국내 기업 대상 ‘귀신(Gwisin)’ 랜섬웨어 피해 주의

최근 국내 기업 대상으로 귀신(Gwisin) 랜섬웨어 유포 정황이 확인되어 해당 내용 공유 드립니다.

■ 개요 : 국내 기업 대상의 귀신(Gwisin) 랜섬웨어 유포정황 황인

■ 내용

- 귀신 랜섬웨어는 특정 기업을 타겟으로 제작되어 유포

- 매그니베르(Magniber) 랜섬웨어와 동일하게 MSI 설치 파일 형태로 동작

- 불특정 다수를 대상으로 유포되는 매그니베르와는 달리 귀신 랜섬웨어는 파일 단독 실행만으로 행위가 발현되지 않음

- 파일 실행을 위해 특별한 실행 인자값이 필요하며, 이 인자값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로활용

* MSI 파일 : Windows Installer 패키지 파일

- MSI 파일 실행 시 인자값을 검증하는 소스코드가 포함되어 있고, 검증이 끝난 후 내부에 존재하는 쉘코드를 복호화 (암호화를 통한 보안장비 우회)

- 복호화한 쉘코드를 주입시켜 귀신 랜섬웨어를 메모리 상에서 실행

■ 랜섬웨어 프로세스 트리 및 암호화된 파일 (암호화 되었을 경우 !!!_HOW_TO_UNLOCK_*****_FILES_!!!.TXT 랜섬노트 생성)

* 랜섬노트에는 기업 내에서 탈취한 정보들의 목록과 함께 연락처가 존재함

■ 랜섬노트 상세 내용

■ 랜섬웨어 감염 시 바탕화면 변경 화면

■ 대응

- V3 백신 탐지 가능 , 시만텍, 알약, 하우리 탐지여부 확인 필요

어썸데이타