HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

Flash Player 업데이트 파일을 위장하여 유포되는 Bad Rabbit Ransomware
등록일 :
2017.10.25

□ 개요

최근 해외에서 대량의 랜섬웨어가 유포되고 있으며, 많은 사용자를 보유하고 있는 Adobe사의 Flash Player 업데이트 파일을 위장하여 유포되고 있기에 각별한 주의가 요구된다.

 

□ 내용

"Bad Rabbit Ransomware"는 사용자가 웹 사이트에 방문 시 드라이브 바이 다운로드(Drive-By-Downloader)방식으로 감염이 이루어져 사용자들을 위협하고 있다.

 

위장된 Flash Player 업데이트가 실행될 경우 파일이 생성되며 생성된 파일은 다음과 같은 중요 기능을 포함하고 있다. 

 - AES 암호화 방식을 사용하여 파일을 암호화

 - 자격 증명 확인 후 SMB를 통한 네트워크 확산

 - MBR을 수정하여 감염된 사용자의 컴퓨터가 부팅될 때 감염사실을 알리고 비트코인 결제를 유도

 

[그림 1] 암호화되는 확장자 리스트

[그림 2] 랜섬노트

 

하지만 파일이 동작하는 과정에서 "C:\Windows\cscc.dat" 파일이 존재하는 경우 악성코드가 정상적으로 동작하지 않으니 임시로 파일을 생성하여 랜섬웨어에 감염되지 않도록 예방할 수 있다.​

 

□ 바이로봇 업데이트 내역

대표 진단명 Trojan.Win32.Ransom 

 

​ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html 

 

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top