뉴스 / 이슈

|  사회의 소식, 새로운 소식들을 게시할 수 있습니다.

조회 수 41 추천 수 0 댓글 3
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
Extra Form
출처 https://www.ahnlab.com/kr/site/securityi...ontent=738

안랩에서 퍼왔습니다.


새로운 유형의 랜섬웨어인데 program files 폴더까지 암호화시킨다고 하니 주의해야 될 것 같습니다.


______________________________________________________________


거의 모든 포맷의 파일을 암호화하는 신종 랜섬웨어가 발견됐다. 이번에 발견된 랜섬웨어는 암호화 대상 및 수행 방식, 금전 요구 방식 등에서 기존 랜섬웨어와 차이를 보인다. 특히 내부의 하드코딩된 값을 이용해 암호화를 수행할 수 있기 때문에 인터넷이 연결되지 않은 시스템에 대해서도 각별한 주의가 필요하다. 

 

안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)은 지난 9월 9일 신종 랜섬웨어를 확인, 11일에 ASEC 블로그를 통해 상세한 내용을 공개했다. ASEC에 따르면, 이 신종 랜섬웨어는 사용자가 특정 웹사이트에 접속만 해도 감염되는 드라이브-바이-다운로드(Drive-by-Download) 방식으로 유포된 것으로 보이며, 파일을 암호화한 후 확장자명을 .SAVEfiles로 변경한다. 

 

  

[그림 1] 신종 랜섬웨어의 랜섬 노트

 

암호화 대상 및 암호화 수행 방식 등 신종 랜섬웨어의 특징을 요약하면 다음과 같다. 

 

1. 암호화 대상 확대 

이 신종 랜섬웨어가 실행되면 일부 경로를 제외하고 거의 모든 경로의 폴더에 존재하는 파일을 암호화한다. 또한 .exe, .dll 등을 포함해 거의 모든 포맷의 파일을 암호화하고, 파일의 확장자명을 .SAVEfiles로 변경한다.
대부분의 랜섬웨어는 PC의 Program Files 경로는 암호화 대상에서 예외로 처리하는 반면, 이번에 발견된 랜섬웨어는 해당 폴더도 암호화 대상으로 포함하고 있다. 따라서 PC에 설치된 주요 프로그램들도 암호화되며 정상적으로 이용할 수 없게 된다.  

 

  

[그림 2] 암호화 후 변경된 파일 확장자명

 

2. 암호화 수행을 위한 키/퍼스널 ID 

이번에 발견된 신종 랜섬웨어는 대부분의 랜섬웨어와 마찬가지로 C&C 서버를 통해 공격자와 연결, 암호화 수행 시 필요한 키(key)와 퍼스널ID(Personal ID)를 수신한다. 그러나 내부에 하드코딩된 값을 갖고 있어 인터넷 연결이 되지 않은 환경에서도 암호화 진행이 가능하다. 암호화 후 ‘!!!SAVE_FILES_INFO!!!.txt’라는 파일명의 랜섬노트를 생성한다. 

 

3. 금전 요구 방식 

이번에 발견된 랜섬웨어는 대부분의 랜섬웨어와 달리 공격자와의 통신을 위해 URL이 아닌 이메일 주소를 제시하고 있다. 즉, 피해자는 암호화된 파일을 복구하기 위해 이메일을 이용해 공격자에게 연락해야 하는 구조다. 또한, 복구 비용으로 비트코인 등 암호화폐(가상화폐)를 요구하는 기존 랜섬웨어와 달리 실제 통화로 500달러를 요구하고 있다([그림 1] 참고). 

  

.SAVEfiles라는 확장자명으로 파일을 암호화하는 신종 랜섬웨어에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다. 

 ASEC 블로그 바로가기

 

한편, 안랩은 이번 신종 랜섬웨어에 대해 자사 제품을 통해 아래와 같은 진단명으로 탐지하고 있다. 

<안랩 진단명> 

Trojan/Win32.Savefiles.C2701916 (2018.09.10.03)

Malware/MDP.Ransom.M1171 

 

V3를 사용 중인 고객이라면 V3의 엔진 버전을 최신 상태로 유지했을 경우, 이 신종 랜섬웨어의 피해를 예방할 수 있다. 또한 드라이브-바이-다운로드 등의 방식을 이용한 랜섬웨어의 피해를 예방하기 위해서는 운영체제(OS) 및 주요 소프트웨어의 최신 보안 패치를 적용하는 것이 필요하다.

  • profile
    title: 애프터 이펙트제르엘 2018.09.13 22:53
    프로그램까지 죽여버리는 데다 하드코딩된 값 때문에 랜선을 뽑아도 암호화가 진행된다니... 무섭군요...
  • profile
    이니스프리 2018.09.13 22:59
    그러게 말이에요 ㅠㅠ 랜섬웨어와 바이러스라는 경계가 무너지고 있는 것 같네요
    랜섬웨어가 무섭게 진화하고 있어서 최근 수년 간은 랜섬웨어가 보안프로그램을 압도하는 느낌이네요 ㅜㅜ
  • profile
    title: 애프터 이펙트제르엘 2018.09.13 22:59
    이제 뭐 다운받을 때 굉장히 조심하면서 다녀야겠군요... 불편해도 우분투 컴을 켜야겠네요...

뉴스 / 이슈

사회의 소식, 새로운 소식들을 게시할 수 있습니다.

공지 회원 전용 페이지가 생겼습니다. 마스터 2018.03.20
공지 뉴스 게시판에는 원 출처를 적어주세요. title: 맛스타의 자물쇠에듀 2017.02.12
  1. [보안뉴스] 퓨어VPN에서 비밀번호 노출 취약점 나와...빠른 패치 필수

    PureVPN은 ‘노 로그’ 정책을 실행 중이라고 했으나 이는 사실이 아닌 것으로 밝혀졌고 실제로 사이버스토킹과 관련된 로그를 FBI에게 제공한 바 있습니다.미국 기반의 사이트이기 때문에 앞으로도 이러한 문제에서 완전히 자유로울 수는 없을 것 같습니다.그리...
    Date2018.10.02 Category뉴스 By이니스프리 Reply2 Views30 file
    Read More
  2. 단통법 시행 후 이통사 과징금 886억원… 올해 최대

    단통법 시행 후에도 소위 호갱 문제는 계속되고 있군요.SK 텔레콤은 유선인터넷 해외회선도 취약하고 소비자로서 아쉬운 부분이 많네요.SK텔레콤이 절반 이상…신용현 의원 "이용자 차별 여전"(서울=연합뉴스) 고현실 기자 단통법(이동통신단말장치 유통구조 개...
    Date2018.10.01 Category뉴스 By이니스프리 Reply0 Views18 file
    Read More
  3. HBO, 45년만에 라이브 복싱 방송 중단

    최초의 PPV 중계가 1960년 패터슨 vs 요한슨 복싱 경기에서 시작되었다고 알고 있구요.HBO가 60년대 중반부터 복싱에 뛰어들어 굵직한 타이틀 전들을 연이어 중계했었죠.이후 HBO 복싱은 장기간 업계 1위로 군림하며 2010년 이전에 그 위상은 타사가 범접할 수...
    Date2018.10.01 Category뉴스 By이니스프리 Reply0 Views21 file
    Read More
  4. No Image

    [연합뉴스] 삼성전자, 전세계 공대생이 꼽은 '취직하고픈 직장' 9위

    삼성이 소니와 아마존보다 순위가 높다는 점이 인상적이네요 ^^유니버섬 '2018 가장 매력적인 고용주' 명단…작년보다 1계단↑(서울=연합뉴스) 이승관 기자 삼성전자가 전 세계 공대생이 꼽은 가장 매력적인 직장 순위에서 9위에 올랐다.2016년부터 3년 연속 '톱...
    Date2018.10.01 Category뉴스 By이니스프리 Reply0 Views16
    Read More
  5. [보안뉴스] “귀하의 계정이 해킹당했습니다” 혹스 이메일 피해 컸다

    이메일 계정을 해킹했다며 협박하는 유형의 피싱 메일이 다시 기승을 부리고 있네요 ㅠㅠ스포어 회원님들께서도 조심하셔야 될 것 같습니다.이메일 계정 해킹 피싱 메일로 클릭 유도 “은밀한 사생활 영상 유포하겠다”며 비트코인 결제 협박 [보안뉴스 권준 기...
    Date2018.10.01 Category뉴스 By이니스프리 Reply0 Views111 file
    Read More
  6. [ZDNet] LG디스플레이, 생산직 희망퇴직 첫 실시

    중국의 저가 LCD 물량공세를 이기지 못하고 결국 이렇게 되는군요 ㅠㅠ아주 오래 전 일이지만 LG디스플레이가 호황일 때 저도 주식을 약간 보유하고 있었는데 세월이 무상하네요.지금은 그 때에 비하면 주가가 반토막도 되지 않는군요 ㅠㅠLG디스플레이가 생산...
    Date2018.09.30 Category뉴스 By이니스프리 Reply4 Views68 file
    Read More
  7. [보안뉴스] 거의 모든 리눅스에서 발견된 취약점, ‘돌연변이원 천문학’

    CentOS 등에서 정수 오버플로우 취약점이 발견되었군요.조기에 발견되어 대비할 수 있는 것이 다행이네요 ^^리눅스 시스템에 접근한 공격자의 취약점 높여주는 취약점낮은 위험도의 취약점과 조합될 가능성 높아...철저한 취약점 관리 필요[보안뉴스 문가용 기...
    Date2018.09.30 Category뉴스 By이니스프리 Reply0 Views19 file
    Read More
  8. [중앙일보] 인스타그램 창업자들 회사 떠난다…저커버그와 충돌 빚은 듯

    왓츠앱에 이어서 인스타그램 창업자들도 떠나네요.과연 왓츠앱, 인스타그램, 그리고 페이스북의 미래는 어떻게 될까요? ㅠㅠ인스타그램의 공동 창업자들이 인수업체인 페이스북의 최고경영자(CEO) 마크 저커버그와의 갈등으로 회사를 떠난다. 인스타그램은 세...
    Date2018.09.30 Category뉴스 By이니스프리 Reply2 Views27 file
    Read More
  9. No Image

    [보안뉴스] 아이웹, "10월 1일 랜섬웨어 피해 복구 결과 나와" - 해커추적과 복구 어려워

    아이웹에 대한 여러 기사를 종합해보면 (1) 아이웹 측의 보안 시스템이 취약했다(2) 랜섬웨어에 감염된 동일 시스템에서 백업해서 백업이 큰 의미가 없다라는 사실을 알 수 있습니다 ㅠㅠ스포어에는 부디 피해자가 없으시기를 기원합니다.429954번 글에서 슬기...
    Date2018.09.29 Category뉴스 By이니스프리 Reply3 Views26
    Read More
  10. 페이스북 네트워크 해킹... 사용자 5천만명 개인정보 위험

    사용자 정보 도용 사건에 이어서 페이스북에 악재가 겹치고 있군요.100억 달러 이상 가치를 가진 IT 기업 중에 드롭박스가 가장 빨리 몰락할 것이란 전문가들의 예상이 있었는데 의외로 훨씬 더 규모가 큰 페이스북이 안 좋은 길로 빠져들고 있네요 ㅠㅠ429954...
    Date2018.09.29 Category뉴스 By이니스프리 Reply3 Views26 file
    Read More
  11. 뉴스 빠진 네이버 모바일 메인…10월10일 공개

    저는 네이버의 강점이 검색 자체보다는 종합적인 포털 사이트로서의 시너지라고 생각하는데요. 과연 어떻게 될지 궁금하네요 ^^아시아경제 출처:https://news.naver.com/main/ranking/read.nhn?mid=etc&sid1=111&rankingType=popular_day&oid=277&aid=00043242...
    Date2018.09.28 Category뉴스 By이니스프리 Reply4 Views44 file
    Read More
  12. 아이웹 랜섬웨어 감염 사태로 수천여개 웹사이트 피해

    아이웹 랜섬웨어 피해 규모, 웹사이트 2,000~3,000여개에 달할 듯암호화 복구 명목으로 1억원 상당의 비트코인 요구...현재 경찰 수사중무료 홈페이지 빌더를 제공하는 홈페이지 제작 전문업체 아이웹이 추석 명절 기간 랜섬웨어 공격을 받아 아이웹빌더 데이...
    Date2018.09.28 Category뉴스 By이니스프리 Reply4 Views54 file
    Read More
  13. 韓·日 등 광범위한 랜섬웨어 공격 시도 포착 : ‘폴아웃 익스플로잇 키트(Fallout exploit kit)’

    [이데일리 이재운 기자]한국을 비롯해 다양한 지역에 랜섬웨어 공격을 수행하는 악성코드 공격세력이 확인돼 주의가 요구된다.17일 미국 정보보안 업체 파이어아이는 지난달 말 한국, 일본, 중동, 남유럽, 아태 지역 사용자를 공격하는 멀버타이징(Malvertisin...
    Date2018.09.26 Category뉴스 By이니스프리 Reply3 Views37 file
    Read More
  14. No Image

    '잊힌' 모바일상품권 가치, 내년 94억원 소멸

    최근 4년간 환불대상 못 찾은 '미사용 상품권' 304억원지난해 모바일상품권 거래액 1조원 넘어…'1위' 카카오 80% 차지박대출 의원, '모바일상품권 구매현황' 자료 공개(서울=연합뉴스) 김연정 기자 기프티콘 등 모바일상품권 미청구액이 최근 4년간 304억원에 ...
    Date2018.09.25 Category뉴스 By이니스프리 Reply2 Views16
    Read More
  15. 뉴에그 서버 해킹으로 사용자 결제 정보 유출 / AdGuard 해킹 시도로 인한 비밀번호 변경

    뉴에그 서버 해킹에 관한 보드나라 기사입니다.뉴에그 서버가 악성코드에 감염되어 사용자 정보가 유출되는 사고가 발생했다.뉴에그는 현지 시간으로 9월 19일 고객에게 발송한 메일을 통해 이같은 사실을 알리며, 고객 피해 규모나 유출 정보에 대해서는 아직...
    Date2018.09.23 Category뉴스 By이니스프리 Reply0 Views96 file
    Read More
  16. [팩트체크] "전화만 받아도 125만원 과금" 신종사기 사실일까?

    "긴급사항!!!""010-5XXX-1XXX 번호로 걸려온 전화는 받지 마세요. 받자마자 125만 원이 차감되는 새로운 형태의 사기라고 합니다."휴대전화를 이용한 신종 사기 수법을 조심해야 한다는 내용의 문자 메시지다. 위 내용과 함께 카톡 업그레이드와 아이핀(인터넷...
    Date2018.09.22 Category뉴스 By이니스프리 Reply0 Views36 file
    Read More
  17. No Image

    [보안뉴스] 애플, 최신 서비스 및 OS 발표하며 다량의 취약점 해결

    애플 패치 발표...보안 구멍 메우고 일부 기능 향상시켜각종 OS와 사파리 등도 업그레이드...RC4는 완전히 삭제애플이 이번 주 iOS 12를 공식적으로 발표했다. 이를 통해 모바일 운영 체제의 여러 취약점들이 패치됐고, 성능 일부도 향상됐다고 한다.뿐만 아니...
    Date2018.09.20 Category뉴스 By이니스프리 Reply2 Views31
    Read More
  18. 13년간 담합한 일본계 콘덴서 업체에 공정위 360억 과징금 철퇴

    콘덴서 관련해서 일본 제품을 높게 평가하기는 하던데 이런 담합이 있을 줄은 몰랐네요.______________________________________일본 국적의 콘덴서 제조·판매사 9개사가 콘덴서 공급가격을 인상·유지하기로 담합하고 삼성, LG 등 한국 대형 수요처에 13년여간...
    Date2018.09.18 Category뉴스 By이니스프리 Reply0 Views13
    Read More
  19. 구글, 과학자를 위한 데이터 검색 엔진 ‘데이터세트 서치’ 공개

    https://toolbox.google.com/datasetsearchDataset Search Google Dataset Search데이터세트 서치는 위 주소에서 접속 가능합니다.이하 기사 원문입니다.__________________________________________________________________구글이 과학자, 언론인, 호기심 많...
    Date2018.09.17 Category뉴스 By이니스프리 Reply4 Views35 file
    Read More
  20. 파일은 물론 프로그램까지 인질로 잡는 신종 랜섬웨어 등장

    안랩에서 퍼왔습니다.새로운 유형의 랜섬웨어인데 program files 폴더까지 암호화시킨다고 하니 주의해야 될 것 같습니다.______________________________________________________________거의 모든 포맷의 파일을 암호화하는 신종 랜섬웨어가 발견됐다. 이번...
    Date2018.09.13 Category뉴스 By이니스프리 Reply3 Views41 file
    Read More
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 18 Next
/ 18
서버에 요청 중입니다. 잠시만 기다려 주십시오...