BlackBit 랜섬웨어 국내 유포 중 - ASEC BLOG
ASEC의 모니터링 결과, svchost.exe로 위장한 BlackBit 랜섬웨어가 작년 9월부터 현재까지 유포되고 있다. 코드 난독화가 되어있으며, LokiLocker 랜섬웨어와 유사한 특징을 가지고 있으며, 지속성을 위해 자기 자신을 winlogin.exe의 파일명으로 시작 프로그램 경로와 %AppData%경로에 복사하고, 작업 스케줄러 등록 및 레지스트리 등록을 통해 지속성과 복구방지를 수행하고 있는 BlackBit 랜섬웨어가 확인되었다.
ASEC의 모니터링 결과, 작년 9월부터 현재까지 svchost.exe로 위장한 BlackBit 랜섬웨어가 유포되고 있으며, 코드 난독화가 되어있고 LokiLocker 랜섬웨어와 유사한 특징을 가지고 있다. 지속성을 위해 자기 자신을 winlogin.exe의 파일명으로 시작 프로그램 경로와 %AppData%경로에 복사하고, 작업 스케줄러 등록과 레지스트리 등록을 통해 지속성과 복구방지를 수행하고 있는 BlackBit 랜섬웨어가 확인되었다.
BLACKBIT Ransomware Domestic Distribution -ASEC BLOG
Asec’s monitoring shows that Blackbit Ransomware, disguised as SVCHOST.EXE, has been distributed from September last year to the present.Code obfuscation, it has similar characteristics to Lokilocker ransomware, and for sustainability, we copy themselves to the startup program path and %AppData %with the file name of Winlogin.exe, and register the work scheduler and registration.Blackbit ransomware, which is performing to prevent recovery, has been confirmed.
Asec’s monitoring shows that Blackbit ransomware disguised as svchost.exe has been distributed since September last year, and has a similar feature to Lokilocker ransomware.For sustainability, Blackbit ransomware, which copies himself to the start program path and %AppData %path with the file name of Winlogin.exe, is performed by registering the work scheduler and registration of registry.