¤ýÀÛ¼ºÀÚ °ü¸®ÀÚ
¤ýÀÛ¼ºÀÏ 2016/09/22
¤ýÃßõ: 0  ¤ýÁ¶È¸: 62      
¤ýIP: 211.xxx.23
[º¸¾È°øÁö] MS º¸¾È¾÷µ¥ÀÌÆ® °¡ÀåÇÑ ·£¼¶¿þ¾î ¹ß°ß

               

                   

                       


                           °¡Â¥ ¡®À©µµ¿ì ¾÷µ¥ÀÌÆ®¡¯·Î À§ÀåÇÑ ·£¼¶¿þ¾î µîÀå?
                       


                       


                   

                       

ÃÖ±Ù ÇØ¿Ü¿¡¼­ À©µµ¿ì ¾÷µ¥ÀÌÆ®·Î À§ÀåÇÑ ·£¼¶¿þ¾î°¡ µîÀåÇß´Ù. ¾ðÁ¦µç ÀÌ·¯ÇÑ À¯ÇüÀÇ ·£¼¶¿þ¾î°¡ ±¹³» »ç¿ëÀÚ¸¦ Ÿ±êÀ¸·Î Á¦ÀÛ ¹× À¯Æ÷µÉ ¼ö ÀÖ¾î ¹Ì¸® »ìÆ캸°í ´ëºñÇÏ´Â °ÍÀÌ ÁÁ°Ú´Ù. Æ¯È÷ ·£¼¶¿þ¾î ÇÇÇØ ¿¹¹æÀÇ Ã¹ ¹ø° º¸¾È ¼öÄ¢À¸·Î À©µµ¿ì µî OS¿Í ÁÖ¿ä ÇÁ·Î±×·¥ÀÇ º¸¾È ¾÷µ¥ÀÌÆ® Àû¿ëÀÌ °­Á¶µÇ°í ÀÖ´Â ¸¸Å­, À©µµ¿ì ¾÷µ¥ÀÌÆ® ÆÄÀÏ·Î À§ÀåÇÑ ·£¼¶¿þ¾î·Î ÀÎÇÑ ÀáÀçÀûÀÎ ÇÇÇØ°¡ ¿ì·ÁµÈ´Ù.

 

¿ì¼±, ¿µ¾î±Ç »ç¿ëÀÚ¸¦ ³ë¸®´Â °ÍÀ¸·Î ÃßÁ¤µÇ´Â ÇãÀ§ À©µµ¿ì ¾÷µ¥ÀÌÆ® ·£¼¶¿þ¾î°¡ ¹ß°ßµÆ´Ù. À©µµ¿ì ¾÷µ¥ÀÌÆ®·Î À§ÀåÇÑ ÆÄÀÏÀ» ½ÇÇàÇÏ¸é ¡®WindowsUpdate.exe¡¯¶ó´Â À̸§ÀÇ ÆÄÀÏÀÌ ½Ã½ºÅÛ¿¡ »ý¼º ¹× ½ÇÇàµÇ¸ç, [±×¸² 1]°ú °°ÀÌ ¡®Áß¿ä À©µµ¿ì ¾÷µ¥ÀÌÆ®¡¯¶ó´Â ¸Þ½ÃÁö¿Í ÇÔ²² °¡Â¥ ¾÷µ¥ÀÌÆ® È­¸éÀÌ ³ªÅ¸³­´Ù. 

 

 

[±×¸² 1] °¡Â¥ À©µµ¿ì ¾÷µ¥ÀÌÆ® È­¸é

 

ÇãÀ§ À©µµ¿ì ¾÷µ¥ÀÌÆ®°¡ ÁøÇàµÇ´Â µ¿¾È ·£¼¶¿þ¾î´Â »ç¿ëÀÚ ¸ô·¡ ½Ã½ºÅÛ ³» ÆÄÀÏÀ» ¾ÏȣȭÇÑ´Ù. ÃÖ±Ù ·£¼¶¿þ¾îµé°ú ¸¶Âù°¡Áö·Î PCÀÇ °ÅÀÇ ¸ðµç Æ÷¸ËÀÇ ÆÄÀÏÀ» ¾ÏȣȭÇϸç, ÆÄÀÏ È®ÀåÀÚ¸í¿¡´Â ¡°.fantom¡±¶ó´Â ¹®ÀÚ¸¦ Ãß°¡ÇÑ´Ù.

 

[±×¸² 2] ·£¼¶¿þ¾î °¨¿° ÈÄ º¯°æµÈ ¹ÙÅÁÈ­¸é

 

ÀÌÈÄ ¹ÙÅÁÈ­¸éÀ» [±×¸² 2]¿Í °°ÀÌ º¯°æÇÏ°í ¡°DECRYPT_YOUR_FILES.HTML¡± ÆÄÀÏÀ» »ý¼ºÇØ »ç¿ëÀÚ¿¡°Ô ¾ÏȣȭµÈ ÆÄÀÏ º¹±¸¿Í °ü·ÃµÈ ³»¿ëÀ» ¾È³»ÇÑ´Ù.

 

[±×¸² 3] º¼·ý ¼¨µµ¿ì Ä«ÇÇ(Volume Shadow Copy) »èÁ¦

 

¶ÇÇÑ Ãß°¡·Î »ý¼ºµÈ ¡°%APPDATA%delback.bat¡± ÆÄÀÏÀº VSC(Volume Shadow Copy) ÆÄÀÏÀ» »èÁ¦ÇÏ¿© ½Ã½ºÅÛ º¹¿øÀ» ¹æÇØÇÑ´Ù.

 

ÃÖ±Ù¿¡´Â ·¯½Ã¾Æ¾î »ç¿ëÀÚ¸¦ ³ë¸° °ÍÀ¸·Î ÃßÁ¤µÇ´Â ÇãÀ§ À©µµ¿ì ¾÷µ¥ÀÌÆ® ·£¼¶¿þ¾îµµ ¹ß°ßµÆ´Ù. À̸¥¹Ù ¡®RAA ·£¼¶¿þ¾î¡¯·Î ºÒ¸®´Â ÀÌ ·£¼¶¿þ¾î´Â DOC ¹®¼­ ÆÄÀÏ ÇüÅ·ΠÀ¯Æ÷µÇ¾ú´Ù. 

 

[±×¸² 4] RAA ½ºÅ©¸³Æ®(Java Script)°¡ Æ÷ÇÔµÈ ·£¼¶¿þ¾î DOC ¹®¼­

 

¾Ç¼º DOC ÆÄÀÏÀ» ½ÇÇàÇϸé [±×¸² 4]¿Í °°ÀÌ ·¯½Ã¾Æ¾î·Î ¡®MS ¿ÀÇǽº¿öµåÀÇ ÃֽŠ¹öÀü¿¡¼­ ¸¸µé¾îÁø °ÍÀ¸·Î, ¹®¼­¸¦ º¸±â À§Çؼ­´Â °ø½Ä ¾÷µ¥ÀÌÆ® ÆÐÅ°Áö¸¦ ¼³Ä¡Ç϶󡯴 ³»¿ëÀÌ ³ªÅ¸³­´Ù. ³»¿ë ÇÏ´Ü¿¡´Â MSÀÇ ·Î°í°¡ Æ÷ÇÔµÈ ÆÐÅ°Áö ¼³Ä¡ ¹öÆ°ÀÌ ³ªÅ¸³ª »ç¿ëÀÚÀÇ ½ÇÇàÀ» À¯µµÇÑ´Ù.

 

ÇØ´ç ÇØÅ°Áö¸¦ ½ÇÇàÇÏ¸é °ø°ÝÀÚ°¡ »ðÀÔÇÑ ½ºÅ©¸³Æ®(Java Script, JS)°¡ ½ÇÇàµÈ´Ù. ÇØ´ç ½ºÅ©¸³Æ®¿¡´Â [Ç¥ 1]°ú °°Àº Äڵ尡 Æ÷ÇԵǾî ÀÖ´Ù. 

 

[Ç¥ 1] ·£¼¶¿þ¾î ½ºÅ©¸³Æ®¿¡ Æ÷ÇÔµÈ ÄÚµå Á¤º¸

 

¶ÇÇÑ ÀÚ¹Ù½ºÅ©¸³Æ®ÀÇ indexOf·Î È®ÀåÀÚ¸¦ ÀÌ¿ëÇØ ¾Ïȣȭ¸¦ ÇÒ ÆÄÀϵéÀ» °Ë»öÇÑ´Ù. ¾Ïȣȭ ´ë»ó ÆÄÀÏÀ» °Ë»öÇÏ´Â ¹®ÀÚ¿­Àº [Ç¥ 2]¿Í °°À¸¸ç, docm, docx, xlsx µîÀÇ ÆÄÀϵµ ¾ÏȣȭÀÇ ´ë»óÀÌ´Ù.

 

[Ç¥ 2] ¾Ïȣȭ ´ë»ó È®ÀåÀÚ ¹®ÀÚ¿­

 

ÇÑÆí, ½ºÅ©¸³Æ®¸¦ ÅëÇØ »ý¼ºµÈ ½ÇÇà ÆÄÀÏ(ii.exe)Àº ƯÁ¤ ³×Æ®¿öÅ©·Î ¿¬°áÀ» ½ÃµµÇÏÁö¸¸, ¾È·¦ÀÇ ºÐ¼® ´ç½Ã ÇØ´ç ¼­¹ö´Â ¿¬°áµÇÁö ¾Ê¾Ò´Ù. 

 

[±×¸² 4] RAA ·£¼¶¿þ¾î °¨¿° ¾È³» ¸Þ½ÃÁö

 

À̹ø¿¡ ¹ß°ßµÈ µÎ °ÇÀÇ À©µµ¿ì ¾÷µ¥ÀÌÆ®·Î À§ÀåÇÑ ·£¼¶¿þ¾î´Â °¢°¢ ¿µ¾î ¹× ·¯½Ã¾Æ¾î·Î Á¦À۵Ǿî ÀÖ¾î, ±¹³» »ç¿ëÀÚ¸¦ ³ë¸° °ÍÀº ¾Æ´Ñ °ÍÀ¸·Î º¸ÀδÙ. ±×·¯³ª ¾ðÁ¦µç °ü·Ã º¯Á¾ÀÌ ±¹³»·Î À¯À﵃ ¼ö Àֱ⠶§¹®¿¡ ÁÖÀǸ¦ ±â¿ïÀÌ´Â °ÍÀÌ ¹Ù¶÷Á÷ÇÏ´Ù. ƯÈ÷ »ç¿ë ÁßÀÎ OS ¹× ÇÁ·Î±×·¥ÀÇ ÃֽŠ¹öÀü ¾÷µ¥ÀÌÆ®´Â ¹Ýµå½Ã Á¤Ç° OS ¹× ¼ÒÇÁÆ®¿þ¾î¿¡¼­ Á¦°øÇÏ´Â ¾÷µ¥ÀÌÆ® ±â´É ¹× Á¦Á¶»çÀÇ ¾÷µ¥ÀÌÆ® »çÀÌÆ®¸¦ ÅëÇØ ÁøÇàÇÏ´Â °ÍÀÌ ¹Ù¶÷Á÷ÇÏ´Ù. 

 

ÇÑÆí, V3 Á¦Ç°Àº ÀÌµé ·£¼¶¿þ¾î¸¦ °¢°¢ ¾Æ·¡¿Í °°Àº Áø´Ü¸íÀ¸·Î ŽÁöÇÏ°í ÀÖ´Ù. 

 

<V3 Á¦Ç°±ºÀÇ Áø´Ü¸í>

Trojan/Win32.Tear (2016.08.26.03)

DOC/Downloader (2016.09.01.00)

JS/Downloader (2016.09.01.00)

Trojan/Win32.Upbot (2016.08.30.03)​ 


                   


           
  0
3500
NO * NAME DATE HIT
600 À¯±â³óÇÞ°¨ÀÚ èµÓ¹ 2019/07/20 (Åä) 66
599 º½ èµÓ¹ 2019/05/27 (¿ù) 55
598 õð ÌØ èµÓ¹ 2019/04/28 (ÀÏ) 47
597 °íÃß YÀÚ ÁöÁÖ´ë èµÓ¹ 2018/12/30 (ÀÏ) 81
596 " P L S , èµÓ¹ 2018/12/12 (¼ö) 71
595 ¼ö¼öŸÀÛ èµÓ¹ 2018/12/03 (¿ù) 114
594 Âü±ú èµÓ¹ 2018/11/27 (È­) 107
593 ûÂ÷Á¶ èµÓ¹ 2018/11/24 (Åä) 72
592 ¸¶´ÃÆÄÁ¾ èµÓ¹ 2018/11/12 (¿ù) 54
591 ³ëÀ» èµÓ¹ 2018/10/06 (Åä) 64
1,,,11121314151617181920,,,71