← 보안센터로 돌아가기

분석정보 · 랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 7월 2주차

잉카인터넷 대응팀은 2021년 7월 9일부터 2021년 7월 15일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Artis” 외 5건, 변종 랜섬웨어는 “Phobos” 외 4건이 발견됐다. [표 1] 2021년 7월 2주차 신•변종 랜섬웨어 정리 2021년 7월 9일 Artis 랜섬웨어 파일명에 “.artis” 확장자를 추가하고 “How to decrypt

2021-07-16INCA Security Center

잉카인터넷 대응팀은 202179일부터 2021715일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 Artis 5, 변종 랜섬웨어는 Phobos 4건이 발견됐다.

[표 1] 2021년 7월 2주차 신•변종 랜섬웨어 정리

202179

Artis 랜섬웨어

파일명에 .artis 확장자를 추가하고 How to decrypt files.txt라는 랜섬노트를 생성하는 Artis 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

[그림 1] Artis 랜섬웨어 랜섬노트


CovidLocker 랜섬웨어

파일명에 .covid 확장자를 추가하고 How_To_Recover.mht라는 랜섬노트를 생성하는 CovidLocker 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

[그림 2] CovidLocker 랜섬웨어 랜섬노트

20217 10

InHorseWetRust 랜섬웨어

파일명에 .sgINHORSEWETRUST 확장자를 추가하고 #Decrypt#.txt라는 랜섬노트를 생성하는 InHorseWetRust 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

[그림 3] InHorseWetRust 랜섬웨어 랜섬노트

20217 11

Phobos 랜섬웨어

파일명에 .id[사용자 ID].[ICQ_SAFEPLACE].LOWPRICE 확장자를 추가하고 [그림 4]의 랜섬노트를 생성하는 Phobos 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

[그림 4] Phobos 랜섬웨어 랜섬노트

20217 12

Povlsomware 랜섬웨어

암호화한 파일명을 변경하지 않고 [그림 5]의 랜섬노트를 생성하는 Povlsomware 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 자동실행 하도록 레지스트리를 등록하고, 시스템 복원을 무력화한다.

[그림 5] Povlsomware 랜섬웨어 랜섬노트

20217 13

Cypress 랜섬웨어

파일명에 .cypress 확장자를 추가하고 [그림 6]의 랜섬노트를 생성하는 Cypress 랜섬웨어가 발견됐다.

[그림 6] Cypress 랜섬웨어 랜섬노트

Stop 랜섬웨어

파일명에 .wwka 확장자를 추가하고 _readme.txt라는 랜섬노트를 생성하는 Stop 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.

20217 14

Chaos 랜섬웨어

파일명에 .teddy 확장자를 추가하고 read_it.txt라는 랜섬노트를 생성하는 Chaos 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

[그림 7] Chaos 랜섬웨어 랜섬노트

20217 15

LockBit 랜섬웨어

파일명에 .lockbit 확장자를 추가하고 Restore-My-Files.txt라는 랜섬노트를 생성하는 LockBit 랜섬웨어의 변종이 발견됐다.

[그림 8] LockBit 랜섬웨어 랜섬노트


Mini 랜섬웨어

파일명에 .maya 확장자를 추가하고 READ_ME.txt라는 랜섬노트를 생성하는 Mini 랜섬웨어가 발견됐다.

[그림 9] Mini 랜섬웨어 랜섬노트

XiaoBa 랜섬웨어

파일명에 .[공겨자 메일].XiaoBa 확장자를 추가하고 [그림 10]의 랜섬노트를 생성하는 XiaoBa 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고, 바탕 화면 배경을 변경한다.

[그림 10] XiaoBa 랜섬웨어 랜섬노트