보안정보

Week In Ransomware

[Week In Ransomware] 2017년 08월 5주차

침해사고분석팀 2017.09.04

 

* 해외 커뮤니티의 랜섬웨어 트랜드를 공유하는 자료를 참조하여 소개해드리는 게시글입니다.

* 해당 게시물을 통해 모든 사람들이 랜섬웨어의 경각심을 조금이라도 가질 수 있기를 소망합니다.

 

 

 

Arika Ransomware

 

Arika Ransomware는 아직 개발중인 랜섬웨어로 랜섬 노트가 존재하지 않으며 특이하게도 비디오 폴더만 암호화 하는 랜섬웨어입니다. 파일 암호화 시 ' .Akira ' 확장자를 추가합니다.

 

이름: Arika Ransomware
크기: 9,216 bytes
C2: -
SHA256: f41340cb2171fcc6e7d15259749a2bb9abf110f2e0b6c604019758d11875a10a
확장자: .akira

 

 

[그림] Akira 랜섬웨어 암호 확장자

 

 

Bit Paymer Ransomware

 

Bit Paymer Ransomware는 스코트랜드 병원 일부를 감염시킨 타켓형 랜섬웨어입니다. 해당 랜섬웨어는 몸값을 무려 230,000 달러를 요구했습니다. 파일 암호화 시 ' .locked ' 확장자를 추가합니다.

 

이름: Bit Paymer Ransomware
크기: 106,496 bytes
C2: -
SHA256: 1c0ffdaddec1eca9a9a5ef5192151dbce8ccd8e31a84c51d70f5a5c64f07a363
확장자: .locked

 

이름: Bit Paymer Ransomware
크기: 94,208 bytes
C2: -
SHA256: d693c33dd550529f3634e3c7e53d82df70c9d4fbd0c339dbc1849ada9e539ea2
확장자: .locked

 

[그림] Bit Paymer 랜섬노트

 

 

Blue Eagle Ransomware

 

기존 Blue Eagle Ransomware 변종이 발견되었습니다. 현재 파일 에러로 인해 암호화를 하지 않고 랜섬 노트만 생성합니다. 추후 더 성장하고 더 멋진 랜섬웨어로 우리를 괴롭힐 귀중한 자산이겠죠.

 

이름: Blue Eagle Ransomware
크기: 397,824 bytes
C2: -
SHA256: 8f7f86a43b8ad53ba9fa1e78b5cd945729882d14240658f1b9a803cb09f005a4
확장자: -

 

[그림] Blue Eagle 랜섬노트

 

 

Crying Ransomware

 

현재 개발 단계인 Crying Ransomware 는 DLL 연동 불가로 정상 동작하지 않습니다. 하지만 특성 보험회사를 랜섬노트에 활용하는 것이 굉장히 인상적인 랜섬웨어입니다.

 

이름: Crying Ransomware
크기: 1,257,472 bytes
C2: -
SHA256: 9aa8751fc2c97378bdfd2cd5743aa9ddf33e806abf11b747b4980f5567a8f5db
확장자: -
 
 

[그림] Crying Ransomware 리소스

 

 

EkoParty's Conferance Ransomware

 

EkoParty라는 컨퍼런스가 열리길 바라는 이유에서 유포한 랜섬웨어가 발견되었습니다. 해당 랜섬웨어는 컨퍼런스 내 시연의 일환으로 사용될 것이라는 추측이 있습니다. HiddenTear 기반으로 만들어졌습니다. 파일 암호화 시 ' .locked ' 확장자를 추가합니다.  '바탕화면 ansomnote' 폴더만 암호화하며 랜섬노트와 별개로 브라우저를 열어 메시지를 노출합니다.

 

이름: Crying Ransomware
크기: 155,648 bytes
C2: -
SHA256: 8a8e7249553280b55aab5e4ea577f51689f2f61816a19e31f36b2c21c550603a
확장자: .locked

 

 

[그림] EkoParty 랜섬노트

 

[그림] EkoParty 암호 확장자

 

[그림] EkoParty 랜섬웨어 화면

 

 

Haze Ransomware

 

Haze Rasomware는 랜섬노트 및 바탕화면 색깔 등 예전 Petya Ransomware를 모방합니다. 해당 Ransomware는 암호화 하지 않습니다. 첫 해골 모양 이후 아무 키를 누르면 랜섬노트가 나타납니다.

 

이름: Haze Ransomware
크기: 16,384 bytes
C2: -
SHA256: e5420cde582b0ec38280eccb94cfb889073dd158ada8970bea3cb4f8c4874086
확장자: 암호화 안함

 

[그림] Haze 랜섬웨어 화면

 

[그림] Haze 랜섬노트

 

 

Keymaker Ransomware

 

Keymaker Ransomware는 C2 통신을 진행하지만 현재는 해당 서버의 부재로 랜섬노트 추출이 불가합니다. 최근 C2 통신하는 랜섬웨어가 사라지는 추세에 매우 반가운 랜섬웨어 입니다. 파일 암호화 시 ' .CryptedOpps ' 확장자를 추가합니다. 

 

이름: Keymaker Ransomware
크기: 16,384 bytes
C2: hxxp://us-east-1.route-1.000webhost[.]awex[.]io
SHA256: e2d331de59101b1007dee8ef45dae5ffc28e8fe8ac83dfd01cd32817b3c9b531
확장자: .CryptedOpps 

 

[그림] Keymaker C2

 

 

MindSystem Ransomware

 

교육용 혹은 테스트 용으로 배포된 MindSystem Ransomware가 발견되었습니다. 'File.jpg' 랜섬노트가 생성되며, 누구든지 파일을 해독할 수 있도록 키를 제공합니다. 파일 암호화 시 ' .mind ' 확장자로 변형합니다.

 

이름: MindSystem Ransomware
크기: 15,360 bytes
C2: -
SHA256: 3efe068c644c96fff2a25a7351da85bad86949878df3c7cad76d83ad2f2c340f
확장자: .mind 

 

[그림] 감염 시 팝업창

 

[그림] MindSystem 랜섬노트

 

 

[그림] MindSystem 확장자

 

 

BTCware Ransomware

 

BTCware 랜섬웨어는 원격 데스크톱 서비스를 사용하여 취약한 암호로 원격 컴퓨터를 해킹하여 배포됩니다. 컴퓨터에 액세스 할 수 있게되면 ransomware를 설치하고 대상 파일을 암호화합니다. 파일 암호화 시 ' .[affiliate_email].nuclear ' 확장자로 변형합니다.

 

이름: BTCware Ransomware
크기: 115,712 bytes
C2: -
SHA256: d5397a05b745f64ab16ff921fb4571e9072b54437080bc9630047465e6b06a41
확장자: .[affiliate_email].nuclear
랜섬노트: C:UsersAdministratorAppDataRoamingHELP.hta

 

 

[그림] BTCware 확장자

 

 

[그림] BTCware 랜섬노트

 

 

 

Wooly Ransomware

 

Wooly Ransomware의 새로운 버전이 발견되었습니다. 하지만 실행 후 여전히 버그가 존재하며 많은 곳에서 Crash가 발생합니다. 파일 내 리소스 중 북극곰 사진이 포함되어 있습니다. 파일 암호화 시 ' .wooly ' 확장자를 추가하여 암호화합니다.

 

이름: Wooly Ransomware
크기: 10,956,288 bytes
C2: -
SHA256: 37e54f4979433c472d0186962aa1dfed35bf475835f36e5e3f94960320592c2e
확장자: .wooly

 

 

[그림] wooly 랜섬웨어 리소스

 

[그림] wooly 랜섬노트 리소스

 

 

CryptoMix Ransomware

 

암호화 된 파일 이름에 ' .arena ' 확장자를 추가하는 CryptoMix Ransomware의 새로운 변종을 발견했습니다 . 이 제품군의 ransomware 제품군은 거의 매주 새로운 버전을 출시하기 때문에 곧 다른 버전이 출시 될 것으로 예상됩니다.

 

이름: CryptoMix Ransomware
크기: 135,168 bytes
C2: -
SHA256: 3d615c210addb2672e40b291c2bf7f322955e7df475512a60d682ef1110ff511
확장자: .arena

 

 

[그림] 파일 암호화

 

[그림] CrytoMix 랜섬노트

 

 
 

RansomPrank / Just a Prank

 

랜섬 노트는 표시하지만 실제로는 암호화 하지 않은 RansomPrank(Just a Prank) 를 발견했습니다. 개발중인 단계라고 확인 됩니다.

 

이름: RansomPrank
크기: 350,720 bytes
C2: -
SHA256: 64c7d9f709c2e8f059e695db2b1dd84db7b1061ea0a445046603291749fb0920
확장자: 암호화 하지 않음

 

[그림] RansomPrank 랜섬노트

 
 

 

 

* 출처

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-1st-2017-locky-exploit-kits-and-more/

 
목록