘jXuDlnugma’ 값을 생성하여 ‘win32.exe’ 의 경로를 데이터에 저장한다. 

 

[그림6] 자동 실행을 위한 레지스트리 등록[그림6] 자동 실행을 위한 레지스트리 등록








4. 결론


이번 악성코드와 같이 사용자 동의 없이 설치되는 가상화폐 채굴 프로그램은 실행 시, 자원을 임의로 사용하여 정상적인 PC이용을 할 수 없도록 만들고 사용자가 이를 알아차리기 쉽지 않도록 교묘하게 숨기고 있어 각별한 주의가 필요하다. 


따라서, 안전한 PC 사용환경을 만들기 위해 불법 소프트웨어의 사용을 자제하도록 하고 윈도우 정품을 구입하여 사용하는 것을 권고한다.







Posted by nProtect & TACHYON

2017년 10월 악성코드 통계




악성코드 Top20

2017년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 1,123,251건이 탐지되었다.


순위

진단명

유형

탐지 건수

1

Gen:Variant.Razy.107843

Trojan

1,123,251

2

Gen:Variant.Zusy.217219

Trojan

127,661

3

Gen:Variant.Adware.Hebogo.1

Adware

27,748

4

Suspicious/W32.CVE-2016-3266

Suspicious

22,287

5

Trojan.Androm.Gen.1

Trojan

8,033

6

Gen:Variant.Application.LoadMomey.Symmi.2

Trojan

7,625

7

Gen:Variant.Johnnie.59062

Trojan

6,846

8

Gen:Variant.Graftor.317235

Trojan

6,675

9

Suspicious/W32.CVE-2016-3274

Suspicious

5,977

10

Virus/W32.Neshta

Virus

5,484

11

Trojan/W32.Agent.3584.MQ

Trojan

5,347

12

Adware/NetworkExpress.AA

Adware

5,010

13

Worm.Generic.73749

Worm

4,707

14

Gen:Variant.Strictor.127591

Trojan

4,624

15

Gen:Variant.Johnnie.59052

Trojan

4,615

16

Trojan/W32.Agent.100864.ZY

Trojan

4,230

17

Gen:Variant.Adware.Strictor.7909

Adware

3,870

18

Gen:Trojan.Heur.RP.dq1@aaicnEkG

Trojan

3,506

19

Adware.GenericKD.12361063

Adware

3,222

20

Win32.Runouce.B@mm

Virus

3,067

[표] 2017년 10월 악성코드 탐지 Top 20




악성코드 유형 비율

10월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Virus(바이러스) 가 91%로 가장 높은 비중을 차지하였고, Adware(애드웨어)가 4%, Trojan(트로이목마)와 Suspicious(의심진단)가 각각 2%, Downloader(다운로더)가 1%로 그 뒤를 따랐다.



[그림] 2017년 10월 악성코드 유형 비율[그림] 2017년 10월 악성코드 유형 비율










악성코드 진단 수 전월 비교

10월에는 악성코드 유형별로 9월과 비교하였을 때 Virus와 Adware진단이 다소 감소하였으며, 나머지는 대부분 비슷한 진단수를 유지하였다.


[그림] 2017년 10월 악성코드 진단 수 전월 비교[그림] 2017년 10월 악성코드 진단 수 전월 비교











주 단위 악성코드 진단 현황

10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 넷째주에 대폭 감소한 현상을 보이고 있다.


[그림] 2017년 10월 주 단위 악성코드 진단 현황[그림] 2017년 10월 주 단위 악성코드 진단 현황












Posted by nProtect & TACHYON

MBR영역을 변조하는 ‘RedBoot Ransomware’ 감염 주의


1. 개요 


일반적인 랜섬웨어는 사용자 PC의 파일을 암호화하고 이를 인질로 삼아 복호화를 조건으로 금전을 요구한다. 이때, 사용자의 PC는 암호화된 파일을 여는 것 외에는 정상적으로 운영체제를 사용할 수 있었다.


하지만 최근 일반적인 랜섬웨어의 동작방식과는 다른 컴퓨터 하드디스크의 MBR 코드를 변조시켜 운영체제가 정상적으로부팅하는 것을 막는 랜섬웨어인 ‘RedBoot Ransomware’가 발견되었다.


‘RedBoot Ransomware’ 에 감염되면 파일 암호화만 진행할 뿐 아니라 정상적으로 PC를 사용하지 못하기 때문에 자칫 큰 피해로 이어질 수 있으므로 사용자의 주의가 필요하다.


이번 보고서에서 MBR영역을 변조시키는 ‘RedBoot Ransomware’ 에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

Installer.exe

파일크기

1,246,725 byte

진단명

Ransom/W32.RedBoot.1246725

악성동작

드롭퍼, 파일 암호화, 금전 요구









2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, 웹을 통해 불특정 다수를 대상으로 유포할 것으로 추정 된다.



2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 “C:\Users\사용자 계정\” 경로에 임의의 숫자로 구성된 이름의 폴더를 생성 하고 다음과 같은 파일들이 드롭되어 실행 된다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 ‘.locked’ 확장자를 덧붙인다. 그리고 재부팅이 수행되어 정상적인 운영체제 부팅을 못하도록 한다. 




3. 악성 동작

3-1. 악성 파일 드롭

‘Redboot Ransomware’ 가 실행되면 악성동작을 하기 위해 아래와 같이 여러 악성 파일들을 사용자 “C:\Users\사용자 계정\” 경로에 임의의 숫자로 구성된 이름의 폴더를 생성 하고 다음과 같은 파일들이 드롭 되어 실행 된다.



[그림 1] 드롭 된 파일[그림 1] 드롭 된 파일





구분

내용

assembler.exe

boot.asm 어셈블리 파일을 boot.bin 파일로 컴파일하는데 사용

boot.asm

새롭게 변경될 MBR 어셈블리 코드로 boot.bin 으로 컴파일 되어질 어셈블리 파일

main.exe

사용자 PC의 파일을 암호화하는 목적으로 사용

overwrite.exe

기존의 MBR 영역을 새로 컴파일 된 boot.bin으로 변조시킬 목적으로 사용

protect.exe

작업관리자 및 프로세스 해커와 같은 다양한 프로그램이 실행되는 것을 방지하는데 사용

[1] 드롭 된 파일 용도




3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명에 ‘.locked’ 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



구분

내용

암호화 대상 파일

확장자

모든 확장자

[2] 암호화 대상 파일 확장자





3-3. MBR 코드 변조

파일 암호화뿐만 아니라 해당 랜섬웨어는 다음과 같이 MBR 영역 또한 변조하며 이 동작이 완료되면 PC를 강제로 재부팅 시킨다. 재부팅하는 PC는 변조된 MBR 코드를 실행하게 되며 사용자가 정상적인 운영체제로 부팅하지 못하도록 만든다.

[그림 3] Overwrite.exe 에서 MBR영역 변조시키는 부분[그림 3] Overwrite.exe 에서 MBR영역 변조시키는 부분


[그림 4] MBR 영역 변조 전[그림 4] MBR 영역 변조 전


[그림 5] MBR 영역 변조 후[그림 5] MBR 영역 변조 후






3-4. 복구 안내

파일 암호화가 완료되고 MBR 영역까지 변조가 되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 이메일로 식별키를 전송하라고 작성되어 있다. 이메일에 대한 답변으로 금전을 요구할 것으로 추정된다.


[그림 6] 변조 된 MBR영역 랜섬 노트[그림 6] 변조 된 MBR영역 랜섬 노트






4. 결론

이번 보고서에서 알아 본 ‘RedBoot Ransomware’ 와 같이 사용자 PC의 파일을 암호화하고 더 나아가 MBR영역을 변조시키는 랜섬웨어가 첨은 아니기 때문에 특별하지 않다고 느낄 수도 있다. 

하지만 여타 랜섬웨어보다 감염 시 정상적인 운영체제로 부팅하기 어려운만큼 더 큰 피해를 줄 수 있다고 예상되기 때문에 사용자들은 출처가 불분명한 이메일이나 모르는 파일을 실행할 때 항상 주의를 기울여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





Posted by nProtect & TACHYON

2017년 7월 악성코드 통계




악성코드 Top20

2017년 7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜) 유형이며 총 366,204건이 탐지되었다. 

순위

진단명

유형

탐지 건수

1

Worm.Generic.24677

Worm

366,204

2

Backdoor/W32.Agent.986112.C

Backdoor

9,994

3

Trojan.GenericKD.3549777

Trojan

9,716

4

Gen:Variant.Adware.Hebogo.1

Adware

9,643

5

Gen:Variant.Razy.107843

Trojan

9,471

6

Trojan/XF.Sic

Trojan

6,366

7

Virus/W32.Ramnit

Virus

6,257

8

Trojan/W32.Inject.153168

Trojan

5,725

9

Ransom/W32.Blocker.776704

Ransom

4,855

10

Trojan.Generic.5131479

Trojan

4,066

11

Gen:Variant.Zusy.233456

Trojan

3,678

12

Trojan-Spy/W32.SpyEyes.2081880

Trojan

3,367

13

Trojan.GenericKD.5616575

Trojan

3,335

14

Worm/W32.Agent.57344

Worm

3,105

15

Trojan/W32.Agent.52736.SI

Trojan

3,065

16

Trojan/W32.Agent.3584.MQ

Trojan

3,054

17

Adware/NetworkExpress.Y

Adware

2,975

18

Trojan.GenericKD.5364076

Trojan

2,772

19

Adware/LiveIcon.C

Adware

2,318

20

Adware/WindowsTab.Q

Adware

2,300

[] 20177월 악성코드 탐지 Top 20




악성코드 유형 비율

7월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Adware(애드웨어)가 48%로 가장 높은 비중을 차지하였고, Trojan(트로이목마)과 Virus(바이러스)가 각각 17%와 16%, Ransom(랜섬웨어)와 Downloader(다운로더)가 각각 6%, 5%씩으로 그 뒤를 따랐다.


[그림] 2017년 7월 악성코드 유형 비율[그림] 2017년 7월 악성코드 유형 비율











악성코드 진단 수 전월 비교

7월에는 악성코드 유형별로 6월과 비교하였을 때 Adware를 비롯한 대부분의 진단이 다소 증가하였다.


[그림] 2017년 7월 악성코드 진단 수 전월 비교[그림] 2017년 7월 악성코드 진단 수 전월 비교










주 단위 악성코드 진단 현황

7월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 월 중반에 다소 증가한 현상을 보이고 있다.


[그림] 2017년 7월 주 단위 악성코드 진단 현황[그림] 2017년 7월 주 단위 악성코드 진단 현황









Posted by nProtect & TACHYON

잉카인터넷, 2년 연속 ‘인터넷에코어워드 보안표준화분야 대상’ 수상




정보보안 전문기업 잉카인터넷(대표 주영흠)의 온라인 통합보안 서비스 nProtect Online Security(이하 온라인 시큐리티)가 ‘인터넷에코어워드 2017 보안표준화분야 대상을 받았다. 2016년 보안표준화분야 대상에 이어 2년 연속 수상의 영광을 안게 된 것이다.


인터넷에코어워드는 아이어워드위원회가 주최하고 한국인터넷전문가협회가 주관하며 미래창조과학부가 후원하는 시상식으로, 사용자 편의성을 제고한 인터넷 기술과 인터넷을 통한 사회공헌 활동 등으로 인터넷 생태계 발전에 기여한 개인과 기업, 단체를 선정한다. 


올해는 7개 부문, 36개 분야에 걸쳐 총 90여 개의 인터넷서비스가 후보로 참가하여 열띤 경쟁을 펼쳤다. 대상 평가는 3만 5천여 인터넷전문가협회 회원 중 인터넷전문가로 구성된 평가위원단의 공정한 심사로 진행되며 예선 및 본선, 결선 평가를 거쳐 수상자를 선정한다. 


잉카인터넷은 온라인 통합 보안 서비스 온라인 시큐리티가 웹 표준 환경을 준수하고 인터넷 환경에 기여한 점을 강조하여 평가 지표인 합목적성, 독창성, 경제성, 확장성, 산업 기여도에서 우수한 성적을 받아 최종 대상 수상자로 결정되었다.


키보드 보안, 악성코드 탐지, 네트워크 보호를 비롯한 온라인 통합 보안 기능과 ActiveX와 플러그인 없이 최초 1회 설치만으로 최신 웹 브라우저 Edge 외 Internet Explorer, Chrome, Firefox, Opera, QQ 등 다양한 웹 브라우저에서 실행이 가능해 그 공로를 인정받았다.

 

특히, 기존 웹 브라우저별 플러그인 설치 방식에서 벗어나 사용자가 직접 다운로드하는 통합 설치 방식을 사용하고 있어 과거 전자상거래 및 전자정부 서비스 사용 시 웹브라우저 별로 다수의 ActiveX와 플러그인을 설치하고 연간 약 15회 이상의 보안업데이트를 해야 했던 불편함을 해결하고 편리성을 높인데 큰 점수를 받았다.


또한, 키보드를 통해 입력되는 모든 정보를 실시간으로 암호화하여 사용자 개인정보를 안전하게 보호할 뿐만 아니라, 악성코드 탐지, 네트워크 보호, 안티 피싱/파밍, 메모리 해킹 방어 등 보안 기능을 제공해 웹 서비스 이용 시 발생할 수 있는 해킹 사고를 막아 안전한 인터넷 환경 조성에 기여하고 있다.


보안표준화분야 대상을 받은 잉카인터넷 보안 서비스 nProtect Online Security의 자세한 정보는 잉카인터넷 제품소개 웹사이트(nProtect.com)에서 확인할 수 있다.



Posted by nProtect & TACHYON

‘Trick-Crypt ransomware’ 감염 주의



1. 개요 


현대인들의 생활을 살펴보면 IT기술의 발전에 힘입어 윤택하고 편리한 생활을 누리고 있다는 것을 알 수 있다. 이제 현대인들은 PC와 스마트폰과 같은 IT기기가 없다면 일상생활에 불편함을 느끼기 마련이다.


IT 기술은 생활을 편리하고 이롭게 만들기 위해 활용되지만, 몇몇은 악의적인 목적으로 사용되기도 한다. 랜섬웨어 사고 사례도 그 중 하나라고 볼 수 있다.


암호화 및 복호화 기법은 본래 어떠한 정보나 자료를 다른 사람에게 노출시키지 않게 하기 위한 기밀성에 초첨을 맞추어 발전해 왔다. 하지만 이런 기술이 현재에 와선 랜섬웨어 형태로 나타나 파일을 인질로 하여 금전을 얻기 위한 사이버 범죄에 사용되고 있어 사용자들은 항상 주의를 하여야 한다.


이번 보고서에서 다루는 ‘Trick-Crypt Ransomware’ 는 앞서 말했던 랜섬웨어 중 하나로 최근에 발견되어 모든 확장자를 암호화하는 랜섬웨어이다.








2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

임의의 파일명.JS

파일크기

7,415 byte

진단명

Script/W32.Trick-Crypt-Downloader

악성동작

다운로더

 

구분

내용

파일명

임의의 파일명.exe [Random9자리]

파일크기

241,664 byte

진단명

Ransom/W32.Trick-Crypt.241664

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 JS파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

첨부된 JS파일을 실행하면 암호화 동작을 수행하는 랜섬웨어 파일이 다운로드 되어 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 바탕화면과 대상 폴더에 랜섬노트가 생성된다.


[그림 1] 첨부된 JS파일[그림 1] 첨부된 JS파일

 



3. 악성 동작


3-1. 랜섬웨어 다운로드

악성 스크립트 파일이 실행되면 지정된 사이트로부터 EXE 형태의 랜섬웨어 파일을 다운로드 한다. 다운로드가 완료된 파일의 이름은 random한 이름으로 생성된다.


[그림 2] 랜섬웨어 다운로드[그림 2] 랜섬웨어 다운로드





3-2. 파일 암호화

해당 랜섬웨어는 JS파일을 통하여 다운로드 된 실행파일을 다시 랜덤한 9자리의 파일명으로 바꾸어 암호화 동작을 수행한다. 암호화 동작이 완료되면 바탕화면과 암호화 대상 폴더 마다 .html형식의 랜섬노트가 생성된 것을 확인할 수 있다.


[그림3] 암호화 된 파일과 랜섬노트[그림3] 암호화 된 파일과 랜섬노트



사용자 PC를 탐색하며 모든 확장자 파일을 대상으로 암호화 한 뒤. ‘ .crypt ’ 라는 확장자를 덧붙인다. 

 

구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자

[1] 암호화 대상 파일 확장자




3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 


[그림4] 쉐도우 파일 삭제[그림4] 쉐도우 파일 삭제




3-4. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 E-MAIL 주소로 개인식별키를 작성하여 보내면 복호화 키를 준다는 내용을 포함하고 있다.


[그림 5] 암호화 완료 후 나타나는 랜섬노트[그림 5] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Trick-Crypt Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 지속적으로 유사한 변종이 나타나고 있다. 랜섬웨어는 실행파일 형식으로만 유포를 하는게 아니기 때문에 사용자가 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









Posted by nProtect & TACHYON

잉카인터넷, KISA 신규 취약점 신고포상제 공동운영


잉카인터넷 대표이사 주영흠(주) 잉카인터넷 대표이사 주영흠


(주) 잉카인터넷(대표 주영흠, nProtect.com)이 2017년 7월 11일부터 한국인터넷진흥원(원장 백기승, KISA)과 ‘S/W 신규 취약점 신고포상제(이하 신고포상제)'를 공동 운영한다.


신고포상제는 이른바 ‘버그 바운티’로 불리며 소프트웨어의 버그 및 취약점을 발견한 자에게 포상금을 지급하는 제도다. 해킹사고에 악용될 수 있는 취약점을 사전에 조치하여 안전한 사이버 환경을 조성하기 위해 마련되었으며 구글, 페이스북, 마이크로소프트, 애플 등 글로벌 기업에서 보안 고도화를 위해 시행 중이다.


국내에서도 2012년부터 KISA가 이 제도를 시행하여 현재까지 활발하게 운영 중이다. 잉카인터넷은 국내 유수 기업에 이어 7번째로 공동운영사로 참여하게 되었다. 보안 전문기업인 만큼 다른 소프트웨어 업체보다 더 안전해야 하는 책임감을 가지고 공동운영에 적극적인 자세로 임하겠다는 입장이다.


무엇보다 소비자와 대화를 통해 잉카인터넷 보안 솔루션 nProtect의 보안성을 높이고 품질을 향상해 사용자의 불편함을 사전에 방지할 계획이다. 또한, 소비자로부터 접수한 버그 및 취약점을 고차원으로 분석하여 다각도로 대응방안을 마련하는 데 목적을 두고 있다.


잉카인터넷의 신고포상제 신고대상은 nProtect 최신 버전에 영향을 줄 수 있는 신규 버그 및 취약점이다. 자세한 사항은 KISA 인터넷침해대응센터 홈페이지(www.krcert.or.kr)에서 확인할 수 있다. 


신고포상제는 국내·외 거주하는 한국인이면 누구나 참여할 수 있으며 KISA 인터넷침해대응센터 홈페이지의 ‘상담 및 신고-S/W 신규 취약점’ 코너를 통해 접수할 수 있다. 신고된 취약점은 KISA 분석가의 분석 및 검증을 거쳐 잉카인터넷에서 보안패치 등의 조치를 취하게 된다. 


평가는 KISA와 잉카인터넷 및 교수, S/W제조사, 취약점 전문가로 구성된 외부 평가위원회를 통해 진행된다. 취약점에 영향 받는 시스템 파급도와 영향도, 취약점 발굴 수준을 기준으로 평가하며 포상금은 최소 30만 원부터 최대 500만 원까지 지급한다.


이번 신고포상제를 통해 잉카인터넷의 nProtect가 향후 더욱 견고한 소프트웨어로 자리 잡아, 타 보안제품과 견주었을 때 뛰어난 성능을 보유하고 취약점과 버그가 미비한 제품으로 거듭나기를 기대해 본다.


Posted by nProtect & TACHYON

‘Scarab ransomware’ 감염 주의



1. 개요 


사용자 PC의 중요 파일을 암호화하고 이 파일을 풀기 위한 금전을 요구하는 악성코드인 랜섬웨어는 하루가 멀다 하고 계속 발견되고 있다.


기업이나 공공기관에서 사용하는 대부분의 업무 자료가 종이 문서에서 디지털 문서로 대체되고 있는 만큼, 디지털 문서를 암호화하는 랜섬웨어는 업무를 마비시키거나 경제적으로 큰 손실로 이어질 수 있으므로, 모르는 파일이나 인터넷에서 다운로드한 파일은 실행 전에 다시 한번 의심을 가질 필요가 있다.


이번 보고서에서 다루는 ‘Scarab Ransomware’ 는 최근 발견되었으며 앞서 말했던 랜섬웨어와 마찬가지로 여러 확장자를 암호화하는 랜섬웨어이다.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Scarab_Ransom.exe

파일크기

350,208 byte

진단명

Ransom/W32.Scarab.350208

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 실행파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

‘Scarab ransomware’ 는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 .[resque@plague.desi].scarab 문자와 확장자를 덧붙인다. 또한, 암호화 된 폴더에 ‘IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT’ 랜섬노트를 생성하며, 암호화가 완료되면 바탕화면과 대상 폴더에 랜섬노트가 생성된다.




3. 악성 동작


3-1. 파일 암호화

‘Scarab ransomware’ 랜섬웨어는 원본 프로세스에서 파일 암호화 동작을 수행하지 않고 실제 원본파일이름과 동일한 자식프로세스를 생성하여 파일 암호화 동작을 수행한다.


[그림 1] 자식 프로세스 생성[그림 1] 자식 프로세스 생성



사용자 PC 를 탐색하며 아래 [표 1] 에 해당하는 파일의 경우 암호화 한 뒤. ‘ [resque@plague.desi].scarab’ 이라는 확장자를 덧붙인다.   

구분

내용

암호화 대상 파일

확장자

efs,000,001,1,101,103,108,110,123,128,1cd,1sp,1st,3,3d,3d4,3dd,3df,3df8,3dm,3dr,3ds,3dxml,3fr,3g2,3ga,
3gp,3gp2,3mm,3pr,3w,4w7,602,7z,7zip,8,89t,89y,8ba,8bc,8be,8bf,8bi8,8bl,8bs,8bx,8by,8li,8svx,8xt,9xt,9xy,
a$v,a2c,aa,aa3,aac,aaf,aah,aaui,ab4,ab65,abc,abk,abt,abw,ac2,ac3,ac5,acc,accdb,accde,accdr,accdt,ace,acf,
ach,acp,acr,acrobatsecuritysettings,acrodata,acroplugin,acrypt,act,ad,ada,adb,adc,add,ade,adi,adoc,ados,
adox,adp,adpb,adr,ads,adt,aea,aec,aep,aepx,aes,aet,afdesign,afm,afp,agd1,agdl,age3rec,age3sav,age3scn,
age3xrec,age3xsav,age3xscn,age3yrec,age3ysav,age3yscn,ahf,ai,aif,aiff,aim,aip,ais,ait,ak,al,al8,ala,alb3,alb4,
alb5,alb6,ald,ali,allet,alt3,alt5,amf,aml,amr,amt,amu,amx,amxx,anl,ann,ans,ansr,anx,aoi,ap,apa,apd,ape,apf,

apj,apk,apnx,apo,app,approj,apr,apt,apw,apxl,arc,arch00,arff,ari,arj,aro,arr,ars,arw,as,as$,as3,asa,asc,ascm,

ascx,asd,ase,asf,ashx,ask,asl,asm,asmx,asn,asnd,asp,aspx,asr,asset,ast,asv,asvx,asx,ath,atl,atomsvc,atw,

automaticdestinations-ms,aux,av,avi,avn,avs,awd,awe,awg,awp,aws,awt,aww,awwp,ax,azf,azs,azw,azw1,

azw3,azw4,b,b27,b2a,back,backup,backupdb,bad,bak,bak~,bamboopaper,bank,bar,bau,bax,bay,bbcd,bbl,

bbprojectd,bbs,bbxt,bc5,bc6,bc7,bcd,bck,bcp,bdb,bdb2,bdp,bdr,bdt2,bdt3,bean,bfa,bgt,bgv,bi8,bib,bibtex,

bic,big,bik,bil,bin,bina,bizdocument,bjl,bk,bk!,bk1,bk2,bk3,bk4,bk5,bk6,bk7,bk8,bk9,bkf,bkg,bkp,bks,bkup,

bld,blend,blend2,blg,blk,blm,blob,blp,bmc,bmf,bmk,bml,bmm,bmml,bmp,bmpr,bna,boc,book,bop,bp1,bp2

,bp3,bpf,bpk,bpl,bpm,bpmc,bps,bpw,brd,breaking_bad,brh,brl,brs,brx,bsa,bsk,bso,bsp,bst,btd,btf,btoa,btx,

burn,burntheme,bvd,bwd,bwf,bwp,bxx,bzabw,c,c2e,c6,cadoc,cae,cag,calca,cam,camproj,cap,capt,car,caro,cas,

cat,catproduct,cawr,cbf,cbor,cbr,cbz,cc,ccc,ccd,ccf,cch,ccitt,cd,cd1,cd2,cdc,cdd,cddz,cdf,cdi,cdk,cdl,cdm,cdml,

cdmm,cdmz,cdpz,cdr,cdr3,cdr4,cdr5,cdr6,cdrw,cds,cdt,cdtx,cdx,cdxml,ce1,ce2,cef,cer,cert,cf5,cfd,cfg,cfp,cfr,cgf,

cgfiletypetest,cgi,cgm,cgp,chi,chk,chm,chml,chmprj,chp,chpscrap,cht,chtml,cib,cida,cif,cipo,civ4worldbuildersave,

civbeyondswordsave,cl2arc,cl2doc,clam,clarify,class,clb,clkd,clkt,clp,clr,cls,clx,cmf,cml,cmp,cms,cmt,cmu,cnf,cng,

cnt,cnv,cod,col,comicdoc,comiclife,compositionmodel,compositiontemplate,con,conf,config,contact,converterx,

cp,cpc,cpd,cpdt,cphd,cpi,cpio,cpp,cpy,cr2,crashed,craw,crb,crd,creole,cri,crjoker,crs,crs3,crt,crtr,crw,crwl,crypt,

crypted,cryptowall,cryptra,cs,cs8,csa,cse,csh,csi,csl,cso,csp,csr,css,cst,csv,ctbl,ctd,cte,ctf,ctl,ctt,ctxt,cty,cue,current,

cvj,cvl,cvw,cw3,cwf,cwk,cwn,cwr,cws,cwwp,cyi,cys,d,d3dbsp,dac,dadx,dag,dal,dap,das,dash,dat,database,datx,

dayzprofile,dazip,db,db_journal,db0,db3,dba,dbb,dbc,dbf,dbfv,db-journal,dbk,dbr,dbs,dbx,dc2,dc4,dca,dcd,

dcf,dch,dco,dcp,dcr,dcs,dct5,dcu,ddc,ddcx,ddd,ddif,ddoc,ddrw,dds,deb,debian,dec,ded,default,del,dem,der,

des,desc,description,design,desklink,det,deu,dev,dex,dfe,dfl,dfm,dft,dfti,dgc,dgm,dgpd,dgr,dgrh,dgs,dhe,dic,did,

dif,dii,dim,dime,dip,dir,directory,disc,disco,disk,dit,divx,diz,djbz,djv,djvu,dk@p,dlc,dlg,dmbk,dmg,dmp,dmtemplate,

dmv,dna,dng,dnl,dob,doc,doc#,docb,doce,docenx,dochtml,docl,docm,docmhtml,docs,docset,docstates,doct,

documentrevisions-v100,docx,docxl,docxml,dok,dot,dothtml,dotm,dotmenx,dotx,dotxenx,dox,doxy,doz,dp,dpd,dpi

,dpk,dpl,dpr,drd,dream,drf,drm,drmx,drmz,drw,dsc,dsd,dsdic,dsf,dsg,dsk,dsl,dsn,dsp,dsy,dtd,dtm,dtml,dtp,dtx,dump,

dvb,dvd,dvi,dvs,dvx,dvz,dwd,dwdoc,dwf,dwfx,dwg,dwlibrary,dwp,dwt,dxb,dxd,dxe,dxf,dxg,dxn,dxr,dxstudio,dzp,e3s,

e4a,easmx,ebk,ebs,ec4,ecc,ecr,edb,edd,edf,edl,edml,edn,edoc,edrwx,edt,edz,efa,efax,eff,efl,efm,efr,eftx,efu,efx,egr,

egt,ehp,eif,eip,ekm,el6,eld,elf,elfo,eln,emc,emf,eml,emlxpart,emm,enc,enciphered,encrypted,enfpack,ent,enx,enyd,

eob,eot,ep,epdf,epf,epk,eprtx,eps,epsf,ept,epub,eql,erbsql,erd,ere,erf,err,es,es3,esc,esd,esf,esm,esp,ess,esv,et,ete,

etng,etnt,ets,etx,euc,evo,evy,ewl,ex,exc,exd,exf,exif,exprwdhtml,exprwdxml,exx,ez,ezc,ezm,ezs,ezz,f4v,f90,f96,fac,

fadein,fae,faq,fax,fbd,fbp6,fbs,fcd,fcf,fcstd,fd,fdb,fdf,fdoc,fdr,fds,fdseq,fdw,fdx,fed,feed-ms,feedsdb-ms,ff,ffa,ffd,

ffdata,fff,ffl,ffo,fft,ffx,fh,fhd,fig,fin,fl,fla,flac,flag,flat,flf,flib,flka,flkb,flm,flp,fls,flt,fltr,flv,flvv,fly,fm,fm3

,fmc,fmd,fmf,fml,fmp,fmp3,fnf,fo,fodg,fodp,fods,fodt,folio,for,forge,fos,fountain,fp,fpage,fpdoclib,fpenc,fphomeop,

fpk,fplinkbar,fpp,fpt,fpx,fra,frag,frdat,frdoc,freepp,frelf,frm,fs,fsc,fsd,fsf,fsh,fsp,fss,ft10,ft11,ft7,ft8,ft9,ftil,ftr,fwk,

fwtemplate,fxd,fxg,fxo,fxr,fzh,fzip,ga3,gam,gan,gcsx,gct,gdb,gdc,gdoc,ged,gev,gevl,gfe,gform,gfx,ggb,ghe,gho,gif,gil,

giw,glink,glk,glo,glos,gly,gml,gmp,gnd,gno,gofin,gp4,gpd,gpf,gpg,gpn,gpx,gpz,gra,grade,gray,grey,grf,grk,grle,groups,

gry,gs,gsa,gsf,gsheet,gslides,gsm,gthr,gui,gul,gvi,gxk,gxl,gz,gzig,gzip,h,h1q,h1s,h1w,h2o,h3m,h4r,haml,hbk,hbl,hbx,hcl,

hcw,hda,hdd,hdl,hdt,hdx,hed,help,helpindex,hex,hfd,hft,hhs,hkdb,hkx,hlf,hlp,hlx,hlx2,hlz,hm2,hmskin,hnd,hoi4,hot,

hp2,hpd,hpj,hplg,hpo,hpp,hps,hpt,hpw,hqx,hrx,hs,hsm,hsx,hta,htm,htm~,html,htmls,htmlz,htms,htpasswd,htz5,hvpl,

hw3,hwp,hwpml,hwt,hxe,hxi,hxq,hxr,hxs,hyp,hype,iab,iaf,ial,ibank,ibcd,ibd,ibk,ibz,icalevent,icaltodo,icc,icml,icmt,ico,

ics,icst,icxs,idap,idc,idd,idl,idml,idp,idx,ie5,ie6,ie7,ie8,ie9,iff,ifp,ign,igr,ihf,ihp,iif,iiq,iks,ila,ildoc,img,imp,imr,incp,incpas,

ind,indb,indd,indl,indp,indt,inf,info,ink,inld,inlk,inp,inprogress,inrs,inss,installhelper,insx,internetconnect,inx,ioca,iof,

ipa,ipf,ipr,ish1,ish2,ish3,iso,ispx,isu,isz,itdb,ite,itl,itm,itmz,itp,its,ivt,iw44,iwa,iwd,iwi,iwprj,iwtpl,ix,ixv,jac,jar,jav,java,

jb2,jbc,jbig,jbig2,jc,jdd,jfif,jge,jgz,jhd,jiaf,jias,jif,jiff,jnt,joe,jp1,jpc,jpe,jpeg,jpf,jpg,jpgx,jpm,jpw,jrf,jrl,jrprint,js,jsd,json,jsp,

jspa,jspx,jtd,jtdc,jtt,jtx,just,jw,jwl,jww,k25,kbd,kbf,kc2,kdb,kdbx,kdc,kde,kdf,kes,key,keynote,key-ef,kf,kfm,kfp,kid,klq,

klw,kmz,knt,kos,kpdx,kpr,ksd,ksp,kss,ksw,kuip,kwd,kwm,kwp,laccdb,lastlogin,lat,latex,lax,lay,lay6,layout,lbf,lbi,lbl,lcd,

lcf,lcn,ldb,ldf,lfe,lgp,lhd,lib,lit,litemod,ll3,llv,lmd,lngttarch2,lnk,localstorage,log,logonxp,lok,lot,lp,lp2,lp7,lpa,lpc,lpd,lpdf,

lpx,lrf,ls5,lst,ltcx,ltm,ltr,ltx,lua,lvd,lvivt,lvl,lvw,lwd,lwo,lwp,lyx,m,m13,m14,m2,m2ts,m3u,m3u8,m4a,m4p,m4u,m4v,m7p

,maca,mag,maker,maml,man,manu,map,mapimail,marc,markdn,mars,mass,max,maxfr,maxm,mbbk,mbox,mbx,mc9,

mcd,mcdx,mcf,mcgame,mcmac,mcmeta,mcrp,mcw,md,md0,md1,md2,md3,md5,mdb,mdbackup,mdbhtml,mdc,

mdccache,mddata,mdf,mdg,mdi,mdk,mdl,mdn,mds,mecontact,med,mef,meh,mell,mellel,menu,meo,met,

metadata_never_index,mf,mfa,mfp,mfw,mga,mgmt,mgourmet,mgourmet3,mhp,mht,mhtenx,mhtmlenx,mi,mic,mid,

mif,mim,mime,mindnode,mip,mission,mix,mjd,mjdoc,mke,mkv,mla,mlb,mlj,mlm,mls,mlsxml,mlx,mm,mm6,mm7,mm8,

mmap,mmc,mmd,mme,mmjs,mml,mmo,mmsw,mmw,mny,mo,mobi,mod,moneywell,mos,mov,movie,moz,mp1,mp2,

mp3,mp4,mp4v,mpa,mpe,mpeg,mpf,mpg,mph,mpj,mpq,mpqge,mpr,mpt,mpv,mpv2,mrd,mru,mrw,mrwref,ms,msd,

mse,msg,mshc,msi,msie,msl,mso,msor,msp,msq,ms-tnef,msw,mswd,mtdd,mtml,mto,mtp,mts,mtx,mug,mui,mvd,mvdx,

mvex,mwd,mwii,mwpd,mwpp,mws,mxd,mxg,mxp,myd,mydocs,myi,mz,n3,narrative,nav,navmap,nb,nbak,nbf,nbp,ncd,

ncf,nd,ndd,ndf,ndl,ndr,nds,ne1,ne3,nef,nfo,nfs11save,ng,njx,nk2,nmbtemplate,nmu,nokogiri,nop,note,now,npd,npdf,npp

,npt,nrbak,nrg,nri,nrl,nrmlib,nrw,ns2,ns3,ns4,nsd,nsf,nsg,nsh,nst,ntf,ntl,ntp,nts,number,numbers,nvd,nvdl,nvram,nwb,

nwbak,nwcab,nwcp,nx^d,nx__,nx1,nx2,nxl,nyf,oa2,oa3,oab,oad,oas,obd,obj,obr,obt,obx,obz,ocdc,ocs,oda,odb,odc,

odccubefile,odf,odg,odh,odi,odif,odm,odo,odp,ods,odt,odt#,odttf,odz,officeui,ofn,oft,oga,ogc,ogg,oil,ojz,okm,ole,

ole2,olf,olv,oly,omlog,omp,onb,one,oos,oot,opd,opf,opj,oplx,opn,opt,opx,opxs,orf,ort,osd,osdx,ost,otc,otf,otg,oth,

oti,otn,otp,ots,ott,otw,out,ovd,owl,oxps,oxt,p10,p12,p2s,p3x,p65,p7b,p7c,p7z,pab,pack,pad,pages,pages-tef,pak,paq,pas,pat,paux,pbd,pbf,pbk,pbp,pbr,pbs,pbx5script,pbxscript,pcd,pcf,pcj,pct,pcv,pcw,pd,pdb,pdc,pdcr,

pdd,pdf,pdf_,pdf_profile,pdf_tsid,pdfa,pdfe,pdfenx,pdfl,pdfua,pdfvt,pdfx,pdfxml,pdfz,pdg,pdp,pdz,peb,pef,pem,

pez,pf,pfc,pfd,pfl,pfm,pfsx,pft,pfx,pg,pgs,php,phr,phs,pih,pixexp,pj2,pj4,pj5,pk,pkb,pkey,pkg,pkh,pkpass,pl,plan,

plb,plc,pld,pli,pln,plus_muhd,pm,pm3,pm4,pm5,pm6,pm7,pmd,pmt,pmv,pmx,png,pnu,po,pod,pool,pot,pothtml,

potm,potx,pp3,ppam,ppd,ppdf,ppf,ppj,ppp,pps,ppsenx,ppsm,ppsx,ppt,ppte,ppthtml,pptl,pptm,pptmhtml,pptt,

pptx,ppws,ppx,prc,prd,pref,prel,prf,prj,prn,pro,pro4,pro4dvd,pro5,pro5dvd,pro5plx,pro5x,proofingtool,props,

proqc,prproj,prr,prs,prt,prtc,prv,ps,ps2,ps3,psa,psafe3,psb,psd,pse8db,psf,psg,psi2,psip,psk,psm,psmd,

pspimage,pst,psw,psw6,pswx,psz,pt3,pt6,ptc,ptf,pth,ptk,ptn,ptn2,pts,ptx,pub,pubf,pubhtml,pubmhtml,pubx,puz,pvd,pve,

pvf,pw,pwd,pwe,pwf,pwi,pwm,pwp,pwre,pxd,pxl,pxp,py,pys,pzc,pzf,pzt,qba,qbb,qbl,qbm,qbr,qbw,qbx,qby,qch,qcow,

qcow2,qct,qdf,qed,qel,qfl,qfxx,qhp,qht,qhtm,qic,qif,qlgenerator,qpx,qrt,qt,qtq,qtr,qtw,quox,qvw,qwd,qwt,qxb,qxd,qxl

,qxp,qxt,r00,r01,r02,r03,r0f,r0z,r3d,ra,ra2,raf,ram,ramd,rap,rar,rat,raw,razy,rb,rbc,rcb,rd,rd1,rdb,rdf,rdfs,rdi,rdo,

rdoc,rdoc_options,rdz,re4,rec,rels,res,resbuild,rest,result,rev,rf,rf1,rft,rgn,rgo,rgss3a,rha,rhif,rim,rit,rlf,rll,rm,rm5,r

md,rmf,rmh,rna,rng,rnt,rnw,ro3,rofl,roi,ros,rov,row,rox,rpf,rpt,rptr,rrd,rrpa,rrt,rrx,rs,rsdf,rsdoc,rsm,rsp,rsrc,rst,

rsw,rt,rt_,rtdf,rte,rtf,rtf_,rtfd,rtk,rtpi,rts,rtsl,rtsx,rtx,rum,run,rv,rvf,rvt,rw2,rwl,rwlibrary,rwz,rxdoc,rzk,rzx,s3db,

s8bn,sa5,sa7,sa8,saas,sad,saf,safe,safetext,sam,sas7bdat,sav,save,say,sb,sbn,sbo,sbpf,sbsc,sbst,sc2save,scd,

scdoc,sce,sch,scm,scmt,scn,scr,scriv,scrivx,scs,scspack,scssc,sct,scw,scx,sd,sd0,sd1,sda,sdb,sdc,sdd,sddraft,

sdf,sdi,sdl,sdmdocument,sdn,sdo,sdoc,sdp,sdr,sds,sdt,sdv,sdw,search-ms,secure,sef,sel,sen,

seq,sequ,server,ses,set,setup,sev,sff,sfs,sfx,sgf,sgi,sgl,sgm,sgml,sgz,sh,sh6,shar,shb,show,

shr,shs,shtml,shw,shy,sic,sid,sidd,sidn,sie,sik,sis,sky,sla,sldm,sldx,slf,slk,slm,slt,slz,sm,smd,sme,smf,smh,smlx,smn,smp,

sms,smwt,smx,smz,snb,snf,sng,snk,snp,snt,snx,so,soi,spb,spd,spdf,spk,spl,spm,spml,sppt,spr,sprt,sprz,sql,sqlite,sqlite3,

sqlitedb,sqllite,sqx,sr2,src,srf,srfl,srs,srt,srw,ssa,ssh,ssi,ssiw,ssm,ssx,st4,st5,st6,st7,st8,stc,std,sti,stm,stp,stpz,struct,

stt,stw,stx,stxt,sty,sud,suf,sum,surf,svd,svdl,svg,svi,svm,svn,svp,svr,svs,swd,swdoc,sweb,swf,switch,swp,sxc,sxd,sxe,

sxg,sxi,sxl,sxm,sxml,sxw,syn,syncdb,t,t01,t03,t05,t10,t12,t13,t14,t2,t2k,t2t,t4g,t80,ta1,ta2,ta9,tabula-doc,

tabula-docstyle,tah,tar,tax,tax2009,tax2013,tax2014,tb,tbb,tbd,tbk,tbkx,tbz2,tcd,tch,tck,tcx,tdg,tdl,tdoc,tdr,te1,

template,tex,texi,texinfo,text,textclipping,textile,tfd,tfm,tfr,tfrd,tg,tga,tgz,thm,thml,thmx,thr,tib,tif,tiff,tjp,tk3,tlb,

tld,tlg,tlt,tlx,tlz,tm,tm3,tmb,tmd,tml,tmlanguage,tmv,tmz,tns,tnsp,toast,toc,topx,tor,torrent,totalslayout,tp,tpl,tpo,

tpsdb,tpu,tpx,trashinfo,trif,trp,ts,tsc,tt11,tt2,ttax,ttxt,tu,tur,tvd,twdi,twdx,tww,tx,txd,txe,txf,txm,txn,txt,txtrpt,u3d,

uax,ubz,ucd,udb,udf,udl,uea,uhtml,ukr,ulf,uli,ulys,ump,umx,unity3d,unr,unx,uof,uop,uos,uot,updf,upk,upoi,upp,

urd-journal,urf,url,urp,usa,usx,ut2,ut3,utc,utd,ute,utf8,uti,utm,uts,utx,uu,uud,uue,uvx,uxx,v,v2t,val,vault,vbadoc,

vbd,vbk,vbox,vbs,vc,vcal,vcd,vce,vcf,vdf,vdi,vdo,vdoc,vdt,ver,vf,vfs0,vhd,vhdx,view,viz,vlc,vlt,vmbx,vmdk,vmf,vmg,

vmm,vmsd,vmt,vmx,vmxf,vob,voprefs,vor,vp,vpk,vpl,vpp_pc,vs,vsd,vsdx,vsf,vsi,vspolicy,vst,vstx,vtf,vthought,vtv,vtx,

vw,vw3,w,w2p,w3g,w3x,w51,w52,w60,w61,w6bn,w6w,w8bn,w8tn,wab,wad,waff,wallet,war,wav,wave,waw,wb,wb2,

wb3,wbk,wbt,wbxml,wbz,wcf,wcl,wcn,wcp,wcst,wd0,wd1,wd2,wdbn,wdgt,wdl,wdn,wdoc,wdx9,web,webdoc,webpart,

wep,wflx,wht,wiz,wk!,wk1,wk3,wk4,wkb,wki,wkl,wks,wlb,wld,wll,wls,wlxml,wm,wma,wmd,wmdb,wmf,wmga,wmk,wml,

wmlc,wmmp,wmo,wms,wmv,wmx,wn,wolf,word,wordlist,wotreplay,wow,wp,wp42,wp5,wp50,wp6,wp7,wpa,wpc2,

wpd,wpd0,wpd1,wpd2,wpd3,wpe,wpf,wpk,wpl,wpost,wps,wpt,wpw,wr1,wrf,wri,wrlk,ws,ws1,ws2,ws3,ws4,ws5,ws6,

ws7,wsd,wsf,wsh,wsp,wtbn,wtd,wtf,wtmp,wtp,wts,wtt,wtx,wvw,wvx,wwcx,wwi,wwl,wws,wwt,wxmx,wxp,wyn,wzn,

wzs,x11,x16,x3f,x3g,xamlx,xar,xav,xbd,xbrl,xci,xda,xdc,xdf,xdo,xdoc,xdw,xf,xfd,xfdf,xfi,xfl,xfn,xfo,xfp,xfx,xgml,xht,xhtm,

xhtml,xif,xig,xis,xjf,xl,xla,xlam,xlb,xlc,xle,xlf,xline,xlist,xlk,xll,xlm,xlnk,xlr,xls,xlsb,xlse,xlshtml,xlsl,xlsm,xlst,xlsx,xlsxl,xlt,

xlthtml,xltm,xltx,xlv,xlw,xlwx,xma,xmdf,xml,xmmap,xmn,xmp,xms,xmt_bin,xmta,xpd,xpi,xpm,xps,xpse,xpt,xpwe,xqm,

xqr,xqx,xrdml,xsc,xsd,xsig,xsl,xslt,xtbl,xtd,xtg,xtml,xtps,xtrl,xv0,xv2,xv3,xvg,xvid,xvl,xwd,xweb3htm,xweb3html,

xweb4stm,xweb4xml,xwf,xwp,xxe,xxx,xy,xy3,xy4v,xyd,yab,ycbcra,yenc,yml,ync,yps,yuv,z02,z04,zap,zip,zipx,zoo,zps,ztmp

[표 1] 암호화 대상 파일 확장자




암호화 된 파일의 모습은 아래 [그림 2]와 같으며, 바탕화면과 대상 폴더 마다 랜섬노트가 생성된 것을 확인할 수 있다.


[그림2] 암호화 된 파일과 랜섬노트[그림2] 암호화 된 파일과 랜섬노트






3-2. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.


[그림3] 쉐도우 파일 삭제[그림3] 쉐도우 파일 삭제






3-3. 금전 요구

파일 암호화가 완료되면 ‘Scarab Ransomware’ 는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 E-MAIL 주소로 개인식별키를 작성하여 보내면 복호화 키를 준다는 내용을 포함하고 있다.


[그림 4] 암호화 완료 후 나타나는 랜섬노트[그림 4] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Scarab Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 랜섬웨어가 회사나 공공기관 만을 상대로 유포하는 것이 아니기 때문에 개인 사용자일 경우에도 안심하지 않고 항상 주의하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





Posted by nProtect & TACHYON