본문 바로가기
악성코드 정보

3월 3일!! 또 다시 '전자상거래 위반행위 사칭' 신종 랜섬웨어 유포 중

by AhnLab ASEC 분석팀 2020. 3. 3.

ASEC 분석팀은 3월 3일 금융기관 및 인사담당자를 대상으로 '부당 전자상거래 위반행위' 및 '이력서' 사칭 랜섬웨어 유포를 확인하였다. 이메일의 압축 첨부파일(7z, zip) 형태로 유포되며, 내부에는 PDF 문서 아이콘의 실행파일(exe)이 존재한다. 일반 사용자의 경우, 문서 아이콘 형태이면서 실행파일 확장자(exe)가 노출되지 않아 문서파일로 착각하고 실행하게되며, 실제로는 랜섬웨어가 동작하게된다. 이러한 공격방식은 1월 6일자에 아래의 ASEC블로그를 통해서 소개한바 있다. 1월에는 Nemty 라는 이름의 랜섬웨어가 사용되었다면, 오늘은 아래의 확장자로 암호화되는 새로운 랜섬웨어가 확인되었다.

 

  • 원본파일명.[랜덤8자].[helpdesk_makp@protonmail.ch].makop

2020.01.06 - [악성코드 정보] - 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중

 

부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중

2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며 ...

asec.ahnlab.com

아래의 그림은 해당 랜섬웨어에 감염 시, 사용자에게 노출되는 랜섬노트(readme-warning.txt) 내용이다.

 

랜섬노트

 

현재까지 확인된 유포에 사용된 압축파일 및 내부의 파일명은 다음과 같다.

 

  • 양상민 이력서.7z
    • 포트폴리오_20200303(열심히하겠습니다 잘부탁드립니다).exe
    • 지원서_20200303(열심히하겠습니다 잘부탁드립니다).exe
  • 전산및비전산자료보존요청서.zip
    • 부당 전자상거래 위반행위 안내(자료보존 반드시 부탁드립니다).exe

최근 국내 사용자를 대상으로 사회공학기법을 통해 이메일 첨부파일 형태로 랜섬웨어가 활발하게 유포되는 상황으로 사용자의 주의가 요구된다. 출처가 불분명하거나 문서파일 아이콘으로 표시되나 파일의 확장자가 실행파일 형태인 경우 의심하고 실행하지 않아야 한다. 

 

V3에서는 아래와 같은 진단명으로 진단하고 있다.

 

[파일진단]

  • Trojan/Win32.RansomCrypt (2020.03.03.05)

[행위진단]

  • Malware/MDP.Ransom.M1876
  • Malware/MDP.Ransom.M1171

 

 

 

댓글1

  • 바다야크 2020.03.03 17:08 신고

    아우~ 조심해야겠네요. 도대체 랜섬웨어를 만드는 놈들은 어떤 인간들일까요?
    덕분에 다시 조심해야겠다는 생각을 하게 되었습니다. 감사합니다.
    답글