Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보올크라이(AllCry) 신종 랜섬웨어
작성일 2017-10-11 조회 78

 

 

국내의 특정 프로그램을 변조해 유포된 국내 타겟형 랜섬웨어이다.

한국의 웹하드 이용자와 인터넷 광고스폰서 프로그램을 변조해 은밀하게 랜섬웨어를 유포하였고, 나이지리아와 이스라엘 이메일 주소를 랜섬노트에 기재하였다.

 

1.winsrv.exe (웹하드 netfile 원클릭 다운로드(Setup) 모듈)
(1) C2
 - ad.podosee.com
 - ip: 222.231.27.221

2.Qbridge.exe (Qbridge 라는 불필요한 프로그램(PUP/Adware))
(1) C2
 - client.qbridge.co.kr  
 - ip : 221.141.3.46

 

특히 HWP 문서와 EXE파일들도 암호화를 시도하며, 중국어 기반 언어를 사용한다.
한국의 특정 서버(ad.podosee.com)로 감염자 하드웨어 정보를 보낸 후에 암호화를 진행한다.

 

 

► Sniper 제품군 대응현황

Sniper-IPS

[3734] Win32/Ransomware.AllCry.727816

Sniper-UTM

[838861263] Win32/Ransomware.AllCry.727816

Sniper-APTX

[2931] Win32/Ransomware.AllCry.727816

 

► 취약시스템

Windows All Systems

 

► 해결방안

1. 최신 백신으로 치료한다
2. 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다
3. 중요 자료는 백업하여 보관한다

 

 

 

첨부파일 첨부파일이 없습니다.
태그   AllCry