한국 기업을 타깃으로 하는 귀신 랜섬웨어 (리눅스 ver)
Contents
최근 귀신(Gwisin) 랜섬웨어 피해 사례가 증가하고 있다. 귀신 랜섬웨어는 한국 기업을 타깃으로 공격을 수행하는 것으로 알려져 있으며, 랜섬웨어 작명에서부터 협상에 이르기까지 여러 정황들을 보았을 때 한국 정서나 기업 문화에 대해 잘 아는 조직으로 보인다.
랜섬웨어 감염 시 복호화 안내를 위해 생성되는 랜섬노트는 영어로 작성되어 있지만, KISA 등 전문기관에 신고하지 말 것을 경고하기도 하며, 피해 업체의 회사명과 피해 현황에 대한 내용도 포함되어 있다.
[그림 1] 귀신(Gwisin) 랜섬웨어의 랜섬노트
귀신 랜섬웨어는 윈도우 시스템뿐만 아니라 리눅스 시스템도 타깃으로 하는 것으로 확인된다.
본 보고서에서 다룰 내용은 리눅스용 귀신 랜섬웨어이며, 샘플 정보는 다음과 같다.
|구분||내용|
|파일명||x86_nix|
|파일 크기||71,368 byte|
|악성코드 유형||리눅스 랜섬웨어|
|MD5||95237D0C6E6B1822CECCA34994C0D273|
|SHA1||F1BDB5151F24B175D4778052D072061DFC865AC8|
|SHA256||89958DBDB557286AD4D6CBF433B720535130237773E5184FB6091ED47047E5CD|
|SSDEEP||1536:JZHTLVHDU1KPYLH4WUGYTYK8IQKNOKTRHDQJ:9HPVHM5LYWUVPXOKS|
|VirusTotal||해시값 검색 결과 : 결과 없음|
[표 1] 분석 샘플 정보
리눅스용 귀신 랜섬웨어는 실행시 /tmp 경로에 하드코딩 된 특정 이름의 파일을 생성한 뒤, fcntl() 함수를 이용하여 해당 파일을 잠금 설정한다. 파일이 잠금 설정되면 다른 프로세스에서 open64() 함수 등을 통한 접근이 제한되기 때문에 이러한 루틴은 중복 실행 방지 목적으로 사용될 수 있다. 예를 들어, 랜섬웨어 프로세스가 이미 실행중인 경우에 중복 실행을 시도할 경우, 이미 …
랜섬웨어 감염 시 복호화 안내를 위해 생성되는 랜섬노트는 영어로 작성되어 있지만, KISA 등 전문기관에 신고하지 말 것을 경고하기도 하며, 피해 업체의 회사명과 피해 현황에 대한 내용도 포함되어 있다.
[그림 1] 귀신(Gwisin) 랜섬웨어의 랜섬노트
귀신 랜섬웨어는 윈도우 시스템뿐만 아니라 리눅스 시스템도 타깃으로 하는 것으로 확인된다.
본 보고서에서 다룰 내용은 리눅스용 귀신 랜섬웨어이며, 샘플 정보는 다음과 같다.
|구분||내용|
|파일명||x86_nix|
|파일 크기||71,368 byte|
|악성코드 유형||리눅스 랜섬웨어|
|MD5||95237D0C6E6B1822CECCA34994C0D273|
|SHA1||F1BDB5151F24B175D4778052D072061DFC865AC8|
|SHA256||89958DBDB557286AD4D6CBF433B720535130237773E5184FB6091ED47047E5CD|
|SSDEEP||1536:JZHTLVHDU1KPYLH4WUGYTYK8IQKNOKTRHDQJ:9HPVHM5LYWUVPXOKS|
|VirusTotal||해시값 검색 결과 : 결과 없음|
[표 1] 분석 샘플 정보
리눅스용 귀신 랜섬웨어는 실행시 /tmp 경로에 하드코딩 된 특정 이름의 파일을 생성한 뒤, fcntl() 함수를 이용하여 해당 파일을 잠금 설정한다. 파일이 잠금 설정되면 다른 프로세스에서 open64() 함수 등을 통한 접근이 제한되기 때문에 이러한 루틴은 중복 실행 방지 목적으로 사용될 수 있다. 예를 들어, 랜섬웨어 프로세스가 이미 실행중인 경우에 중복 실행을 시도할 경우, 이미 …
IoC
89958DBDB557286AD4D6CBF433B720535130237773E5184FB6091ED47047E5CD
95237D0C6E6B1822CECCA34994C0D273
F1BDB5151F24B175D4778052D072061DFC865AC8
95237D0C6E6B1822CECCA34994C0D273
F1BDB5151F24B175D4778052D072061DFC865AC8