CLOP (2) 썸네일형 리스트형 37. Eland's clop 얼마 전, 우리나라의 이랜드(E land) 그룹이 POS기 등 이랜드 그룹 매장 내에서 사용하는 여러 시스템에 대해 랜섬웨어에 감염되고 더불어 정보까지 탈취 당했다는 기사가 나왔었다. 실제로, 여러 보안 업체들에서 해당 상황에 대해 분석한 결과로는 랜섬웨어에 감염된 것이 맞으며 해당 랜섬웨어는 예전부터 TA505 라는 해킹그룹으로부터 만들어지고 운영된 Clop 랜섬웨어인 것으로 확인되었다. 현재, 탈취한 정보라면서 이랜드 그룹과 협상에 결렬될 때마다 협박의 용도로 카드 정보를 다크웹 상에 올리고있다. 하지만 이 정보가 진짜로 이랜드 그룹 POS기 등에서 탈취한 정보인지는 불분명해보인다. 사실 clop ransomware는 꽤 이전부터(작년) 등장해서 기업을 타겟팅 해서 유포되고는 했었다. 아래 글은 분석.. 08. Clop Clop 랜섬웨어는 2019년에 등장한 기업을 타깃으로 삼는 랜섬웨어이다. 본 글에서는 Clop 랜섬웨어를 분석한다. Malware Clop OS Windows7 action File Crypt(Ransom) 악성코드 파일을 실행하면 첫 행위로 popup.txt 라는 파일을 읽으려 한다. 추측상이지만 현재 컴퓨터가 감염된것인지 아닌지를 구분하기 위해서로 보인다. 이후 감염 PC의 MS-DOS 디바이스명을 1234567890로 재정의한다. 재정의 후, 감염 PC의 테이프를 삭제하고 아톰 테이블을 삭제한 뒤에 MS-DOS 디바이스 명을 1234567890으로 재정의하는 것을 반복하면서 아톰명으로 27이라는 이름을 가진 아톰을 찾는걸 반복한다. 해당 행위들을 수행하고 난 뒤, 현재 PC에서 특정 프로그램(백신.. 이전 1 다음
