stop

가짜 윈도우 화면과 함께 설치되는 신종 랜섬웨어 국내 발견(*.rezm 확장자)

ASEC분석팀은 2020년 3월 2일 가짜 윈도우 업데이트 화면과 함께 설치되는 신종 랜섬웨어를 발견하였다. 해당 랜섬웨어는 기존 국내에 널리 유포되고 있는 Bluecrab, Nemty, Paradise 이름의 랜섬웨어와 동일한 패커(Packer)를 사용하여 유포 중이며 암호화된 파일은 확장자가 .rezm 이 추가되는 특징을 갖는다. 파일 실행 시 아래 주소에서 Fake 윈도우즈 업데이트 파일을 다운로드 받아 실행 되어, 사용자에게는 마치 윈도우즈 업데이트가 되는 듯한 화면을 보여준다. 그러나, 실제로는 랜섬웨어가 동작하여 사용자 컴퓨터 파일들을 감염 시킨다. http[:]//mopg.top/files/penelop/updatewin1.exe http[:]//mopg.top/Asjdi435784ihjk65pen2/get.php?pid=????생략????&first=true http[:]//mopg.top/files/penelop/updatewin2.exe http[:]//mopg.top/files/penelop/updatewin.exe http[:]//mopg.top/files/penelop/3.exe http[:]//mopg.top/files/penelop/4.exe http[:]//mopg.top/files/penelop/5.exe http[:]//paunsaugunt.com/517 http[:]//paunsaugunt.com/freebl3.dll http[:]//paunsaugunt.com/mozglue.dll http[:]//paunsaugunt.com/msvcp140.dll http[:]//paunsaugunt.com/nss3.dll…