Gwisin 이라는 랜섬웨어가 한국 기업에 지속적인 피해를 입히고 있는 것으로 확인 되었습니다

 

Gwisin 랜섬웨어는 "귀신"을 영문 표기 한 것으로 국내 또는 북한의 해커 단체로 보입니다

 

국내 기업의 상황과 악성코드 침해 대응 주요 기관의 이름을 나열하며 신고 하지 말라는 안내 파일의 메세지가 있습니다

 

나열된 기관은 아래와 같습니다

 

NPA(경찰청), SMPA(서울경찰청), FSC(금융위원회), KISA(한국인터넷진흥원), NIS(국정원), KNPA(경찰청), SKInfosec(SK쉴더스)

 

감염 방식이 Magniber 랜섬웨어아 유사한 .msi 설치 파일 형태로 동작하지만 Magniber 랜섬웨어처럼 불특정 다수에게 유포 되는 것이 아닌 .msi 파일 내부에 포함된 .dll 파일의 구동에 필요한 인자 값이 필요한 방식으로 동작 합니다

 

이러한 방식은 윈도우 샌드박스나 가상환경의 보안 제품에서는 파일 실행 만으로 랜섬웨어 행위가 발생하지 않아 탐지가 어렵도록 하기 위한 것으로 보입니다

 

또한, 기업에서 보안을 위해 DRM을 이용한 파일도 복호화 하여 랜섬웨어로 암호화 시킨 피해도 보고 되었습니다

 

확장자 변경은 "문서.txt.<기업 이름>" 형태로 변경 되며

 

안내 파일은 "!!!_HOW_TO_UNLOCK_<기업 이름>_FILES_!!!.TXT" 파일이 각 폴더에 생성 됩니다

 

안내파일 안에는 기업에서 탈취한 정보들의 목록과 피해 회사명으로된 URL 주소가 포함 되어 있습니다

 

백업웨어.png

 

최종적으로 파일 암호화가 완료된 이후에는 아래 그림처럼 바탕 화면을 변경하여 랜섬웨어에 감염 된것을 알리고 있습니다

백업웨어2.png

 

 

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다

 

번호제목
공지 랜섬웨어 피해예방 5대 수칙
104 My Decryptor 랜섬웨어 - 웹 서버 구축 프로그램을 통한 유포 file
» Gwisin 랜섬웨어 - 한국 기업을 대상으로 하는 맞춤형 악성코드 file
102 Magniber 램섬웨어 - 2022년7월 이후 제어판 항목 파일로 감염 방식 변경 file
101 변종2 Matrix 랜섬웨어 - 북한 관련 메일주소를 사용 file
100 Bad Rabbit 랜섬웨어 - 가짜 Adobe Flash Player 설치 파일로 위장 file
99 Allcry 랜섬웨어 - 국내 광고 프로그램을 통해 유포 file
98 RedBoot 랜섬웨어 - 파일 암호화와 함께 MBR변조 까지 진행 file
97 CRBR Encryptor 랜섬웨어 - Cerber 랜섬웨어의 변종 file
96 Locky 랜섬웨어 - 특정 웹 사이트의 취약점을 이용하여 감염 file
95 PrincessLocker 랜섬웨어 - 감염된 웹사이트 접속시 자동 감염 방식 file
94 Encephalitis 랜섬웨어 - 랜섬웨어 제작툴로 만들어진 악성코드 file
93 IsraBye 랜섬웨어 - 핵티비즘(Hacktivism) 성격의 악성코드 file
92 Khonsari 랜섬웨어 - Apache Log4j 취약점을 이용한 악성코드 file
91 Thanos 랜섬웨어 - Raccine 보안 프로그램을 무력화 시키는 악성코드 file
90 Lilith 랜섬웨어 - 데이터 유출을 협박하는 악성코드 file
89 Parasite 랜섬웨어 - 디스코드 서버에서 다운로드된 기생충 악성코드 file
88 JobCrypter 랜섬웨어 - 암호화된 파일에 몸값 메세지를 추가 file
87 TellYouThePass 랜섬웨어 - Apache Log4j 취약점을 이용 file
86 LockBit v3.0 랜섬웨어 - 버그바운티 프로그램 도입 file
85 Nordteam 랜섬웨어 - 48시간 이내로 연락 할것을 요구 file